不出网主机上线方式小结

0x01 中转上线（Reverse TCP Beacon）：

---

也可以被称为中继上线，利用条件：

• 需要上传马儿到目标主机并执行

利用过程：
1、右键选择代理转发——转发上线

监听地址选择已经上线CS的这台主机的内网地址 192.168.x.x。这里要注意一下，如果有多张网卡，这个默认的Listen Host是需要改的，需要填入同一网段的ip。

2、生成 beacon，监听器选择刚建立的中转监听器 ：

将生成的exe上传到目标机器上运行，成功上线：

注意：中继方法无法unlink后重连，不管权限如何，一旦unlink后进程直接结束。

0x02 SMB Beacon：

---

通过已有的父Beacon使用SMB协议进行正向连接不出网机器，要求目标开启445端口，通过命名管道进行认证即可上线。其实有点像psexec这样的工具，有用户名和hash后，即可执行远程命令。

利用条件：

• 目标主机开放445端口
• 目标主机未开启防火墙阻断

利用过程：
1、在CS上线了一台主机后，进行端口扫描：

beacon> portscan 192.168.52.0/24 1-1024 icmp

语法参考：https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/post-exploitation_port-scanning.htm?cshid=1088

存活的主机可以通过如下列表查看：

2、建立一个smb listen，利用抓取到出网主机的密码进行psexec横向碰撞，需要目标未开启防火墙：

3、选择要进行psexec的主机，对其他目标机器进行ipc$连接：

4、利用psexec进行ipc$连接，选择我们要利用的密码凭据（或者勾选使用会话的当前访问令牌），明文或者hash都行。监听器选择新建的smb，会话选择当前获取权限的主机，利用现有的beacon作为跳板。

可以看到smb beacon上线的主机右侧有∞∞标识，标明了当前SMB的连接状态是已连接：

若后面的oooo变成了oo oo，说明已经断开连接，但是只是断开了连接，进程并没有被杀，使用命令重新回连：link 192.168.52.138

0x03 正向上线：

---

假设在192.168.54.130机器出网且已上线cs；192.168.54.134不出网且反向不通130，存在web服务，此时无法通过转发上线的形式开展多人运动，可通过正向马上线cs。

新建监听器，生成正向马

通过webshell等方式将马儿上传到目标机器并执行，使用跳板机连接，上线cs。

connect 192.168.54.134 54496

参考如下：

---

【技术分享】不出网主机的几种上线方式