网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
原文链接:https://zone.huoxian.cn/d/2946-nsmartproxy
作者:和
目前在RedTeam中,常用的几款穿透工具FRP 、NPS等杀软拦截效果越来越高,就算落地不杀在数据交互的过程中行为会被杀软拦截,最常见的是某数字的主动防御在防护穿透流量的效果上是好过火的。当然目前一些简单的工具二开已经满足不了RedTeam需求了。所以最近用来使用的工具NSmartProxy用来做端口转发效果还是比较好的。当然需要组合拳使用。
安装服务端
wget https://github.com/tmoonlight/NSmartProxy/releases/download/1.3_alpha/nspserver_scd_linux_v1.3_alpha.zipunzip nspserver_scd_linux_v1.3_alpha.zipchmod +x ./NSmartProxy.ServerHost./NSmartProxy.ServerHost
客户端配置appsettings.json文件
{"ProviderWebPort": 12309, //服务器端口"ProviderAddress": "xx.xx.xx.xx", //服务器地址//反向代理客户端列表"Clients": [{//mstsc远程控制服务"IP": "127.0.0.1", //反向代理机器的ip"TargetServicePort": "3389" //反向代理服务的端口"ConsumerPort":"3389" //外网访问端口,如被占用,则会从20000开始按顺序分配端口},{//网站服务"IP": "127.0.0.1","TargetServicePort": "80"},{//ftp服务"IP": "127.0.0.1","TargetServicePort": "21","IsCompress" : true, //表示启动传输压缩"Description": "这是一个ftp协议。" //描述字段,方便用户在服务端界面识别},{//mosh服务"IP": "192.168.0.168", //安装mosh服务的受控端地址"TargetServicePort": "60002","ConsumerPort": "30002","Protocol": "UDP" //表示是一个UDP协议,如果不加以配置,则以TCP协议来转发}]}
这里按需配置
{"ProviderWebPort": 12309, //服务器端口"ProviderAddress": "182.92.118.224", //服务器地址//反向代理客户端列表"Clients": [{//mstsc远程控制服务"IP": "127.0.0.1", //反向代理机器的ip"TargetServicePort": "3389" //反向代理服务的端口"ConsumerPort":"3389" //外网访问端口,如被占用,则会从20000开始按顺序分配端口}]}
服务端连接状态显示
启动客户端
配置连接RDP
缺点:
目前仅支持内网端口转发,不支持socks隧道和http隧道。
目前该工具安全软件不拦截
使用wireshark进行抓包分析,检索所有目的指向VPS的流量ip.addr == x.x.x.x
第一条TCP流量客户端连接了VPS的服务端口12309
数据流无明显流量特征。最明显的特征一为客户端连接的时候走的是HTTP流量,登录方式为GET
这里由于服务端无配置用户名以及密码认证,目前开发者文档中无关于客户端认证的描述。服务端返回状态码200,返回Userid、Version以及Token等字段,客户端根据服务端返回的字段请求/GetServerClientConfig
客户端身份认证后请求服务端端口文件,进行反向连接
当使用VPS实现端口转发登录3389时,会走tls协议
在连接RDP之后,执行的命令都是走的SSL/TLS协议,无法直接查看明文内容。在 RDP 会话中,所有的通信都是端到端加密的,并且密钥只在客户端和服务器之间共享,这意味着第三方无法解密或更改数据包。
TIPS
那么问题来了,目前工具的流量特征目前杀软不拦,其实在一定程度上RedTeam攻击时可以利用NSmartProxy结合会话劫持组合拳实现权限维持。
某商平台告警
这里没有使用全流量设备去探测流量,而是直接使用了态感。因为该工具再做端口转发的时候,流量走的是明文的,所以在客户端与服务器建立连接的时候规则库有字段特征告警的话,其实在利用上来说队伍红队也相当于在“裸奔”,这个时候不过过不过本机杀软的问题而是过不过安全设备的问题。
文章一直搁置了没有发布,刚好现在正值一个某市的HV,靶标的数字杀软快给人搞崩溃了,先是用户添加出问题,然后是隧道穿透一大难,常见的FRP、NPS的免杀目前数字杀软这么屌么,恶心透了。npc都是行为被拦而不杀
没有一个完全的控制走隧道socks挂代理跑工具总觉得太慢,这次端口转发NSmart的表现太优秀了
冰蝎的内存马传上的工具,直接起,过数字杀软转发上线
连接状态
表现简直太Nice了。
点赞 + 在看 铁铁们点起来,最后祝大家都能心想事成、发大财、行大运。
原文始发于微信公众号(TtTeam):实战红蓝:谈一谈NSmartProxy流量特征在实战中的表现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论