漏洞反连检测组合拳:内网穿透与多协议复用端口

已于 2023-11-07 11:12:07 修改
阅读量191 收藏
点赞数
文章标签: 网络 安全 自动化
于 2023-11-07 11:06:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YakProject/article/details/134262842
版权

http://Yaklang.io反连技术三板斧

反连服务

多协议端口复用

内网穿透

反连是什么?为什么要做

很多时候,我们在进行漏洞检测时无法通过应用返回的信息来确定一个漏洞是否存在。但是如果命令/特殊操作确实执行了,那我们如何证明这个命令或者特殊操作执行了呢?

我们习惯性把这种漏洞检测技术称为:无回显的漏洞检测技术。

一般来说,无回显漏洞检测技术可以分为两种:

  1. sleep / benchmark 耗时操作检测。
  2. dnslog / http-reverse / tcp / tls / rmi 等服务外连检测。

严格来说,我并不觉得 sleep / benchmark 不算回显,耗时操作本来也算是可直接观测到的指标。除此之外,sleep / benchmark将会引起服务器端各种各样的小问题:

  1. 如果服务器是单线程,sleep 将会造成阻塞,
  2. 如果服务器 CPU 不太行,benchmark 将会消耗资源
  3. 如果发生在数据库中,很多生产环境中的数据库会针对 SQL 语句执行做各种限制,例如:
  4. 认为超时的 SQL 语句为 badsql,直接切断当前查询进程
  5. SQL 连接池恶意占用会造成其他查询失败,甚至整体 down 机

4. sleep 如果执行在了for/while分支中,将会造成 sleep 的时间远大于预期值,或者直接为 0。

相比之下,服务外连检测是一个更加 "稳妥" 的办法。

DNS反连检测原理

举个例子,服务外连时,我们执行 curl http://abc.example.com 命令:

  1. 这个时候,http://abc.example.com 将会被解析,会查询 http://abc.example.com 的NS记录和A记录
  2. 如果NS记录存在 (http://ns1.example.com),会向http://ns1.example.com 查询 http://abc.example.com的A记录。
  3. 如果 NS 不存在,则直接向公共服务器启用 A记录查询。

上述描述的过程中,如果我们可以控制 http://ns1.example.com 的话,任何用户查询的过程将会被记录下来。

当然,我们可以人为设置一个子域名,任何查询到这个子域名的请求被集合展示,这就是 http://dnslog.cn 的核心原理。

RMI/HTTP/TLS

当然,在上面的例子中,我们 curl http://abc.example.com 如果可以找到对应的 IP,将会对 IP 发起一个 HTTP 请求。

这个请求的原始数据包和任何内容都可以被我们控制的反连服务器记录下来。

  1. 如果我们实现了 HTTP 协议,将会记录下 HTTP 相关的详细信息
  2. 如果我们实现了 RMI / LDAP / TLS 等,就可以记录下反连时携带的信息

这些信息对判断漏洞是否存在,或者收集一些敏感信息,例如 AWS_SECRET_KEY / ACCESS_KEY / SECRET_KEY等很有用。

多协议端口复用:Facade技术

大家在上图可能注意到了一个有趣的现象,RMI 也好 HTTP/HTTPS 也好,我们都监听在了同一个端口上。

有同学问,这样真的不会有问题吗?

这个技术并不是什么高深的技术,端口复用其实是一个很简单的操作,不同协议的协议头是不一样的:

例如:

  1. TLS 协议要先进行 TLS 握手(handshake) 操作。在 TLS 握手时,我们将会识别到这是一个 TLS 握手操作,客户端把服务器当作一个 TLS 服务来判断,那么服务端将会自动返回 TLS 应该收到的东西。
  2. RMI 的协议头为 JRMI,当我们收到客户端发来这几个字节时,我们就应该回复 RMI 应该识别的内容
  3. 当然 HTTP 更简单了,对吧?

当然我们集合了常见的这几种协议,同时在一个端口上开启,早一段时间大家管这个技术叫拟态其实也可以说是 http://yaklang.io 实现了 拟态反连服务器。

我们给这个服务器起名叫Facade

如果两个协议的头完全一样,将会造成 Facade 服务器混淆协议。

当然这种情况其实比较稀有,如果有,也可以通过设置 Facade 识别协议缓存大小来处理,大家可以不必担心协议错误的问题。

协议复用除了方便,还有别的好处吗?

在实战过程中,很多用户发现,虽然我们有些协议无法识别,但是 TCP 连接始终可以识别到,这样做是为了 "兜底"。

遇到了见不到的协议,但是反连确实连接回来了,虽然只是 TCP,但是用户至少知道目标存在一个反连问题,不是吗?

内网穿透:对标实现ngrok穿透

很多时候,我们在进行扫描的时候,并不一定及时能搭配起一个公网服务器开启反连服务器。就算公网服务器开启了反连服务,我们的漏洞 Payload 打出去并不一定能及时知道自己的服务器接收到了对应反连。

那么如何解决这个问题呢?当然,对于 http://yaklang.io 项目来说,最简单的就是在公网部署一个 yak 引擎。除此之外,还有别的解决办法吗?

熟悉 ngrok 的同学就会说,我们可以部署一个 ngrok 让本地的服务器在远端上线。

很多同学在使用 CS 上线节点的时候都这么操作。

于是,我们在 yak 中实现了一套机制,叫 cybertunnel, 使用 grpc 构建了一套端口穿透的技术,我们可以实现映射一个本地 tcp / udp 协议端口到远端。甚至于说,我们都可以映射一个本地 dnslog 服务器到远端(远端需要域名提供商配置解析记录)

Yak引擎的穿透服务

服务器配置

当然,穿透服务是需要一个远端服务器打配合的

服务器上安装了 yak 核心引擎的话,使用 yak bridge 即可解决这个问题

yak bridge --secret [your-password]

如果只有 docker 环境,可以使用 https://github.com/yaklang/yak-bridge-docker/ 中的解决方案

 docker run -d --rm --net=host v1ll4n/yak-bridge yak bridge --secret [your-awesome-password-for-u-bridge]

一条命令即可启动一个 Yak bridge 服务器

Yak 内网穿透客户端

Yak 用于穿透本地端口到 yak bridge 的时候,其实非常简单,我们执行 Yak tunnel -h 即可看到如下帮助信息

➜  yak-engine yak tunnel -h  
NAME:  
   yak tunnel -  
  
USAGE:  
   yak tunnel [command options] [arguments...]  
  
OPTIONS:  
   --server value                  (default: "cybertunnel.run:64333")  
   --local-port value              (default: 53)  
   --remote-port value             (default: 53)  
   --secret value  
   --network value, --proto value  (default: "tcp")

其实配置非常简单

  1. --server 内容是我们启动的 yak bridge 的公网地址,[host/ip]:[port] 即可
  2. --local-port 是我们想要穿透的本地端口
  3. --remote-port 是我们想要穿透到 yak bridge 的远端端口
  4. --secret 是我们启动 yak bridge 时设置的密码
  5. --network 是说我们想要映射的本地端口的协议,同时支持 udp 和 tcp,因此我们可以把本地 dnslog 映射出去。

我们可以使用 yak tunnel 映射本地任何端口出去,包括 yak grpc,因此我们在内网进行渗透的时候,只要运行一个 yak grpc,再通过 yak tunnel 穿透出去,就可以使用 yakit 连接了!

yakit 的反连支持

当然,除了 yak 支持的任意端口的映射之外,我们也可以支持 yakit 把反连服务器映射到远端。对于 yakit 来说,减轻用户的操作负担其实是最核心的诉求。

在我们配置完成成功连接之后,所有内容将会保存到 yakit 的本地 ~/yakit-projects/base/yakit-local.json 文件夹中。

在之后每次启动 yakit 的时候,都会自动链接 yak bridge。无需手动再配置。。

yak bridge 只有端口映射与获取当前公网 IP 两个功能,并无其他功能,所以版本并不需要太高,只要支持 yak bridge 子命令均可运行。

融合:Yakit插件与反连技术的完美融合

当我们在 yakit 任意可执行插件的地方执行

 url := risk.NewPublicReverseHTTPUrl(risk.title("反连服务器测试"), risk.type("测试反连"))  
println(url)  
rsp, err := http.Get(url)  
die(err)  
http.show(rsp)

我们发现我们得到了如下结果

代码其实非常简单,我们在任何需要检测漏洞的时候,如果需要获取反连 URL,特别是公网可以访问的 URL。

我们使用 risk.NewPublicReverseHTTPUrl / risk.NewPublicReverseRMIUrl / ... 等可以获取到一个可用的带 Token 的反连 URL。

把它作为 Payload 传入漏洞检测中,即可实现反连检测漏洞。

所有具体的 API 在这里可以找到:https://www.yaklang.io/docs/api/ris

Yak官方资源

Yak 语言官方教程:
https://yaklang.com/docs/intro/
Yakit 视频教程:
https://space.bilibili.com/437503777
Github下载地址:
https://github.com/yaklang/yakit
Yakit官网下载地址:
https://yaklang.com/
Yakit安装文档:
https://yaklang.com/products/download_and_install
Yakit使用文档:
https://yaklang.com/products/intro/
常见问题速查:
https://yaklang.com/products/FAQ

YakProject
关注
内网穿透代理服务器nps使用初探(三)微信小程序内网穿透
gmHappy
12-07 2472
内网网站(内网机器`192.168.1.113`上部署的`Web`服务,因微信小程序开发需要采用`https`协议,`https`端口为`8070`),想通过外网`39.97.238.139`(给定域名如:https://proxy.***.com/)的`8070`端口进行内网网站访问。 **`NPS`这里有几个点需要注意**: - 域名解析不能配置端口号,且只能解析到你配置好的`http`端口和`https`端口。 - 只要在内网机器上做好了`https`,可以直接用`TCP`,很方便。
树莓派造服务器(三):内网穿透方案
Mond的博客
08-22 5185
本篇文章将介绍内网穿透的几种方法,并记录通过frp实现树莓派利用阿里云主机内网穿透的过程,同时还会介绍有关阿里云主机的选购方案。如有错误,还望各位看官及时指出。 树莓派有了LAMP,已经可以承担起服务器的工作,如果你只打算做家庭服务器的话,本篇文章完全没有必要,但如果想要在外面也能了连到家里内网中的树莓派服务器,就需要完成这样一个工作:内网穿透内网穿透有很多种方法,这里主要说以下三种: 如果家里有公网IP的话,可以用路由器做映射,进而实现内网穿透; 花生壳、natapp、ngrok等商业化或非商业.
内网渗透-(端口复用和隧道建立)
qq_50643984的博客
03-15 3630
前言: 首先对于出网与不出网的区别很多人不理解,内网不出网到底是ping不通百度还是ping不通同一网段的机器。 其实大部分内网不出网都是ping不通百度,不能去外网,ping不通同一网段要不是配置错误,要不就是防火墙问题,还有就是不能ping通同一网段的机器上线价值不大,以下我们讨论的不出网都是不能ping通百度的。 对于有双网卡的机器,既可以出外网又和内网机器相同我们称这个机器为(DMZ区机器),也就是win7机器,一般也是我们的跳板机。 对于这种我们可以直接拿下dmz区域的机器,利用dmz机器跳板进
内网穿透工具-venom
weixin_43227251的博客
04-12 1133
venom 反向连接和正向连接 admin节点和agent节点均可监听连接也可发起连接 admin监听端口,agent发起连接: ./admin_macos_x64 -lport 9999 ./agent_linux_x64 -rhost 192.168.0.103 -rport 9999 agent监听端口,admin发起连接: ./agent_linux_x64 -lport 8888 ./admin_macos_x64 -rhost 192.168.204.139 -rport 8888 网络拓扑
了解内网穿透
qq_45781155的博客
07-02 990
内网穿透的概念: 内网穿透,也即 NAT 穿透,进行 NAT 穿透是为了使具有某一个特定源 IP 地址和源端口号的数据包不被 NAT 设备屏蔽而正确路由到内网主机。下面就相互通信的主机在网络中与 NAT 设备的相对位置介绍内网穿透方法。 通信双方一台位于 NAT 之后: 一台主机有一个公网 IP,另一台主机有一个内网 IP。 Client A 位于 NAT 之后,并拥有[IP 地址:端口]对[10.0.0.1:1234],Client B位于 NAT 之前,并拥有[IP 地址:端口]对[138.76.2
Xray-反连平台搭建以及问题解决
weixin_45725490的博客
07-18 6690
Xray-反连平台搭建以及问题解决
Yakit:不用 Token 也能执行的反连检测技术!
YakProject的博客
11-01 1299
在传统的反连/出网技术检测中,不管是 dnslog 还是 RMI / LDAP Fake 服务器,或者是最基础的 HTTP 服务器,如果需要自动化监测并报告漏洞,需要把 Token 与发出的 Payload 检测漏洞需要对应。同时,在YAK 中实现了一套 cybertunnel 的机制,使用 grpc 构建了一套端口穿透的技术,可以映射一个本地 tcp / udp 协议端口到远端。当我用搜索引擎,如谷歌和百度搜索“反连平台”四个字时,首页几乎所有的内容都是xray的反连平台。
基于Netty框架的Java内网穿透与反向代理工具设计源码
最新发布
09-26
该项目是一款基于Netty框架开发的Java内网穿透与反向代理工具设计源码,总计包含117个文件,涵盖70个Java源文件、9个PNG图片文件、8...该工具支持TCP上层协议和HTTP/HTTPS端口复用,适用于实现内网穿透和反向代理功能。
内网穿透FRP工具 windows 客户端和服务端 V0.46
03-02
frp 是什么? frp 是一个专注于内网穿透的高性能的反向代理...端口复用,多个服务通过同一个服务端端口暴露。 多个原生支持的客户端插件(静态文件查看,HTTP、SOCK5 代理等),便于独立使用 frp 客户端完成某些工作。
[Kali Linux]入门:内网穿透的教程和实战(很适合入门|附图)
MSB_WLAQ的博客
10-07 5367
hello 各位freebuf的铁铁,我是白面安全猿,我又来发表文章了。因为最近有好多网友问我关于内网穿透的事情,所以打算写一篇教程尽量教会各位刚入门kali的新手和没有具体了解过内网穿透的老手内网穿透! 我这个人也不喜欢搞什么花里胡少的东西,原理我就不多说了,说了新手理解起来比较吃力,都是从那一步来的都知道。如果想要具体去了解内网穿透原理的话可以去看看其他博主的文章。 首先想要内网穿透的话必须先要用到内网穿透的工具,很多第三方都提供了内网穿透的工具,比如花生壳啊或者飞鸽啊等等,那么我这里推荐一下sun
新功能史上最好用的反连&JavaHack,安全能力基座强化ing
YakProject的博客
11-02 334
有些Java漏洞的利用太繁琐了,需要java环境、多种工具配合使用、还要在 VPS 上看回显、记各种命令…对比之下 Yakit 真的太好用了。本次更新的两个功能基本上可以解决大部分Java漏洞利用的场景,希望师傅们多多使用,欢迎提出意见。附上插件最新功能速递插件可以申请修改他人的插件啦~作者同意修改后,插件协作者也会增加你的署名噢~插件仓库—下载—编辑—提交申请内容,只需几步轻松完成提交修改以后,可在“日志”查看修改记录,以及作者审核结果。
Xray-反连平台搭建
痴人说梦梦中人
05-12 1万+
一、简介 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。 发包速度快; 漏洞检测算法高效。 支持范围广。 大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。 编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。 通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。 xray 定位为一款安全辅助评估
内网渗透系列:内网隧道之Venom
闵行小鱼塘
04-09 1457
本文研究端口转发&SOCKS5&SSH的一个工具,Venom
关于 frp+nginx实现内网穿透+共用端口
ajax_yan的博客
12-03 8241
首先  frps  和 frpc  对比 [common] bind_addr = 0.0.0.0 #bind_port frp链接的端口  首先必须在安全组开放端口,其次,访问时 客户端要和服务端一致 bind_port = 7000 #vhost_http_port  :是自定义的 与客户端无关  如果定义为8000,首先必须在安全组开放端口,其次,访问时 要加端口8000  ,80默认不写...
内网穿透的实现和原理解析
热门推荐
xinpz的博客
09-17 8万+
  需求场景:        基于微信平台开发服务号,本地移动端测试时,需要在微信平台注册测试号,然后填写接口配置信息,此信息需要你有自己的服务器资源,填写的URL需要正确响应微信发送的Token验证。如何能让外网访问到本地服务器呢,就需要用到内网穿透技术(NAT)。 注意:微信平台只支持80端口和443端口 内网穿透的目的:简单来说就是让外网能访问你本地的应用 几个概念: 1.OS...
TCP端口复用
蜜汁程序员的博客
10-31 1万+
  TCP端口复用 用于TCP穿透之中。 为了验证真实性,写了一个小例子。 试验了一个端口是否可以同时进行监听接收和发送 ,创建了四个进程。 原理: 1.设置::setsockopt(accept_fd, SOL_SOCKET, SO_REUSEADDR, &opt, sizeof (opt)); 2.  ::setsockopt(accept_fd, SOL_SOCKET, ...
聊聊端口映射和内网穿透
suswulongyuan的博客
06-13 1万+
今天又是说网络~~ 来聊聊端口映射和内网穿透趴~~ 专业词汇的理解 1.源地址:访问者 2.目标地址:被访问者 3.源地址转发: 比如你在家中,家中的电脑的内网ip地址为源地址,你的电脑需要上网,那么就需要将你的内网地址伪装成公网地址,这样在成功拨号之后,内网就可以连接到外网了。 4.端口映射和目标地址转发: 局域网内某个设备的端口映射到公网IP,这样外部就可以访问。外部可以 通s过公网IP和端口号,来访问内部的设备。 比如开放BT端口、迅雷端口、NAS端口,都要把他们映射出去,这样BT、迅雷连接到公网,
内网穿透+端口映射
chuckall的博客
04-21 1706
免费的内网穿透服务,速度还可以~~ 樱花FRP 官网: https://www.natfrp.com/ 注册账号-然后登录 创建隧道-创建一个映射本地8080端口的映射 -进入控制面板-软件下载,然后安装打开 在用户信息中查看访问密匙登录启动器 创建一个demo 写个test 接口测试一下: 浏览器访问 http://localhost:8080/test 日志中查看映射IP 完成 ...
内网穿透与全互联方案详解:绕过UDP防火墙实现便捷联调
如果访问者众多,而端口管理更为重要,内网穿透方案可能更合适,但要确保安全性和端口的可用性。 Gost是一个推荐使用的工具,它是一个多功能代理服务器,可以在GitHub上找到其源代码(<https://github....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值