HVV艺术之上线的艺术 - 渗透测试后渗透阶段上线策略详解

上线决策的考量因素

在渗透测试的后渗透阶段，是否选择将目标机器上线到C2(Command and Control)服务器是一个需要慎重考虑的问题。以下是关键考量因素：

网络环境限制

• 出网性判断：首要任务是判断目标机器的出网情况
• 常见限制场景：
  • TCP完全不出网
  • DNS不出网
  • ICMP不出网
  • 出口端口限制

C2工具的利弊权衡

• 优势：

  • 提供完整的后渗透功能框架
  • 便于管理和控制多个会话
  • 自动化任务执行

• 劣势：

  • 上线过程可能需要复杂的免杀处理
  • 在某些网络环境下性能较差(如DNS隧道)
  • 增加被发现的风险

不出网环境下的上线策略

1. DNS隧道技术

• 使用CS(Cobalt Strike)的DNS上线功能
• 缺点：速度极慢(如抓取密码可能需要2分钟)
• 适用场景：其他方式完全不可用时

2. 内存动态代理注入

• 工具示例：冰蝎
• 特点：
  • 通过内存注入实现上线
  • 可绕过不具备内存查杀的杀软
  • 支持不出网环境下上线
  • 可能拖慢目标进程

3. 传统EXE木马

• 直接上传并运行自定义EXE
• 优点：稳定性高
• 缺点：需要免杀处理

4. 利用远程管理软件

• 发现目标存在向日葵、TeamViewer等软件时：
  • 抓取密码进行远程桌面连接
  • 查找运行文件并启动连接

隧道技术应用

1. CS隧道

• Socks4a隧道建立
• 局限性：Socks4是CS的短板

2. MSF隧道

• Socks5隧道建立

3. 其他隧道工具

• Neo-reGeorg：
  • 不上线情况下进行内网渗透
  • 项目地址：https://github.com/L-codes/Neo-reGeorg
• 冰蝎代理：
  • 通过端口映射或本地映射建立隧道
  • 缺点：速度较慢

RDP(3389)的利用技巧

1. 直接连接场景

• 3389端口对外开放时：
  • 直接使用获取的密码登录
  • 最直接有效的后渗透方式

2. 内网连接场景

• 3389不对外开放时：
  • 通过隧道进行内网3389连接
  • 高版本Windows(2012+)密码无法解密时：
    • 使用添加用户的API进行免杀用户添加
    • 退出杀软后上传工具

3. 替代方案

• 查找并利用现有的远程管理软件(向日葵、TV等)
• 使用CS的VNC模块进行远程操控

实用建议

1. 上线必要性评估：

   • 权衡上线带来的价值与所需时间/风险
   • 考虑是否有替代方案能达到相同目的

2. 工具选择原则：

   • 优先使用目标已有资源(如远程管理软件)
   • 根据网络限制选择合适的上线方式
   • 平衡功能需求与性能影响

3. 免杀策略：

   • 利用Webshell的天然免杀优势
   • 对于必须上线的场景，采用API调用等免杀技术

4. 性能考量：

   • 在速度敏感场景避免使用DNS隧道等慢速通道
   • 考虑隧道延迟对操作体验的影响

通过合理运用这些技术和策略，渗透测试人员可以在各种复杂环境下有效完成后渗透阶段的工作，同时平衡隐蔽性、功能性和操作效率的需求。