Question

在当今世界，计算机上运行着各种下一代杀毒软件，在计算机之间使用 WMI/PowerShell Remoting/PsExec 横向迁移并不总是最佳选择。我们还看到一些组织正在记录所有 Windows 命令操作。为了解决所有这些问题，我们有时需要使用基本功能，实现横向迁移。使用 VPS 服务器的问题在于它仅提供一个没有用户界面的 Shell。因此，需要将路由/代理/转发流量从攻击者主机、虚拟专用服务器、突破的主机，横向转移到下一个突破的主机，如图 4.44 所示。“幸运”的是，我们可以使用原生工具来完成大部分工作。

我们需要设置虚拟专用服务器，启用端口接收互联网数据，使用 PTF 配置 Metasploit，并使用 Meterpreter 控制初始突破主机。我们可以使用 Cobalt Strike 或其他框架来完成此操作，但在这个例子中我们将使用 Meterpreter。

我们可以使用默认的 SSH 客户端-L 选项，实现本地端口转发。我使用的是 macOS 操作系统，但这也可以在 Windows 或 Linux 操作系统中完成。我们使用 SSH 工具和密钥连接到虚拟专用主机。我们还将在攻击主机上配置本地端口，在本例中为 3389（RDP），实现该端口的任何流量转发到虚拟专用服务器。当该端口的流量转发到虚拟专用服务器时，该流量发送到虚拟专用服务器上本地的端口 3389。最后，我们需要设置一个端口，监听虚拟专用服务器 3389 端口，并使用 Meterpreter 的端口转发功能，将流量路由到被攻击者的主机。

图 4.44

（1）用 Meterpreter 静荷感染被攻击者。

（2）攻击者主机使用 SSH 工具，设置本地端口转发（在本地侦听端口 3389），将所有流量发送到虚拟专用服务器的本地 3389 端口。

• ssh -i key.pem ubuntu @ [VPS IP] -L 127.0.0.1:3389:127.0.0.1:3389

（3）在 Meterpreter 会话中，监听虚拟专用服务器的 3389 端口，转发流量从突破的主机横向迁移到下一个突破的主机。

• portfwd add -l 3389 -p 3389 -r [Victim via RDP IP Address]

（4）在攻击者主机上，打开微软的远程桌面客户端，将连接地址设置为 localhost，即 127.0.0.1 并输入被攻击者的凭证，实现 RDP 连接，如图 4.45 所示。

图 4.45