1. 前言

  本篇和上篇文章前置的知识基本差不多，这里我就不在赘述了，感兴趣的可以去上CSDN上或者公众号找上篇内容，那篇中涉及到了很多的前置知识，本篇主要以实操为主。

1.1. 实验背景

  这里同样是模拟会遇到的一些情况，而本次模拟的是当遇到只允许访问80端口以及访问打印机的端口也就是445端口的情况，可能靠说无法理解，这里直接上图来演示吧。

1.2. 环境准备

  这里需要准备一台攻击机，四台主机，来演示这个环境。

1.2.1. 环境介绍

  攻击机的目标是Windows7系统，而攻击机是无法直接连接Windows7，如果这里不了解我说的是什么意思，请去学习一下路由原理吧！自然而然下面也就不用解释了，肯定是Windows2008能够连接Windows2003，Windows2003能够连接Windows2012，Windows2012能够连接到Windows7。目前攻击机只能够连接Windows2008，但是我们可以通过采用一些技术而实现和Windows7通信，这技术也就是本章需要介绍的。

  这里我们不考虑是通过如何手段获取到Windows2008的权限，也不考虑怎么知道Windows2003、windows2012、windows7的IP地址，这些肯定是当获取到Windows2008的权限后通过一些信息收集得到的，而这里我们不要考虑如何得到权限、地址，我们只需要先学习如何让这些主机互相通信起来。

攻击机				192.168.10.20

Windows2008 192.168.10.200(外网出口)
						192.168.20.10(内网口)
						
Windows2003 192.168.20.20(内网口)
						192.168.30.10(内网口)
						
Windows2012 192.168.30.20(内网口)
						192.168.40.10(内网口)
						
Windows7    192.168.40.20(内网口)

1.2.2. 环境测试

  本来是想一个个进行环境测试的，但是想一下这里还是不一个个测试了，挺简单的内容，无需进行测试，直接按照环境搭建即可。

2. CS上线

  这里只介绍CS上线，至于MSF上线，其实差不多，并且在后面的渗透中，可能用到的CS是比较多的，而且msf毕竟是命令行，有时候确实不太好操作。

connect 192.168.20.20 2222

2.1. Windows2008上线

  这里也不演示了，攻击机能够与Windows2008进行通信，那么通过前期的WEB漏洞或者其它漏洞获取权限，然后上传木马，在然后就是上线了。

2.2. Windows2003上线

  这里的Windows2003上线和之前是一样的，采用socks代理进行上线。

2.2.1. 设置socks代理

  这里右击之前获取到的Windows2008服务器，利用Windows2008代理设置上线，原理在上篇已经提及过了，这里直接操作了。

2.2.2. 设置正向连接

  这里需要设置一个正向连接，如果使用反向连接，木马上线后，由于无法和攻击机连接，所以就会导致上线失败，而这里使用正向连接，让攻击机利用Windows2008设置的代理主动去连接进去。

  所以这里创建一个正向连接的监听器。

2.2.3. 生成木马

  这里也还需要生成一个正向连接的木马，一个Windows可执行程序E一个Windows可执行程序S类型的木马在上篇文章中也提及到，所以也不在赘述，这里点击后，监听器要选择正向连接的监听器。

2.2.4. 上线木马

  这里直接在Windows2003上运行木马是无效的，由于正向木马，是将连接的端口放在本地，然后攻击机去连接目标主机的本地端口，这里就能够上线，但是这里，由于攻击机是无法直接与Windows2003连接，所以需要使用到代理，而且这个代理就是利用Windows2008将流量转发到攻击机上，这里就能够上线成功。

connect 192.168.20.20 2222

2.3. Windows2012上线

  这里Windows2012上线就出现一个问题，他的入站是被封闭的，而我们之前的正向连接，是需要使用到入站的，而且现在入站只允许80端口通信，那么我们的正向连接就无法使用，这时候如果使用反向连接，确实可以，但是我们的攻击机无法连接到Windows2012上，那么该如何上线呢？

2.3.1. 转发上线

  前面我们分析了一下这个问题，其实在CS中是有一个转发上线的，而我们可以利用这个转发上线，使其Windows2012进行上线，这里的选择转发上线后，会弹出一个创建监听器，而我们这里只需要修改名字以及端口即可，其它的保持不变，如何回到监听器就能够看到一条自动生成的监听器了。

2.3.2. 创建木马

  这里还是选择S类型，监听器设置刚刚自动生成的监听器，然后上传木马，进行上传执行。

2.3.3. 上线木马

  这里可以看到成功上线木马了。

2.3.4. 查看导图

  这里我们来看一下这个CS上的数据传输的导图，从这上面就能够看出，Windows2012流量是发送给Windows2003的，然后Windows2008正向连接到windows2003上面，然后流量就被转发过来了。

2.4. Windows7上线

  这个就比较麻烦了，无法使用正常的思路来上线，如果采用反向连接，那么当Windows7对外发送到Windows2012上的时候，会遇上Windows2012的入站限制，如果采用正向连接，那么当就会遇到Windows7上面的正向连接，所以导致Windows7上线无法采用之前的方式来上线，但是Windows7是开启打印机的，那么就是445端口，那么就可以使用smb进行上线。

  这里需要配合前期的信息收集来判断445端口是否开放。

2.4.1. 信息收集

   这里需要提前获取到目标主机的账号密码，以及开放的端口，这样才好上线。

2.4.1.1. 端口探测

  这里我们探测40段的中存在445端口的地址。

2.4.1.2. 探测信息

  可以看到，我们这里探测到存在445端口的有一个地址是192.168.40.20。

2.4.2. 创建监听器

  这里需要创建一个SMB的监听器，而这个监听器只是个监听器无法创建木马，由于他是没有任何地址的，只是一个SMB的管道。

2.4.3. 横向移动

  这里是无法使用到木马的，只能使用到横向移动，在前期我们需要获取到这台目标主机的密码，当然这个密码，需要前面的信息收集，或者套用已经获取到的密码，如果密码不对，那么这台主机大概率是无法上线的，而这里演示我们都是提前准备好的，而在实际的环境中必然是很复杂的一件事。

2.4.4. 上线测试

  这里账号密码，是前期信息收集得到的，实际情况中不一定百分百对，而这里是模拟环境，那么肯定是提前准备好的，监听器选择刚刚创建的SMB监听器，会话要选择能够与目标连接的那一台主机。

2.4.5. 上线成功

  可以看到这里成功上线，而且是system的权限，其实也就是通过Windows2012去攻击Windows7的漏洞来获取到权限。

2.4.6. 查看导图

  这里看到已经成功了，而且通过图来看，可以了解攻击的流程。

3. 总结

  这里采用的都是针对性的绕过，下一篇主要介绍如何使用隧道技术来进行绕过。