双语双端的内网框架——requestTemplate

luozhenni

​ 双语双端的内网框架——requestTemplate
1n7erface 雾晓安全 2022-04-12 08:30
以下文章来源于封阳 ，作者1n7erface
原文链接：​ 双语双端的内网框架

聊聊我们内网中的困境
1.经常和几个一起打hw的朋友在一块聊天,有次突然聊到在内网渗透中最常用的工具,随之而来的就是"cobaltstrike,metasploit,fscan"等答案。但在讨论的最后一个经常不说话的大哥补充了句，"超级弱口令检测工具"。确实，回想整个内网的过程就是信息收集凭据，然后凭据复用。信息收集->凭据复用->信息收集->凭据复用,其实是一个递归的思想。
所以这是我给我的工具加了第一个功能,各种服务的爆破,并且内置了一些基础弱口令,以及可以加载hacker信息收集到的密码。
​


2.通常拿到一个机器的时候，横向的过程当中应该对其网段连通进行信息收集。例如，ipconfig,netstat -ano,route print,arp -a 等等。但是这些往往不够,探测网段连通性我最早使用的是御剑扫b段80端口等，除了爆破以外的更优雅的方式我至今没找到。但是御剑这种方式并不显得优雅。
所以这是我给我的工具加了第二个功能,网段探测然后扫描。实现的细节会自动的探测192.168,10,172.16-172.31的网关。存在网关的前提下再对其c段进行扫描,更加优雅。

​

3.同时也集成了一些较为常用的功能,比如17010的探测,web服务探测,内部集成了部分xray的poc。

​

golang扫描端的内容就这么多,值得一提的是,最早扫描端我用Java实现，后来发现无法落地使用Golang重构。其二进制编译可执行文件还有其并发的能力很符合我的需求。

​

聊聊我们复现中的困境
1.如果还要聊聊在刷内网分当中出现的一些问题，我想隧道一定是个避不开的话题。其实xray中poc的准确率或者是爆破模块中的准确率我们作为红队都相信，不光我们相信，我认为绝大部分人都相信。可是身为一个红队而言，不是要我们相信，而是让裁判相信。拿着扫描器的结果复制粘贴扔给裁判，这不论是报告的篇幅上还是严谨性上这都不符合。于是我们拿着"navicat,xshell,proxy"等工具开始挂着代理对着目标一顿复现截图。但是，很多时候我们的隧道是卡顿的，这些外置工具在"不经意"间发出多少"无用包",这对本来就卡顿的隧道无疑是雪上加霜。
所以这是我给我的工具加了第二端，复现端。在这期间我认为我只做了一件事，就是包可控。发出多少包都在我的掌握之中,大大减少了包量。

​

​

2.打开各种各样的工具无疑是对我们的时间的消耗，显得忙手忙脚。
所以我将能使用到的所有复现需要的功能全部集成在复现端的平台上，一键化的截图，一键化的后利用。

​

3.再聊聊语言的问题吧,用Java玩了很长时间。经历了jsp,servlet的时代,也经过了ssh的时代；经过了ssm的时代,也经过了免配置编写的springboot的时代;经过了前后端分离,前端双向数据绑定的时代,也经过了springcloud微服务分布式的时代,到如今的云时代。Java对我来说感情深厚，但是我还是在扫描端放弃了Java选择了golang,但在复现端我仍然还是会使用Java,你理解成我对Java一种深厚的情怀也好我不反驳,但是他的稳定性,以及社区的活跃性都是复现的过程中最优的选择。

最后再聊聊
我承认的是,这个项目还有很多的bug。比如在设置代理处的身份认证功能,至今bug都没修。因为bug不在少数，我会先挑一些比较重要的进行优先修改。还有smb模块，smb的1，2，3模块微软自己都不兼容,我使用Java就更难兼容了。于是因为是内网工具，我择优选择了版本较旧的1，2进行复现。还有ftp模块，如果不通过代理复现ftp没有问题。但是在代理的过程中复现ftp模块必须要采用被动模式。所以导致列出目录的过程中会出现很多问题，目前的解决办法是我会重试一百次列出目录，或者其中某一次成功列出这两种情况将会退出循环。
项目地址: https://github.com/1n7erface/RequestTemplate
文末我感谢两位师傅。
感谢影舞者师傅每次在半夜还回答的问题.https://github.com/shadow1ng/fscan
感谢https://github.com/SafeGroceryStore/MDUT 提供给本项目udf提权模块的参考
​