漏洞编号:Windows2008_20240902_frp0.39_01
漏洞URI/IP:
http://192.168.81.143
接入点:JB
漏洞描述:
攻击者在正常或非正常连接时与目标靶机建立联系后,能将frp工具上传至目标靶机,使vps与靶机建立隧道后,可使用代理访问到目标靶机的内网网段。
漏洞详情:
frp 是一个可用于内网穿透的高性能的反向代理应用,支持TCP、UDP协议,为HTTP和HTTPS应用协议提供了额外的能力,且尝试性支持了点对点穿透。frp 采用go语言开发。更多的人使用 frp 是为了进行反向代理,满足通过公网服务器访问处于内网的服务,如访问内网web服务,远程ssh内网服务器,远程控制内网NAS等,实现类似花生壳、ngrok等功能。而对于内网渗透来讲,这种功能恰好能够满足我们
进行内网渗透的流量转发。FRP最大的一个特点是使用SOCKS代理,而SOCKS是加密通信的,类似于做了一个加密的隧道,可以把外网的流量,通过加密隧道穿透到内网。效果有些类似于VPN。
frp 主要由客户端(frpc)和服务端(frps)组成,服务端通常部署在具有公网 IP 的机器上,客户端通常部署在需要穿透的内网服务所在的机器上。内网服务由于没有公网 IP,不能被非局域网内的其他用户访问。隐藏用户通过访问服务端的 frps,由 frp 负责根据请求的端口或其他信息将请求路由到对应的内网机器,从而实现通信。
内网渗透具体流程
(1)Windows2008边缘主机的内网组建
(2)Windows2008克隆机内网组建
(3)导入frpc运行程序,并写frpc.ini配置文件和frps.vbs
(4)配置克隆机的ip地址
(5)运行frpc的客户端
(6)配置frps.ini配置文件
(7)运行frps
(8)用后台运行命令运行frps
(9)netstat查看监听端口
(10)配置火狐浏览器上的代理
(11)查看ip10.10.10.80
(12)配置端口转发
(13)frpc客服端运行脚本
(14)远程控制登录,设为允许远程登录
(15)远程登录测试
(16)查看远程ip地址
修复建议:
- 文件类型验证:在服务器端对上传的文件进行类型验证,检查文件的扩展名和内容类型是否符合预期。不仅仅依赖于客户端的验证,因为客户端验证可以被绕过。
- 文件权限设置:确保上传的文件被保存在非Web根目录下,并为文件设置适当的权限,限制对文件的直接执行和访问权限。
- 安全策略设置:对与公网连通的服务器ip进行CDN加速配置,避免真实ip直接暴露在公网环境。
- 文件内容检查:对上传的文件进行内容检查,使用杀毒软件或安全扫描工具来检测潜在的恶意代码或文件。
- 限制上传目录:仅允许文件上传到特定目录,避免上传到敏感目录或可执行文件所在的目录。