Question

多年来，在 Linux 中实现迁移并没有太大的改变。通常，如果您使用的是 dnscat2 或 Meterpreter，那么它们都支持数据转发。

• dnscat2。
  • listen 127.0.0.1:9999 <target_IP>:22
• Metasploit。
  • post/windows/manage/autoroute
• Metasploit Socks Proxy + Proxychains。
  • use auxiliary/server/socks4a
• Meterpreter。
  • portfwd add -l 3389 -p 3389 -r <target_IP>

如果您很“幸运”地获得了 SSH Shell，那么可以通过多种方式在系统中进行迁移。我们如何获得 SSH Shell？在许多情况下，一旦存在本地文件包含（LFI）或远程执行代码（RCE）漏洞，我们就可以尝试提升权限，读取/etc/shadow 文件（密码破解），或者采用类似 Mimikatz 的攻击。

就像 Windows 和 Mimikatz 一样，Linux 系统同样遇到了以明文形式存储密码的问题。@huntergregal 编写的工具实现特定进程内容的转储，这些进程很可能以明文形式包含用户密码，如图 4.46 所示。到目前为止，虽然这个工具仅适用于有限数量的 Linux 系统，但是思路却适合所有的 Linux 系统。

图 4.46

一旦从突破的主机上获得凭证，并且可以通过 SSH 工具实现重新登录，我们就可以在设备间建立隧道并进行迁移。SSH 中有一些很棒的功能，允许执行这种迁移。

• 设置 Dynamic Sock Proxy，使用 proxychains，从主机迁移所有流量。
  • ssh -D 127.0.0.1:8888 -p 22 <user>@<Target_IP>
• 单个端口的基本端口转移。
  • ssh <user>@<Target_IP> -L 127.0.0.1:55555:<Target_to_Pivot_to>:80
• 基于 SSH 的虚拟专用网络。这是一个很棒的功能，通过 SSH 建立第三层隧道。