前言
第一次使用某商设备,不同厂商的规则库不一样,总的来说流量监控很大一部分是基于规则库来实现的,所以在进行内网穿透的时候就要考虑如何bypass设备告警。
环境搭建
ubuntu 公网vps
win10内网主机
wget https://github.com/fatedier/frp/releases/download/v0.44.0/frp_0.44.0_linux_amd64.tar.gz
[img=720,31.52238805970149]https://www.hetianlab.com/headImg.action?news=4d80453d-5a69-491a-920c-77e2f7dad2e2.png[/img]
服务端配置- bind_port = 9666 //frp服务端端口<br>token = 123 //客户端连接时的token认证<br>dashboard_port=9999 //面板服务端口<br>dashboard_user=Ggoodstudy //用户名<br>dashboard_pwd=xxxx //密码<br>enable_prometheus=true<br>log_file=/var/log/frps.log //日志存放位置<br>log_level=info<br>log_max_days=3 <br>vhost_http_port=9998 //http服务端口
启动
./frps -c frps.ini
如果后台运行
nohup ./frps -c frps.ini &
[img=720,38.943396226415096]https://www.hetianlab.com/headImg.action?news=f17171f3-ce8d-4d83-94fb-98225aa987b8.png[/img]
访问面板
http://xx.xxx.xx.xx:9666
输入账号密码登录
[img=720,347.70261219022103]https://www.hetianlab.com/headImg.action?news=db8673e0-e935-4952-bd97-ac91f66083fd.png[/img]
此时服务端的配置已成功,客户端配置- [common]<br>server_addr = xx.xxx.x.x<br>server_port = 9666<br>token = 123<br>[rdp]<br>type = tcp<br>local_ip = 127.0.0.1 <br>local_port = 3389<br>remote_port = 7004
[img=720,292.4475524475524]https://www.hetianlab.com/headImg.action?news=63894782-eac9-4d71-a0aa-31f0b9d84ed1.png[/img]
mstsc连接到主机
[img=720,449.50276243093924]https://www.hetianlab.com/headImg.action?news=0d776f0d-6bfb-405a-9bd5-4b27027deb2c.png[/img]
抓取数据包
host xx.xx.xx.xx
[img=720,340.11049723756906]https://www.hetianlab.com/headImg.action?news=baae190f-a0b6-4fc1-b342-6a3a9f9b239a.png[/img]
主机ip192.168.43.246
[img=720,241.61725067385444]https://www.hetianlab.com/headImg.action?news=059da82c-600b-4bcf-8b04-40a972f6b8c7.png[/img]
这里我们可以看到请求的流量包,在请求服务端的9666端口
[img=720,117.70992366412214]https://www.hetianlab.com/headImg.action?news=eaf70f09-69cb-41a3-99b4-edefecdf6fb1.png[/img]
详情内容就是
[img=720,249.88606485539]https://www.hetianlab.com/headImg.action?news=2d5048a3-cb42-43b2-80c7-550bbc66215c.png[/img]
可以看到详细数据包中src_addr为受害主机出口地址,目的端口dst_port为vps的穿透端口7004端口,目的ip为vps的私网地址。
[img=720,38.45962732919255]https://www.hetianlab.com/headImg.action?news=1ed457a5-58d0-467c-a820-8b309815de8c.png[/img]
此时的连接状态显示的,同时,查看远程时的连接远程桌面时会产生这样流量特征run_id
[img=720,234.07616361071933]https://www.hetianlab.com/headImg.action?news=4f683c08-5175-46ef-84f5-d7c1cb5af856.png[/img]
另外有特别的发现,虚拟机winserver 2012 R2在运行客户端之后,vps在连接的过程中也能获取到宿主机的用户名
[img=720,286.9394435351882]https://www.hetianlab.com/headImg.action?news=054bde0f-aa40-4f30-b150-1fb7c012f577.png[/img]
这是一个比较特别的点儿,剩余的流量就是vps和跳板机的流量交互,没有很明显的特征。
回头看某商设备对于frp内网穿透的告警
我们可以对比之前的流量包,缺少的字段且仅有udp端口
这里可能某商的规则id是基于udp_port或者说是version字段而产生的告警行为。
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
魔改
从几个方面规避流量监测
1.交互量加密
对frp的认证使用tls加密,修改服务端frps.ini
tlsonly = true
客户端配置frpc.ini
tlsenable = true
2.重写服务端
在上面的流量包中可以看到,在进行交互的时候
[img=720,157.6510067114094]https://www.hetianlab.com/headImg.action?news=239dbdc2-c47e-4216-a445-0dd770ce07b8.png[/img]
服务端会请求客户端配置文件内容proxy_name,那么在定义变量的服务端,可以重写方法- case *msg.NewVisitorConn:<br> if err = svr.RegisterVisitorConn(conn, m); err != nil {<br> xl.Warn("register visitor conn error: %v", err)<br> msg.WriteMsg(conn, &msg.NewVisitorConnResp{<br> ProxyName: m.ProxyName,<br> Error: util.GenerateResponseErrorString("register visitor conn error", err, svr.cfg.DetailedErrorsToClient),<br> })<br> conn.Close()<br> } else {<br> msg.WriteMsg(conn, &msg.NewVisitorConnResp{<br> ProxyName: m.ProxyName,<br> Error: "",<br> })<br> }
总结
frp的特征比较明显,所以就单纯魔改frp的话除了流量上做加密外,简单的修改特征bypass设备也是可以实现的。
本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本人无关。
更多靶场实验练习、网安学习资料,请点击这里>>
搜索
复制
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
