0x01 中轉上線(Reverse TCP Beacon):
也可以被稱為中繼上線,利用條件:
- 需要上傳馬兒到目標主機并執行
利用過程:
1、右鍵選擇代理轉發——轉發上線
監聽地址選擇已經上線CS的這臺主機的內網地址 192.168.x.x。這里要注意一下,如果有多張網卡,這個默認的Listen Host是需要改的,需要填入同一網段的ip。
2、生成 beacon,監聽器選擇剛建立的中轉監聽器 :
將生成的exe上傳到目標機器上運行,成功上線:
注意:中繼方法無法unlink后重連,不管權限如何,一旦unlink后進程直接結束。
0x02 SMB Beacon:
通過已有的父Beacon使用SMB協議進行正向連接不出網機器,要求目標開啟445端口,通過命名管道進行認證即可上線。其實有點像psexec這樣的工具,有用戶名和hash后,即可執行遠程命令。
利用條件:
- 目標主機開放445端口
- 目標主機未開啟防火墻阻斷
利用過程:
1、在CS上線了一臺主機后,進行端口掃描:
beacon> portscan 192.168.52.0/24 1-1024 icmp
存活的主機可以通過如下列表查看:
2、建立一個smb listen,利用抓取到出網主機的密碼進行psexec橫向碰撞,需要目標未開啟防火墻:
3、選擇要進行psexec的主機,對其他目標機器進行ipc$連接:
4、利用psexec進行ipc$連接,選擇我們要利用的密碼憑據(或者勾選使用會話的當前訪問令牌),明文或者hash都行。監聽器選擇新建的smb,會話選擇當前獲取權限的主機,利用現有的beacon作為跳板。
可以看到smb beacon上線的主機右側有∞∞標識,標明了當前SMB的連接狀態是已連接:
若后面的oooo變成了oo oo,說明已經斷開連接,但是只是斷開了連接,進程并沒有被殺,使用命令重新回連:link 192.168.52.138
0x03 正向上線:
假設在192.168.54.130機器出網且已上線cs;192.168.54.134不出網且反向不通130,存在web服務,此時無法通過轉發上線的形式開展多人運動,可通過正向馬上線cs。
新建監聽器,生成正向馬
通過webshell等方式將馬兒上傳到目標機器并執行,使用跳板機連接,上線cs。
connect 192.168.54.134 54496
