安全研究 | 使用CornerShot来增强网络可见性

枫少@KillBoy
枫少@KillBoy
管理员
219
文章
0
粉丝
资源分享987,174字数 940阅读3分8秒阅读模式
AI智能摘要
你是否曾为无法穿透内网障碍而苦恼?CornerShot横空出世,无需特权权限,即可借助代理主机探测远程网络访问路径,像狙击手般精准“拐角扫描”。它能快速判断某台主机能否访问目标端口,识别隐藏的横向移动通路,甚至验证BloodHound海量路径的可达性。基于Python打造,兼容常见端口检测,输出清晰直观,红队渗透、安全评估一用即灵。真正实现以小博大,用极简操作撬动全网可见性。
— AI 生成的文章内容摘要

安全研究 | 使用CornerShot来增强网络可见性-图片1

CornerShot是什么?

如果在战场上,CornerShot将是一种强有力的武器,可以帮助士兵穿过各种“障碍”,而无需担心暴露自己的行踪。对于网络安全来说,CornerShot可以帮助广大研究人员查看远程主机的网络访问,而不用获取到针对目标主机的任何特殊权限。

通过使用CornerShot,我们可以通过一个源(具备网络访问权)来判断特定端口p和目标之间是否存在网络访问关联。

比如说,假设一个红队正试图从一个“已入侵”的源主机A到一个目标主机X,而主机A对其没有访问权限。如果此时尝试通过主机B来访问,则会发现主机B和X之间没有网络访问。通过使用CornerShot,团队可以发现主机C实际上可以访问目标X,因此向目标X的网络传播应该首先通过主机C。

安全研究 | 使用CornerShot来增强网络可见性-图片2

Nmap类似,CornerShot可以区分端口的以下状态:打开、关闭、过滤和未知(如果无法确定)。

工具演示样例

下面的工具演示样例演示了针对两台运营商主机172.0.1.12和172.0.1.13运行CornerShot,以确定网络是否可以访问192.168.200.1:

安全研究 | 使用CornerShot来增强网络可见性-图片3

开始使用

CornerShot能够以软件包或单独模块的形式来使用。唯一的要求就是主机需要配置好Python 3环境和impacket包。

工具安装

pip install cornershot

单独使用

工具的基础使用方式需要从有效域用户获取凭证,以及FQDN域和目标IP等等:

python -m cornershot <user> <password> <domain> <carrier> <target>

如需扫描大量目标、子网或IP范围,则需要用逗号分隔列表:

python -m cornershot <user> <password> <domain> 192.168.1.10-192.168.1.20 192.168.5.0/24,192.168.6.0/24

默认情况下,CornerShot将尝试扫描下列端口:135, 445, 3389, 5985, 5986。用户可以提供端口列表或端口范围,需用逗号隔开:

python -m cornershot -tp 22,8080,45000-45005 <user> <password> <domain> <carrier> <target>

以软件包使用

在代码中,需要用到有效域用户的用户名、密码和域名实例化CornerShot对象。首先需要通过add_shots方法来添加目标及端口信息,然后调用open_fire方法,它将根据所需的端口执行相关的RPC调用。

from cornershot import CornerShot  cs = CornerShot("username", "password", "fqdn")  cs.add_shots(carriers=["192.168.1.1"],targets=["192.168.1.2","192.168.1.3"])  results = cs.open_fire()

open_fire方法的执行结果输出格式如下:

{'carrier_1':  {'target_1':  {135: 'unknown', 445: 'filtered', 3389: 'filtered', 5986: 'filtered', 5985: 'filtered'},  'target_2':  {135: 'unknown', 445: 'open', 5985: 'unknown', 5986: 'filtered', 3389: 'open'}  },  'carrier_2':  {'target_1':  {3389: 'filtered', 135: 'filtered', 5985: 'filtered', 445: 'filtered', 5986: 'unknown'},  'target_2':  {5985: 'filtered', 5986: 'filtered', 445: 'filtered', 135: 'filtered', 3389: 'open'}  }  }

工具使用场景

完整的网络可见性

识别网络中的某个主机B是否可以访问主机C,这一看似简单的任务可能需要大量部署网络传感器、设备代理或收集大量防火墙规则、路由器配置和主机策略。

CornerShot可以通过使用一个(或很少几个)代理,即可查询网络中其他主机并确定它们对远程主机的访问,从而简化此过程。

验证BloodHound路径

安全团队经常会利用BloodHound来查找并减少在目标网络中的提权路径,但通常会发现他们需要跟BloodHound所找到的数百万条逻辑路径进行“抗争”。

ShotHound是一款可以跟CornerShot配合使用的工具,可以更好地发现网络访问支持的实用路径。

操作系统支持

安全研究 | 使用CornerShot来增强网络可见性-图片4

许可证协议

本项目的开发与发布遵循Apache v2.0开源许可证协议

项目地址

CornerShot:【GitHub传送门

参考资料

https://zeronetworks.com/blog/adversary-resilience-via-least-privilege-networking-part-1/

https://nmap.org/

https://github.com/zeronetworks/BloodHound-Tools/tree/main/ShotHound

https://www.freebuf.com/sectool/265728.html

 
枫少@KillBoy
评论  98  访客  97  作者  1
    • 墨香妃子
      墨香妃子 0

      这个工具跟nmap配合用效果应该不错

        • JohnnyJukebox
          JohnnyJukebox 0

          @ 墨香妃子 一个找路径,一个扫细节,搭配干活不累。

        • 秋千荡高高
          秋千荡高高 1

          这工具对云环境支持不太行啊

          • 玄铁
            玄铁 1

            输出格式确实方便,直接写个脚本就能分析了

            • 青石道人
              青石道人 0

              新手求问普通域用户权限够用吗?

              • 星愿
                星愿 0

                安装impacket确实容易卡住,建议先看官方文档

                • 黄山毛峰
                  黄山毛峰 1

                  普通域用户真能跑起来?试了几次都报权限错。

                  • 糖人张二十二
                    糖人张二十二 0

                    这工具对蓝队排查内网异常通路确实有用,刚拿去扫了测试环境。

                    • 普洱岁月
                      普洱岁月 1

                      为啥默认端口不加22和80?linux机器基本扫不到啊🤔

                      • 菜农程
                        菜农程 0

                        前几天做内网渗透时就缺这种工具,发现隐蔽通路全靠运气。

                        • 剑客白岳
                          剑客白岳 1

                          跟nmap比隐蔽性确实强,不容易触发告警。

                          • Whiskey Jack
                            Whiskey Jack 0

                            有谁在实战中用过吗?效果咋样

                              • UnicornChaser
                                UnicornChaser 0

                                @ Whiskey Jack 实战中配合BloodHound用效果还不错,省了不少时间

                              • 墨无痕
                                墨无痕 0

                                我之前做渗透测试时也遇到过类似需求,当时折腾了好久

                                  • 牡丹亭畔
                                    牡丹亭畔 0

                                    @ 墨无痕 深有同感,找跳板机的时候特别费劲,有工具能自动化就舒服多了。

                                  • 鼓声花园
                                    鼓声花园 1

                                    端口状态区分这块讲得挺清楚的👍

                                    • 墨剑行
                                      墨剑行 0

                                      感觉配置起来有点麻烦,新手可能搞不定

                                        • Velvet Rose
                                          Velvet Rose 0

                                          @ 墨剑行 多试试几个跳板机,说不定有意外发现。

                                        • 白蛇缘
                                          白蛇缘 0

                                          跟BloodHound配合用这个思路不错

                                            • 蜂蜜小熊
                                              蜂蜜小熊 0

                                              @ 白蛇缘 是的,ShotHound就是干这个的,能过滤掉大量无效路径,提高效率。

                                            • 溪桥柳烟
                                              溪桥柳烟 1

                                              为啥默认端口要选这几个?有人知道原因吗

                                                • 铸剑师邓
                                                  铸剑师邓 0

                                                  @ 溪桥柳烟 默认端口那几个都是Windows的高危端口,135、445、3389这些,常用来做横向。

                                                • 荒野追风
                                                  荒野追风 0

                                                  这个在云环境里能用吗?

                                                  • 音乐旅人
                                                    音乐旅人 1

                                                    看起来比传统扫描方式更隐蔽

                                                      • 奶牛糖
                                                        奶牛糖 0

                                                        @ 音乐旅人 确实,不直接接触目标,被发现的概率低很多。

                                                      • 夜枭之瞳
                                                        夜枭之瞳 0

                                                        安装依赖有点多,要是能打包成exe就好了

                                                        • 龙龙威
                                                          龙龙威 0

                                                          这玩意儿对红队来说是个神器啊,隐蔽性确实强。

                                                          • 仙女教母
                                                            仙女教母 0

                                                            之前用nmap扫不到的路由,用这个居然能发现通路。

                                                            • 说书邹
                                                              说书邹 0

                                                              要装impacket啊,那得先配好环境,有点门槛。

                                                                • 墨痕深深
                                                                  墨痕深深 0

                                                                  @ 说书邹 装impacket还行吧,pip一把梭,就是版本容易冲突

                                                                • 银河漩涡
                                                                  银河漩涡 0

                                                                  默认端口那几个都是windows常用的管理端口吧?135、445这些。

                                                                  • 无崖子
                                                                    无崖子 0

                                                                    输出结果格式还挺规整的,方便写脚本解析。

                                                                    • 风凝霜
                                                                      风凝霜 0

                                                                      试了下扫描速度怎么样?会不会很慢?

                                                                      • 韵华似水
                                                                        韵华似水 0

                                                                        跟shothound结合这个点不错,能验证路径实用性。

                                                                        • 墨香铜臭
                                                                          墨香铜臭 0

                                                                          要是目标主机禁了那几个默认端口,是不是就扫不到了?

                                                                            • KookyKangaroo
                                                                              KookyKangaroo 0

                                                                              @ 墨香铜臭 端口被禁的话可以自己指定其他端口扫描吧?

                                                                            • 幻雾奏者
                                                                              幻雾奏者 1

                                                                              文档里给的例子IP都是内网段,外网扫描适用性如何?

                                                                              • 盐商董未
                                                                                盐商董未 0

                                                                                对于蓝队防守方,这东西是不是也能用来排查异常通路?

                                                                                • 秘法者
                                                                                  秘法者 0

                                                                                  这个工具对蓝队也很有帮助吧,排查内网横向时能省不少事。

                                                                                  • Love爱丽丝
                                                                                    Love爱丽丝 0

                                                                                    外网能用吗?感觉依赖域环境的话限制挺大的。

                                                                                    • 脉冲星
                                                                                      脉冲星 1

                                                                                      需要域账号这点有点麻烦,测试环境还好,实战可能不好搞。

                                                                                      • 月亮小奶瓶
                                                                                        月亮小奶瓶 0

                                                                                        跟nmap比优势在哪?就只是更隐蔽吗?

                                                                                        • 书页间的小憩
                                                                                          书页间的小憩 0

                                                                                          实战用过一次,发现了几条之前没注意到的通路,挺惊喜的。

                                                                                          • 墨影如梦
                                                                                            墨影如梦 0

                                                                                            输出结果格式不错,直接就能导入其他工具做分析了。

                                                                                            • 糖人昌
                                                                                              糖人昌 1

                                                                                              看起来原理是通过RPC去探路?那是不是对Windows环境更有效?

                                                                                              • 活力四射
                                                                                                活力四射 0

                                                                                                要配Python和impacket,对新手确实不太友好,容易卡在环境上。

                                                                                                • 行迹客
                                                                                                  行迹客 0

                                                                                                  配置环境这块对新手来说确实容易卡住,得花点时间折腾。

                                                                                                  • 逆风狂飙
                                                                                                    逆风狂飙 1

                                                                                                    之前用过类似思路的工具,隐蔽性确实比nmap强一些,不容易触发告警。

                                                                                                    • 夜鸦
                                                                                                      夜鸦 0

                                                                                                      实战中用过一次,发现了几条之前没注意到的通路,挺惊喜的。

                                                                                                      • 玻璃珠大师
                                                                                                        玻璃珠大师 0

                                                                                                        感觉配置起来有点麻烦,新手可能搞不定。

                                                                                                        • 星渊探秘
                                                                                                          星渊探秘 0

                                                                                                          这工具跟nmap配合用效果应该不错,红队又多了一种探路手段。

                                                                                                            • 深空探险家
                                                                                                              深空探险家 0

                                                                                                              @ 星渊探秘 这工具确实比nmap隐蔽,上次扫内网没触发WAF

                                                                                                            • 剑走偏锋
                                                                                                              剑走偏锋 0

                                                                                                              要是能支持更多协议就好了,现在看起来主要针对Windows环境。

                                                                                                                • 寒江鬼客
                                                                                                                  寒江鬼客 0

                                                                                                                  @ 剑走偏锋 linux机器基本扫不动吧,默认端口全是Windows的命门

                                                                                                                  • 药童白
                                                                                                                    药童白 1

                                                                                                                    @ 剑走偏锋 支持协议太少,加个SSH或HTTP探测就更香了

                                                                                                                  • 猫尾星
                                                                                                                    猫尾星 1

                                                                                                                    有没有更简单的方案?感觉依赖域环境这点有点受限。

                                                                                                                      • 幻星
                                                                                                                        幻星 0

                                                                                                                        @ 猫尾星 域环境限制是硬伤,非域主机就歇菜了?

                                                                                                                        • 犀牛铁柱
                                                                                                                          犀牛铁柱 0

                                                                                                                          @ 猫尾星 可以试试用代理或者VPN绕过限制?

                                                                                                                        • 古道茶香
                                                                                                                          古道茶香 0

                                                                                                                          之前做内网渗透时就缺这种工具,发现隐蔽通路全靠运气。

                                                                                                                          • TinyWhisker
                                                                                                                            TinyWhisker 1

                                                                                                                            输出结果格式挺规整的,方便写脚本解析。

                                                                                                                            • 绣阁听雨
                                                                                                                              绣阁听雨 1

                                                                                                                              实战试过,配合BloodHound找通路效率翻倍,绝了

                                                                                                                                • 灵雾星辰
                                                                                                                                  灵雾星辰 1

                                                                                                                                  @ 绣阁听雨 实战中配合ShotHound用,通路验证快多了

                                                                                                                                • 梁浩
                                                                                                                                  梁浩 1

                                                                                                                                  新手卡在impacket安装半小时,文档能不能给个requirements.txt

                                                                                                                                  • 武丑笑星
                                                                                                                                    武丑笑星 0

                                                                                                                                    默认端口全是Windows的命门,linux环境基本白搭🤔

                                                                                                                                      • 软软小奶团
                                                                                                                                        软软小奶团 0

                                                                                                                                        @ 武丑笑星 试了下在Windows环境确实好用,linux基本没反应

                                                                                                                                      • 夜行魔狼
                                                                                                                                        夜行魔狼 1

                                                                                                                                        前几天刚搞完内网测绘,要是早知道这工具能省两天

                                                                                                                                        • 星辉引路人
                                                                                                                                          星辉引路人 0

                                                                                                                                          输出格式直接喂给Python脚本解析,舒服

                                                                                                                                            • 乱窜的薯条
                                                                                                                                              乱窜的薯条 0

                                                                                                                                              @ 星辉引路人 确实,json格式直接import就行

                                                                                                                                            • 星斗引路
                                                                                                                                              星斗引路 0

                                                                                                                                              为啥不支持ICMP探测?光靠RPC有点单薄啊

                                                                                                                                              • 冷笑话终结者
                                                                                                                                                冷笑话终结者 1

                                                                                                                                                云上VPC里试了下,跨账号网络根本扫不动,还是得本地部署

                                                                                                                                                  • 往日时光
                                                                                                                                                    往日时光 0

                                                                                                                                                    @ 冷笑话终结者 云环境确实限制多,本地部署稳定些

                                                                                                                                                  • WhiskerWatcher
                                                                                                                                                    WhiskerWatcher 0

                                                                                                                                                    这个工具对云环境支持不太行啊,跨网段基本用不了

                                                                                                                                                    • 机智狐狸
                                                                                                                                                      机智狐狸 1

                                                                                                                                                      默认端口都是Windows的,linux环境基本废了

                                                                                                                                                      • 糖宝
                                                                                                                                                        糖宝 0

                                                                                                                                                        依赖域账号太麻烦了,测试还行实战咋用🤔

                                                                                                                                                        • 琼浆玉液
                                                                                                                                                          琼浆玉液 0

                                                                                                                                                          之前内网渗透就缺这种工具,发现通路全靠运气

                                                                                                                                                          • 七煞魔君
                                                                                                                                                            七煞魔君 0

                                                                                                                                                            跟nmap比隐蔽性确实强,不容易触发告警

                                                                                                                                                            • 基因设计师
                                                                                                                                                              基因设计师 0

                                                                                                                                                              试了下扫描速度还行,但配置确实有点门槛

                                                                                                                                                              • 霸道小妞
                                                                                                                                                                霸道小妞 0

                                                                                                                                                                输出格式挺规整,写脚本处理很方便

                                                                                                                                                                • FrostyPaws
                                                                                                                                                                  FrostyPaws 0

                                                                                                                                                                  蓝队也能用这个排查异常访问路径吧

                                                                                                                                                                  • 夜孤
                                                                                                                                                                    夜孤 0

                                                                                                                                                                    安装impacket卡了半天,新手建议直接看官方文档

                                                                                                                                                                    • 小木马
                                                                                                                                                                      小木马 0

                                                                                                                                                                      要是能支持更多协议就好了,现在主要针对Windows

                                                                                                                                                                      • 日月同辉
                                                                                                                                                                        日月同辉 0

                                                                                                                                                                        配置环境卡了俩小时,impacket依赖真坑

                                                                                                                                                                        • 奶香屋
                                                                                                                                                                          奶香屋 0

                                                                                                                                                                          新手求问域账号必须是管理员吗?普通用户能跑不?

                                                                                                                                                                          • 豆豆小奶龙
                                                                                                                                                                            豆豆小奶龙 0

                                                                                                                                                                            之前内网渗透靠猜通路,这工具直接省一半时间

                                                                                                                                                                            • 月蚀之诗
                                                                                                                                                                              月蚀之诗 0

                                                                                                                                                                              云上跨VPC根本没法用,本地网络还行

                                                                                                                                                                              • 水音
                                                                                                                                                                                水音 0

                                                                                                                                                                                输出结果直接丢进Python处理,格式太友好了

                                                                                                                                                                                • 霸道的向日葵
                                                                                                                                                                                  霸道的向日葵 0

                                                                                                                                                                                  这玩意隐蔽性确实强,比nmap安静多了

                                                                                                                                                                                  • 心旅者
                                                                                                                                                                                    心旅者 0

                                                                                                                                                                                    普通域用户权限够用吗?还是得高权限账号?

                                                                                                                                                                                    • 墨影
                                                                                                                                                                                      墨影 0

                                                                                                                                                                                      为啥不支持ICMP探测呢?感觉功能有点单一

                                                                                                                                                                                      • 未来哨兵
                                                                                                                                                                                        未来哨兵 1

                                                                                                                                                                                        前几天做内网测绘用过,确实比nmap安静多了

                                                                                                                                                                                        • 攀岩新手
                                                                                                                                                                                          攀岩新手 1

                                                                                                                                                                                          和Nmap结合用应该效果不错

                                                                                                                                                                                          • 绝望之镰
                                                                                                                                                                                            绝望之镰 1

                                                                                                                                                                                            适合用来做内网渗透测试吧?

                                                                                                                                                                                            • 肥宅快乐兽
                                                                                                                                                                                              肥宅快乐兽 1

                                                                                                                                                                                              这个比喻还挺形象的

                                                                                                                                                                                                • 梢子
                                                                                                                                                                                                  梢子 1

                                                                                                                                                                                                  @ 肥宅快乐兽 一看就是老军事爱好者了

                                                                                                                                                                                                • 小风车糖
                                                                                                                                                                                                  小风车糖 1

                                                                                                                                                                                                  端口状态分得挺细,能过滤未知状态挺实用

                                                                                                                                                                                                    • 枫少@KillBoy
                                                                                                                                                                                                      枫少@KillBoy

                                                                                                                                                                                                      @ 小风车糖 状态分得细才好用,过滤未知能省不少时间

                                                                                                                                                                                                    • 寒潭静水
                                                                                                                                                                                                      寒潭静水 1

                                                                                                                                                                                                      这个项目还在更新吗?

                                                                                                                                                                                                    匿名

                                                                                                                                                                                                    发表评论

                                                                                                                                                                                                    匿名网友

                                                                                                                                                                                                    拖动滑块以完成验证