上线的艺术
很多时候,拿下的机器情况复杂多样。判断其出网性应该是首要工作。
01
到底该不该上线
承认的是,MSF和CS都是及其出色的后渗透工具。但是面对这种复杂多样的环境,上不上线是个我们要去认真考虑的问题,CS和MSF究竟能给我们的后渗透能带来什么东西?
假设目标不出网的情况,TCP不出网,DNS不出网,ICMP不出网,出口端口限制,对应这种种场合,Github上给了我们很多优秀项目的选择,但是是我们真的需要的嘛?
例如DNS的CS上线,它可以帮助DNS隧道使我们上线CS,但是真正在实战中使用过就会发现,慢是他的一个很重要的一个弊端。一个抓取当前主机的密码我甚至需要等待两分钟。这个弊端甚至让我可以放弃使用它。
或许这样的上线也毫无意义,上线之后CS或者MSF给我们带来的东西不上线是否可以?在某些场景下,浪费很大的时间去上线cs这或许不值得。
上线还需要免杀,不上线还可以借助webshell天然的免杀优势。当然,说这些是当我们在上线遇到无法阻碍的困难时应该考虑的,毫无疑问的是C2带来的利大于弊。
02
工具的使用
借助冰蝎本身的上线特性,其采用内存动态代理注入的形式进行上线,本身可以过掉不具备内存查杀的杀软给我们的上线犹如神助,且支持目标不出网的形式上线。(拖死进程)
当然,我们也可以使用我们自己制作的EXE木马上传运行的方式,这种朴实无华的方式恰恰是最稳定的。
发现进程中存在向日葵,TV等进行抓取密码进行远程桌面,这是再轻松不过的方式。
上线的情况下,CS的socket4a隧道建立,MSF的socket5隧道的建立。或许socket4是CS的殇。
https://github.com/L-codes/Neo-reGeorg
这款工具让我们在不上线的情况下进行内网渗透
如果出了些意外我们还可以使用冰蝎的代理
通过端口映射的方式进行隧道代理,通过本地映射的方式进行隧道代理。这两种方式都为我们的后渗透提供了代理,但是稍微有点慢也是殇。
隧道对于我本人的经验来说,这几种就够了。他们的优缺点权重并非很极端,让我总能欣然接受。
03
值得一提的是
值得一提的是,3389是永远的神。
因为在后渗透的过程中会牵扯很多工具,这些大规模工具的免杀是一件成本很高的事情。
如果3389对外开放,可以通过密码直接登录。
不对外开放时,走隧道内网进行3389连接。
如果版本高于2012密文解不开时,使用添加用户的api免杀进行用户添加,3389在当前桌面退出杀软,进行工具上传后渗透。
没有隧道,没有免杀api等情况下,可以进行中找到向日葵,TV进程连接。进程中没有,可在文件中找到运行然后连接。
都没有的情况下,可以尝试CS中的VNC的模块远程操控然后关闭杀软。
咨询加客服微信
END
— 实验室旗下直播培训课程 —
和20000+位同学加入MS08067一起学习
