前言

本文為一篇利用非常規(guī)手段突破安全策略的內(nèi)網(wǎng)滲透記錄

【查看資料】

環(huán)境簡述&說明

• web打點getshell，webshell是冰蝎，權(quán)限為.net，權(quán)限很低，服務(wù)器為server 2016，目標(biāo)不出網(wǎng)！
  
• 裝有殺毒軟件（火絨、微軟自帶的WD），ASMI默認(rèn)開啟，而且對power shell有特殊策略限制。
  
• Tcp、icmp、DNS協(xié)議不通，無法直接與公網(wǎng)的cs服務(wù)端建立連接，（內(nèi)網(wǎng)的cs服務(wù)端也無法與其建立連接）公網(wǎng)也無法訪問目標(biāo)web服務(wù)（純內(nèi)網(wǎng)web服務(wù)）
• 極其嚴(yán)格的出入站策略

入站規(guī)則：只有http允許入站，只有一個80、8080兩http端口能供內(nèi)網(wǎng)機(jī)器正常訪問
出站規(guī)則：不允許非8080端口對外通訊。
手繪了一張拓?fù)鋱D，將就著看一下。

為什么要上線cs

webshell權(quán)限太低，限制性大，需要上線cs提權(quán)，因為cs是采用反射dll來加載pe程序，從而在執(zhí)行一些敏感操作的時候能起到一定的bypass作用，例如mimikatz抓密碼等操作。
像轉(zhuǎn)儲LSA到本地然后再dumphash都是行不通的，因為webshell權(quán)限太低了，轉(zhuǎn)儲LSA至少得管理員權(quán)限。
而且目標(biāo)網(wǎng)絡(luò)環(huán)境較為苛刻，任何非http協(xié)議的通訊都會被防火墻攔截，無法正常建立一個具有交互功能的shell。

坑點一：利用Pystinger反向代理上線cs

在查閱相關(guān)資料后，發(fā)現(xiàn)網(wǎng)上大部分文章都通過Pystinger來實現(xiàn)內(nèi)網(wǎng)反向代理，利用http協(xié)議將目標(biāo)機(jī)器端口映射至cs服務(wù)端監(jiān)聽端口，能在只能訪問web服務(wù)且不出網(wǎng)的情況下可以使其上線cs。

但是這里有個問題，公網(wǎng)cs服務(wù)器無法訪問目標(biāo)的web服務(wù)，只有同處于在一個內(nèi)網(wǎng)的機(jī)器才能訪問目標(biāo)web服務(wù)，所以無法直接在服務(wù)器上搭建pystinger將目標(biāo)機(jī)端口反向代理至公網(wǎng)cs監(jiān)聽端口上。
這里采用的解決方法是直接在本機(jī)上搭建一個cs服務(wù)，然后再進(jìn)行pystinger反代操作。

1.本地起一個cs服務(wù)

2.常規(guī)配置reserver型監(jiān)聽器，監(jiān)聽端口60020（上面圖中6002少寫了個0…）

3.proxy.aspx上傳至目標(biāo)服務(wù)器，訪問：

4.stinger_server.exe 上傳到目標(biāo)服務(wù)器，執(zhí)行命令：

start D:\stinger_server.exe 0.0.0.0

5.跳板機(jī)本地執(zhí)行命令：

stinger_client -w http://10.1.1.1:8080/2.aspx-l 0.0.0.0 -p 4002

6.免殺處理一下resever_bind，上傳至目標(biāo)并執(zhí)行不上線，執(zhí)行一下tasklist發(fā)現(xiàn)shell.exe已經(jīng)執(zhí)行了，就是不上線，pystinger報錯。【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

最后的結(jié)果是，報錯，具體原因不知道，可能是目標(biāo)web環(huán)境有問題，可能是reserver型shell通訊有問題。
遂Pystinger反代上線cs失敗。

坑點二：正向代理+正向shell上線公網(wǎng)CS

既然反向代理行不通，那就用正向代理，然后采用正向shell來連接。
目標(biāo)機(jī)器不出網(wǎng)，本機(jī)能出網(wǎng)，可通過本機(jī)當(dāng)作跳板機(jī)將目標(biāo)機(jī)器的正向shell帶出來。
原理圖：

常見的http隧道工具Neo-reGeorg、reGeorg（應(yīng)該這兩款用的比較多）能適用于大多數(shù)網(wǎng)絡(luò)環(huán)境，但是在這里就是不行，會出現(xiàn)跳板機(jī)直接與cs服務(wù)器斷開的情況，而cs的connect正向連接請求是由跳板機(jī)的beacon發(fā)出的，你只能將beacon代理進(jìn)socks隧道才能使connect請求能連接正向shell的監(jiān)聽端口，但因為目標(biāo)機(jī)不出網(wǎng)，在跳板機(jī)的beacon進(jìn)入代理隧道之后是無法連接到處于公網(wǎng)的cs服務(wù)端的，所以只能是端口對端口映射，而不能用http協(xié)議搭建的socks隧道（我猜的）。

所以這里將使用ABPTTS進(jìn)行http隧道搭建。

• ABPTTS優(yōu)點 對抗特征檢測十分優(yōu)秀 創(chuàng)建的隧道十分穩(wěn)定

1、 配置abptts：

python abpttsfactory.py -o server \\生成服務(wù)端腳本，初始化。

2、 上傳server腳本到目標(biāo)機(jī)器

坑點三：文件上傳

這個地方冰蝎、大馬都傳文件傳不上去，只能用哥斯拉的大文件上傳把a(bǔ)bptts.aspx傳了上去（后面exe的上傳也是用的哥斯拉的大文件上傳功能）exe文件落地也是個坑，在正常環(huán)境中，我們可以用certutil、powershell等方法下載exe到目標(biāo)上，但是這臺機(jī)器他不出網(wǎng)，因為出站規(guī)則的原因，甚至都無法訪問內(nèi)網(wǎng)中其他機(jī)器的web服務(wù)器，最后用哥斯拉的大文件上傳解決了這個問題。

上傳完成之后的abptts.aspx地址：http://10.1.1.1:8080/abptts.aspx
訪問一下abptts.aspx，頁面回顯一長串密文說明abptts客戶端正常

3、 啟動http隧道

Python abpttsclient.py -c server/config.txt -u "http://10.1.1.1:8080/abptts.aspx"-f 127.0.0.1:7777/127.0.0.1:1111

這里的127.0.0.1:7777是本機(jī)端口，127.0.0.1:1111是目標(biāo)機(jī)的端口
意思是將目標(biāo)機(jī)的1111端口通過http隧道映射至本機(jī)的7777端口，你向本地的7777端口發(fā)送的請求都將轉(zhuǎn)發(fā)至目標(biāo)機(jī)的1111端口。

坑點四：正向Bind免殺

Cs的正向shell介紹（beacon tcp）

正向shell的作用原理是，bind在目標(biāo)機(jī)器上開放一個監(jiān)聽端口，等待其他主機(jī)來訪問這個監(jiān)聽端口，子Beacon從父Beacon接受請求，而不是直接與cs服務(wù)端通訊。
而反向shell則是，由目標(biāo)發(fā)起請求訪問cs服務(wù)端的監(jiān)聽端口

1.創(chuàng)建一個正向監(jiān)聽器：

2.生成正向載荷（在生成正向載荷的時候只能選擇stageless Beacon ）：

為什么使用正向shell：

假若目標(biāo)機(jī)器的出站規(guī)則十分嚴(yán)格且目標(biāo)也不出網(wǎng)，反向shell在這種情況下則無法正常與cs服務(wù)端保持通訊。
假若采用正向shell的話，在無論他的入站規(guī)則多嚴(yán)格，他也不會去阻止本地端口之間的通訊，這樣就能繞過嚴(yán)格的出入站規(guī)則策略。

• 通訊過程：

Cs服務(wù)端（公網(wǎng)）–> 跳板機(jī)（父baecon）–> 7777端口–> 目標(biāo)8080端口（http隧道）–> 目標(biāo)1111端口（子baecon）

• Bypass分析

在目標(biāo)機(jī)的防火墻眼中是本地的8080端口與本地的1111端口通訊，而攻擊機(jī)與目標(biāo)的8080端口則是正常被允許的交互行為，從而bypass了出入站策略。

正向Bind免殺

上面有提到過目標(biāo)上有火絨和WD兩款殺毒，直接上傳正向shell肯定是會被秒殺的，本地測試報毒。

Reserver_Bind免殺較為簡單，直接生成shellcode，通過分離免殺等方法加載shellcode。
但是正向shell不能生成shellcode，它屬于stageless型Beacon，而stageless型Beacon無法生成shellcode，所以無法通過常規(guī)的分離式免殺來繞過殺毒。

• 提一下stager與stagerless的區(qū)別： stager和stagerless型beacon
• Stager型：只包含簡單的加載邏輯部分，stager通過將c2的payload加載進(jìn)內(nèi)存從而實現(xiàn)pe加載，這種加載方式也就是反射型DLL加載。
• Stagerless型：stager+payload全寫死在木馬中，相比較于Stager型體積更大，特征碼更明顯。
  由下圖可以看到，在生成payload的時候沒有正向bind監(jiān)聽器這個選項，只有Reserver監(jiān)聽器選項。

• 既然無法通過混淆加載器的方法來免殺，那就加強(qiáng)殼+定位特征碼的方法來免殺。
• 國內(nèi)大部分殺軟估計都是基于模糊hash算法的特征碼查殺，對代碼層強(qiáng)混淆幾乎就能繞過大部分殺毒，強(qiáng)殼（ASPack、upx、Safengine、VMPoject，實測Aspack、upx效果不是很好）。
  主要用到的工具：VirTest5.0+ Resource Hacker +SafengineShielden+upx
• VirTest5.0： 自動化定位特征碼，因為不會匯編，所以就直接用010Editor修改特征碼的十六進(jìn)制來破環(huán)特征碼。

• 其他修改特征碼的方法: 替換匯編函數(shù)、調(diào)換指令順序、置零跳轉(zhuǎn)。 注意：在修改完特征碼之后，要測試exe還能不能正常運(yùn)行。
• SafengineShielden 反LPK注入、反調(diào)試器附加、反內(nèi)存轉(zhuǎn)儲選上，復(fù)雜度拉滿，虛擬機(jī)檢測不要打勾。

• 最后加一層upx殼(upx殼視情況而定，有時候加了upx殼反而會被殺)，Resource Hacker加入一個任意圖標(biāo)文件，成功過掉火絨。

目標(biāo)機(jī)運(yùn)行正向shell

上傳正向bind，在冰蝎上執(zhí)行 D:/beacon_se.exe，可以看到木馬在目標(biāo)機(jī)上開啟了1111端口，我們通過http隧道去連接這個位于目標(biāo)機(jī)1111端口上的正向bind。【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

本機(jī)（跳板）正向連接shell

本機(jī)（攻擊者）上線cs作為跳板機(jī)，然后在本機(jī)shell中執(zhí)行

connect 127.0.0.1 7777

成功正向上線 10.1.1.1，但是上線的shell權(quán)限極低，mimikatz無法運(yùn)行，因為正向shell的原因，就算提權(quán)成功也無法直接反彈shell，而且因為目標(biāo)系統(tǒng)是2016，插件中的常見提權(quán)腳本都會提權(quán)失敗。

PrintSpoofer提權(quán)

上傳PrintSpoofer.exe至目標(biāo)主機(jī)。

執(zhí)行如下命令，以system的權(quán)限運(yùn)行我的正向shell，那么我將得到一個system權(quán)限的shell，而不是asp的低權(quán)限shell。

C:\Windows\Temp\PrintSpoofer -c D:/1111_se.exe

Netstat -ano確認(rèn)一下有沒有在本地開放一個1111端口。

正向shell正常運(yùn)行，跳板機(jī)再次連接正向bind。

connect 127.0.0.1 7777

成功提權(quán)，滲透至此已基本結(jié)束戰(zhàn)斗，得到一個system權(quán)限的正向shell，mimikatz抓密碼，無明文，但能拿到hash。【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

繞過殺毒添加用戶&&登錄桌面

Net1改名添加用戶，報錯，必然是被火絨攔截了，上殺器直接驅(qū)動層干殺軟。

本地實驗?zāi)芨傻?#xff0c;但是不知道為什么在目標(biāo)上就實現(xiàn)不了。

換思路：火絨、360等國內(nèi)殺毒攔截添加用戶命令往往只針對net、net1這倆進(jìn)程，并沒有hook底層函數(shù)，所以我們只需要不去執(zhí)行net、net1而去直接調(diào)用底層函數(shù)就能繞過殺毒的監(jiān)控。
原理不去深度刨析了，網(wǎng)上有文章。

• Windows API 添加管理員用戶 項目地址：https://github.com/newsoft/adduser
  繞過殺毒添加上了一個用戶，接下來就是常規(guī)操作，用打印機(jī)漏洞提權(quán)，利用sys權(quán)限切換到adminsitrator用戶的桌面。
• hash傳遞攻擊 再或者就是hash傳遞，直接上adminsitrator的桌面。

sekurlsa::pth /user:Administrator /domain:用戶名 /ntlm:194f34439dd27846db00c6723036da6b "/run:mstsc.exe /restrictedadmin"194f34439dd27846db00c6723036da6b

Hash傳遞的好處就是，動靜更小，不需要新建用戶，留下的痕跡更少，降低攻擊者被發(fā)現(xiàn)的概率。
如下圖：

跟上面操作一樣，把對方的3389端口反向代理至本地，連接之。
最后附上登錄的桌面的截圖，登上來就是一個backstab的報錯，這剛好就解釋了之前在干火絨的時候，為什么沒有kill成功（因為程序兼容性問題導(dǎo)致崩潰了）。

總結(jié)

總結(jié)一下整個滲透過程中有趣的幾個點，整個流程大概花了兩天的時間，主要是有幾個地方踩坑了。

第一點： 寫http隧道馬的時候，用哥斯拉直接編輯新建一個隧道馬，但是連接的時候報錯，可能是哥斯拉出現(xiàn)了數(shù)據(jù)斷流，導(dǎo)致寫進(jìn)去的文件缺東西了，后來直接把隧道馬傳上去就不報錯了。
第二點： 網(wǎng)上的例子大多數(shù)都用pystinger反代cs服務(wù)端來處理這種不出網(wǎng)上線cs的情況，但是可能因為目標(biāo)網(wǎng)絡(luò)環(huán)境的不一樣導(dǎo)致各種玄學(xué)報錯，所以Pystinger的局限性還是很大的，而且Pystinger客戶端還不免殺。
第三點： 正向shell免殺，不多說的，cs的無階段木馬都是這樣，無法通過混淆加載器的方法免殺。
第四點： 正向shell的提權(quán)，cs插件提權(quán)只能反彈一個反射型的shell，無法反彈正向shell。
第五點： 有趣的是，無階段木馬是能生成powershell腳本的，而powershell腳本是很好混淆免殺的，但是目標(biāo)是server2016，默認(rèn)開啟AMSI，混淆免殺在它面前形同虛設(shè)。（要是目標(biāo)是2012、2008系統(tǒng)就可以通過powershell正向bind上線）

結(jié)尾

本還可以嘗試msf的正向bind，自帶混淆器，效果可能更好。
本次滲透是在獲得授權(quán)的真實環(huán)境中進(jìn)行的。
在利用pystinger反向代理套反向shell失敗的情況下，改用正向代理中套正向shell來上線不出網(wǎng)主機(jī)。

最后

關(guān)注我，持續(xù)更新！私我獲取【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

總結(jié)

以上是生活随笔為你收集整理的【内网渗透】利用非常规手段突破安全策略上线CS的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。