前言

本文是利用非常規(guī)手段突破安全戰(zhàn)略的內(nèi)部網(wǎng)滲透記錄。

[查看資料]

環(huán)境概述說明

web打點(diǎn)getshell、webshell是蝎子，權(quán)限是。是net，權(quán)限很低，服務(wù)器是server 2016，目標(biāo)不落網(wǎng)！

安裝了防病毒軟件(奇摩、微軟附帶的WD)，ASMI默認(rèn)打開，對power shell有特殊的政策限制。由于Tcp、icmp、DNS協(xié)議不通，無法直接與公共網(wǎng)絡(luò)的Cs服務(wù)器端連接(內(nèi)部網(wǎng)的cs服務(wù)器端也無法連接)，公共網(wǎng)絡(luò)也無法訪問大象Web服務(wù)(純Intranet Web服務(wù))非常嚴(yán)格的出入境戰(zhàn)略。

入站規(guī)則：只有http允許入站，只有一個(gè)80、8080兩個(gè)http端口可以在內(nèi)部網(wǎng)系統(tǒng)上正常訪問

出站規(guī)則：不允許非8080端口外部通信。

用手畫一張拓?fù)鋱D，馬上就能看到了。

為什么連接到cs？

Webshell權(quán)限太低、太有限、需要在線cs訪問。這是因?yàn)閏s可以使用反射dll加載PE程序，從而在執(zhí)行mimikatz密碼捕獲等敏感任務(wù)時(shí)發(fā)揮特定的Bypass作用。

由于Webshell權(quán)限太低，本地轉(zhuǎn)儲(chǔ)LSA，然后轉(zhuǎn)儲(chǔ)dumpHash不起作用。要轉(zhuǎn)儲(chǔ)LSA，您必須至少具有管理員權(quán)限。

另外，由于大象網(wǎng)絡(luò)環(huán)境比較苛刻，所有非http協(xié)議的通信都被防火墻攔截，無法正確創(chuàng)建具有交互功能的外殼。

坑點(diǎn)1:使用Pystinger反向代理聯(lián)機(jī)cs

查看相關(guān)資料后發(fā)現(xiàn)，大部分互聯(lián)網(wǎng)文章通過Pystinger實(shí)現(xiàn)內(nèi)部網(wǎng)反向代理，使用http協(xié)議將大象系統(tǒng)端口映射到cs服務(wù)器偵聽端口，只能訪問web服務(wù)，如果不使用internet，則可以使cs聯(lián)機(jī)。

但是這里有個(gè)問題。公共網(wǎng)絡(luò)cs服務(wù)器不能訪問目標(biāo)的web服務(wù)。由于只有同一內(nèi)部網(wǎng)中的系統(tǒng)可以訪問大象web服務(wù)，因此不能直接在服務(wù)器上安裝pystinger，將大象系統(tǒng)端口反向代理到公共網(wǎng)絡(luò)cs偵聽端口。

此處使用的解決方案是在執(zhí)行pystinger倒數(shù)第二代任務(wù)之前，在本地直接實(shí)施cs服務(wù)。

1.在本地啟動(dòng)cs服務(wù)

2.通常，使用監(jiān)聽端口60020配置基于reserver的偵聽器(上圖中的6002少0).）

3.上傳到大象服務(wù)器，訪問：

4.上傳到大象服務(wù)器并運(yùn)行以下命令：

開始d : \ 0.0.0.0

5.跳板機(jī)械的本地實(shí)現(xiàn)

命令：

stinger_client -w 0.0.0.0 -p 4002

6.免費(fèi)處理一下resever_bind，上傳至目標(biāo)并執(zhí)行不上線，執(zhí)行一下tasklist發(fā)現(xiàn)已經(jīng)執(zhí)行了，就是不上線，pystinger報(bào)錯(cuò)。

1. 
   最后的結(jié)果是，報(bào)錯(cuò)，具體原因不知道，可能是目標(biāo)web環(huán)境有問題，可能是reserver型shell通訊有問題。
   遂Pystinger反代上線cs失敗。

坑點(diǎn)二：正向代理+正向shell上線公網(wǎng)CS

既然反向代理行不通，那就用正向代理，然后采用正向shell來連接。
目標(biāo)機(jī)器不出網(wǎng)，本機(jī)能出網(wǎng)，可通過本機(jī)當(dāng)作跳板機(jī)將目標(biāo)機(jī)器的正向shell帶出來。
原理圖：

常見的http隧道工具Neo-reGeorg、reGeorg（應(yīng)該這兩款用得比較多）能適用于大多數(shù)網(wǎng)絡(luò)環(huán)境，但是在這里就是不行，會(huì)出現(xiàn)跳板機(jī)直接與cs服務(wù)器斷開的情況，而cs的connect正向連接請求是由跳板機(jī)的beacon發(fā)出的，你只能將beacon代理進(jìn)socks隧道才能使connect請求能連接正向shell的監(jiān)聽端口，但因?yàn)槟繕?biāo)機(jī)不出網(wǎng)，在跳板機(jī)的beacon進(jìn)入代理隧道之后是無法連接到處于公網(wǎng)的cs服務(wù)端的，所以只能是端口對端口映射，而不能用http協(xié)議搭建的socks隧道（我猜的）。

所以這里將使用ABPTTS進(jìn)行http隧道搭建。

• ABPTTS優(yōu)點(diǎn)
  對抗特征檢測十分優(yōu)秀
  創(chuàng)建的隧道十分穩(wěn)定

1、 配置abptts：

python ab -o server \\生成服務(wù)端腳本，初始化。

2、 上傳server腳本到目標(biāo)機(jī)器

坑點(diǎn)三：文件上傳

這個(gè)地方冰蝎、大馬都傳文件傳不上去，只能用哥斯拉的大文件上傳把a(bǔ)b傳了上去（后面exe的上傳也是用的哥斯拉的大文件上傳功能）exe文件落地也是個(gè)坑，在正常環(huán)境中，我們可以用certutil、powershell等方法下載exe到目標(biāo)上，但是這臺機(jī)器他不出網(wǎng)，因?yàn)槌稣疽?guī)則的原因，甚至都無法訪問內(nèi)網(wǎng)中其他機(jī)器的web服務(wù)器，最后用哥斯拉的大文件上傳解決了這個(gè)問題。

上傳完成之后的ab地址：http://10.1.1.1:8080/ab
訪問一下ab，頁面回顯一長串密文說明abptts客戶端正常

3、 啟動(dòng)http隧道

Python ab -c server -u "http://10.1.1.1:8080/ab"-f 127.0.0.1:7777

這里的127.0.0.1:7777是本機(jī)端口，127.0.0.1:1111是目標(biāo)機(jī)的端口
意思是將目標(biāo)機(jī)的1111端口通過http隧道映射至本機(jī)的7777端口，你向本地的7777端口發(fā)送的請求都將轉(zhuǎn)發(fā)至目標(biāo)機(jī)的1111端口。

坑點(diǎn)四：正向bind免殺

Cs的正向shell介紹（beacon tcp）

正向shell的作用原理是，bind在目標(biāo)機(jī)器上開放一個(gè)監(jiān)聽端口，等待其他主機(jī)來訪問這個(gè)監(jiān)聽端口，子Beacon從父Beacon接受請求，而不是直接與cs服務(wù)端通訊。
而反向shell則是，由目標(biāo)發(fā)起請求訪問cs服務(wù)端的監(jiān)聽端口

1.創(chuàng)建一個(gè)正向監(jiān)聽器：

2.生成正向載荷（在生成正向載荷的時(shí)候只能選擇stageless Beacon ）：

為什么使用正向shell：

假若目標(biāo)機(jī)器的出站規(guī)則十分嚴(yán)格且目標(biāo)也不出網(wǎng)，反向shell在這種情況下則無法正常與cs服務(wù)端保持通訊。
假若采用正向shell的話，在無論他的入站規(guī)則多嚴(yán)格，他也不會(huì)去阻止本地端口之間的通訊，這樣就能繞過嚴(yán)格的出入站規(guī)則策略。

• 通訊過程：
  
  Cs服務(wù)端（公網(wǎng)）--> 跳板機(jī)（父baecon）--> 7777端口--> 目標(biāo)8080端口（http隧道）--> 目標(biāo)1111端口（子baecon）

• Bypass分析
  
  在目標(biāo)機(jī)的防火墻眼中是本地的8080端口與本地的1111端口通訊，而攻擊機(jī)與目標(biāo)的8080端口則是正常被允許的交互行為，從而bypass了出入站策略。

正向Bind免殺

上面有提到過目標(biāo)上有火絨和WD兩款殺毒，直接上傳正向shell肯定是會(huì)被秒殺的，本地測試報(bào)毒。

Reserver_Bind免殺較為簡單，直接生成shellcode，通過分離免殺等方法加載shellcode。
但是正向shell不能生成shellcode，它屬于stageless型Beacon，而stageless型Beacon無法生成shellcode，所以無法通過常規(guī)的分離式免殺來繞過殺毒。

• 提一下stager與stagerless的區(qū)別：
  stager和stagerless型beacon
• Stager型：只包含簡單的加載邏輯部分，stager通過將c2的payload加載進(jìn)內(nèi)存從而實(shí)現(xiàn)pe加載，這種加載方式也就是反射型DLL加載。
• Stagerless型：stager+payload全寫死在木馬中，相比較于Stager型體積更大，特征碼更明顯。
  由下圖可以看到，在生成payload的時(shí)候沒有正向bind監(jiān)聽器這個(gè)選項(xiàng)，只有Reserver監(jiān)聽器選項(xiàng)。

• 既然無法通過混淆加載器的方法來免殺，那就加強(qiáng)殼+定位特征碼的方法來免殺。
  
  國內(nèi)大部分殺軟估計(jì)都是基于模糊hash算法的特征碼查殺，對代碼層強(qiáng)混淆幾乎就能繞過大部分殺毒，強(qiáng)殼（Aspack、upx、Safengine、VMPoject，實(shí)測Aspack、upx效果不是很好）。
  主要用到的工具：VirTe Resource Hacker +SafengineShielden+upx
• VirTe：
  自動(dòng)化定位特征碼，因?yàn)椴粫?huì)匯編，所以就直接用010Editor修改特征碼的十六進(jìn)制來破環(huán)特征碼。

• 其他修改特征碼的方法: 替換匯編函數(shù)、調(diào)換指令順序、指令跳轉(zhuǎn)。
  注意：在修改完特征碼之后，要測試exe還能不能正常運(yùn)行。
• SafengineShielden
  反LPK注入、反調(diào)試器附加、反內(nèi)存轉(zhuǎn)儲(chǔ)選上，復(fù)雜度拉滿，虛擬機(jī)檢測不要打勾。

• 最后加一層upx殼(upx殼視情況而定，有時(shí)候加了upx殼反而會(huì)被殺)，Resource Hacker加入一個(gè)任意圖標(biāo)文件，成功過掉火絨。

目標(biāo)機(jī)運(yùn)行正向shell

上傳正向bind，在冰蝎上執(zhí)行 D:/beacon_se.exe，可以看到木馬在目標(biāo)機(jī)上開啟了1111端口，我們通過http隧道去連接這個(gè)位于目標(biāo)機(jī)1111端口上的正向bind。

本機(jī)（跳板）正向連接shell

本機(jī)（攻擊者）上線cs作為跳板機(jī)，然后在本機(jī)shell中執(zhí)行

connect 127.0.0.1 7777

成功正向上線 10.1.1.1，但是上線的shell權(quán)限極低，mimikatz無法運(yùn)行，因?yàn)檎騭hell的原因，就算提權(quán)成功也無法直接反彈shell，而且因?yàn)槟繕?biāo)系統(tǒng)是2016，插件中的常見提權(quán)腳本都會(huì)提權(quán)失敗。

PrintSpoofer提權(quán)

上傳Prin至目標(biāo)主機(jī)。

執(zhí)行如下命令，以system的權(quán)限運(yùn)行我的正向shell，那么我將得到一個(gè)system權(quán)限的shell，而不是asp的低權(quán)限shell。

C:\Windows\Temp\PrintSpoofer -c D:/1111_se.exe

Netstat -ano確認(rèn)一下有沒有在本地開放一個(gè)1111端口。

正向shell正常運(yùn)行，跳板機(jī)再次連接正向bind。

connect 127.0.0.1 7777

成功提權(quán)，滲透至此已基本結(jié)束戰(zhàn)斗，得到一個(gè)system權(quán)限的正向shell，mimikatz抓密碼，無明文，但能拿到hash。

繞過殺毒添加用戶&&登錄桌面

Net1改名添加用戶，報(bào)錯(cuò)，必然是被火絨攔截了，上殺器直接驅(qū)動(dòng)層干殺軟。

本地實(shí)驗(yàn)?zāi)芨傻?，但是不知道為什么在目?biāo)上就實(shí)現(xiàn)不了。

換思路：火絨、360等國內(nèi)殺毒攔截添加用戶命令往往只針對net、net1這倆進(jìn)程，并沒有hook底層函數(shù)，所以我們只需要不去執(zhí)行net、net1而去直接調(diào)用底層函數(shù)就能繞過殺毒的監(jiān)控。
原理不去深度剖析了，網(wǎng)上有文章。

• Windows API 添加管理員用戶
  項(xiàng)目地址：
  繞過殺毒添加上了一個(gè)用戶，接下來就是常規(guī)操作，用打印機(jī)漏洞提權(quán)，利用sys權(quán)限切換到adminsitrator用戶的桌面。
• hash傳遞攻擊
  再或者就是hash傳遞，直接上adminsitrator的桌面。sekurlsa::pth /user:Administrator /domain:用戶名 /ntlm:194f34439dd27846db00c6723036da6b "/run:mstsc.exe /restrictedadmin"194f34439dd27846db00c6723036da6b
  Hash傳遞的好處就是，動(dòng)靜更小，不需要新建用戶，留下的痕跡更少，降低攻擊者被發(fā)現(xiàn)的概率。
  如下圖：

跟上面操作一樣，把對方的3389端口反向代理至本地，連接之。
最后附上登錄的桌面的截圖，登上來就是一個(gè)backstab的報(bào)錯(cuò)，這剛好就解釋了之前在干火絨的時(shí)候，為什么沒有kill成功（因?yàn)槌绦蚣嫒菪詥栴}導(dǎo)致崩潰了）。

總結(jié)

總結(jié)一下整個(gè)滲透過程中有趣的幾個(gè)點(diǎn)，整個(gè)流程大概花了兩天的時(shí)間，主要是有幾個(gè)地方踩坑了。

1. 第一點(diǎn)：寫http隧道馬的時(shí)候，用哥斯拉直接編輯新建一個(gè)隧道馬，但是連接的時(shí)候報(bào)錯(cuò)，可能是哥斯拉出現(xiàn)了數(shù)據(jù)斷流，導(dǎo)致寫進(jìn)去的文件缺東西了，后來直接把隧道馬傳上去就不報(bào)錯(cuò)了。
2. 第二點(diǎn)：網(wǎng)上的例子大多數(shù)都用pystinger反代cs服務(wù)端來處理這種不出網(wǎng)上線cs的情況，但是可能因?yàn)槟繕?biāo)網(wǎng)絡(luò)環(huán)境的不一樣導(dǎo)致各種玄學(xué)報(bào)錯(cuò)，所以Pystinger的局限性還是很大的，而且Pystinger客戶端還不免殺。
3. 第三點(diǎn)：正向shell免殺，不多說的，cs的無階段木馬都是這樣，無法通過混淆加載器的方法免殺。
4. 第四點(diǎn)：正向shell的提權(quán)，cs插件提權(quán)只能反彈一個(gè)反射型的shell，無法反彈正向shell。
5. 第五點(diǎn)：有趣的是，無階段木馬是能生成powershell腳本的，而powershell腳本是很好混淆免殺的，但是目標(biāo)是server2016，默認(rèn)開啟AMSI，混淆免殺在它面前形同虛設(shè)。（要是目標(biāo)是2012、2008系統(tǒng)就可以通過powershell正向bind上線）

結(jié)尾

本還可以嘗試msf的正向bind，自帶混淆器，效果可能更好。
本次滲透是在獲得授權(quán)的真實(shí)環(huán)境中進(jìn)行的。
在利用pystinger反向代理套反向shell失敗的情況下，改用正向代理中套正向shell來上線不出網(wǎng)主機(jī)。

最后

關(guān)注我，持續(xù)更新！私我獲取【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】