HVV的艺术系列 之 上线的艺术
2023-6-5 18:10:17 Author: Ms08067安全实验室(查看原文) 阅读量:30 收藏

上线的艺术

很多时候,拿下的机器情况复杂多样。判断其出网性应该是首要工作。

01
到底该不该上线

承认的是,MSF和CS都是及其出色的后渗透工具。但是面对这种复杂多样的环境,上不上线是个我们要去认真考虑的问题,CS和MSF究竟能给我们的后渗透能带来什么东西?

假设目标不出网的情况,TCP不出网,DNS不出网,ICMP不出网,出口端口限制,对应这种种场合,Github上给了我们很多优秀项目的选择,但是是我们真的需要的嘛?

例如DNS的CS上线,它可以帮助DNS隧道使我们上线CS,但是真正在实战中使用过就会发现,慢是他的一个很重要的一个弊端。一个抓取当前主机的密码我甚至需要等待两分钟。这个弊端甚至让我可以放弃使用它。

或许这样的上线也毫无意义,上线之后CS或者MSF给我们带来的东西不上线是否可以?在某些场景下,浪费很大的时间去上线cs这或许不值得。

上线还需要免杀,不上线还可以借助webshell天然的免杀优势。当然,说这些是当我们在上线遇到无法阻碍的困难时应该考虑的,毫无疑问的是C2带来的利大于弊。

02
工具的使用

借助冰蝎本身的上线特性,其采用内存动态代理注入的形式进行上线,本身可以过掉不具备内存查杀的杀软给我们的上线犹如神助,且支持目标不出网的形式上线。(拖死进程)

当然,我们也可以使用我们自己制作的EXE木马上传运行的方式,这种朴实无华的方式恰恰是最稳定的。

发现进程中存在向日葵,TV等进行抓取密码进行远程桌面,这是再轻松不过的方式。

上线的情况下,CS的socket4a隧道建立,MSF的socket5隧道的建立。或许socket4是CS的殇。

https://github.com/L-codes/Neo-reGeorg

这款工具让我们在不上线的情况下进行内网渗透

如果出了些意外我们还可以使用冰蝎的代理

通过端口映射的方式进行隧道代理,通过本地映射的方式进行隧道代理。这两种方式都为我们的后渗透提供了代理,但是稍微有点慢也是殇。

隧道对于我本人的经验来说,这几种就够了。他们的优缺点权重并非很极端,让我总能欣然接受。

03

值得一提的是

值得一提的是,3389是永远的神。

因为在后渗透的过程中会牵扯很多工具,这些大规模工具的免杀是一件成本很高的事情。

如果3389对外开放,可以通过密码直接登录。

不对外开放时,走隧道内网进行3389连接。

如果版本高于2012密文解不开时,使用添加用户的api免杀进行用户添加,3389在当前桌面退出杀软,进行工具上传后渗透。

没有隧道,没有免杀api等情况下,可以进行中找到向日葵,TV进程连接。进程中没有,可在文件中找到运行然后连接。

都没有的情况下,可以尝试CS中的VNC的模块远程操控然后关闭杀软。


咨询加客服微信

END

—  实验室旗下直播培训课程  —


和20000+位同学加入MS08067一起学习



文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247509545&idx=1&sn=8e12cb44b2016cd3a491a45603c34365&chksm=fc3c1f28cb4b963ead89fa604ca721b8b3003d9a743468c26257b0ba24f0de54fe7db2adf62e#rd
如有侵权请联系:admin#unsafe.sh