内网穿透工具--Stowaway流量特征检测分析

最新推荐文章于 2024-05-31 11:49:58 发布
最新推荐文章于 2024-05-31 11:49:58 发布
阅读量1.6k 收藏 40
点赞数 27
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36259703/article/details/135828275
版权
本文介绍了Stowaway,一个由Go语言编写的渗透测试工具,它支持多级代理和内网访问突破。文章详细讲解了环境配置、测试流程以及Admin和Agent的逻辑分析,特别关注了Normal_ACTIVE和NormalPassive模式的工作原理。
摘要由CSDN通过智能技术生成

工具介绍

项目地址
https://github.com/ph4ntonn/Stowaway
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具
用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能
结构特征:
感觉类似termite

流量&逻辑分析

截止到目前为止,官网最新版本为2.1版本

环境&测试准备

环境配置
外部服务器Ubantu 192.168.2.134 stowaway admin端
内部服务器WIn10 192.168.2.1 stowaway agent端
内部资源Win7 http://192.168.2.130:8888 只允许192.168.2.1访问

测试流程

  1. Ubantu运行下面命令对3000端口进行监听处理

./linux_x64_admin -l 3000

image.png

  1. Win10连接Ubantu监听的3000端口

.\windows_x64_agent.exe -c 192.168.2.134:3000image.png

  1. 在Ubantu上可以执行各种功能

image.png

检测特征

其整体架构和相关的页面个人感觉和Termite非常类似,其中admin和agent的入口函数分别在agent目录下的agent.go和admin目录下的admin.go
image.png
admin和agent中都会调用initial.ParseOptions方法对输入的参数做解析,确定运行的模式的一些其他功能的开启与否。

Agent逻辑分析

下面这些逻辑和分析基于未使用-s参数,即未加密情况进行,加密情况另行研究
主入口函数为agent#agent.go#19#main.php,主要方法如下:
image.png
参数解析需要注意一下,关于up和down的参数,默认只有http和raw两种类型,直接跟踪process.NewAgent方法
image.png
其中UUID参数值在protocol#protocol.go中定义
image.png
childrenMessChan用于生成ChildrenMess传输信道,其由两部分组成,Header+message,Header同样在protocol.go中定义
image.png
之后针对不同的分支做不同的处理,其实就是进入method.go的不同分支,针对admin和agent都是一样的操作。

NORMAL_ACTIVE类型(-c参数)

image.png
函数入口在agent#initial#method.go#46-110,主要代码如下:

func NormalActive(userOptions *Options, proxy share.Proxy) (net.Conn, string) {
    //实例化发送消息和接收消息
    var sMessage, rMessage protocol.Message
    // 生成HIMEss,相关数据结构在protocol.go中定义
    hiMess := &protocol.HIMess{
        GreetingLen: uint16(len("Shhh...")),
        Greeting:    "Shhh...",
        UUIDLen:     uint16(len(protocol.TEMP_UUID)), //IAMNEWHERE
        UUID:        protocol.TEMP_UUID,	//IAMNEWHERE
        IsAdmin:     0,
        IsReconnect: 0,
    }
    header := &protocol.Header{
        Sender:      protocol.TEMP_UUID, //IAMNEWHERE
        Accepter:    protocol.ADMIN_UUID, //IAMADMINXD
        MessageType: protocol.HI, //0 uint16
        RouteLen:    uint32(len([]byte(protocol.TEMP_ROUTE))), //THEREISNOROUTE uint32
        Route:       protocol.TEMP_ROUTE,
    }
    for {
        ...
    	//授权认证,取serect值的后16位(如果没设置就是0的md5)发送到服务器,并获取服务器返回判断是否相同
        if err := share.ActivePreAuth(conn, userOptions.Secret); err != nil {
            ...
        }
        //依据不同的协议生成raw或者http类型数据,http相比于raw来说就是增加了Header部分,后面的raw数据在body中,如果设置-s参数,后续的加密会使用AES进行加密(会对key进行填充或切割处理,32位)
        sMessage = protocol.PrepareAndDecideWhichSProtoToUpper(conn, userOptions.Secret, protocol.TEMP_UUID)
    	//生成Message,这一步中会依次调用ConstructData(生成头部数据和body数据)、ConstructHeader(生成HTTP头部)、ConstructSuffix(暂未实现,暂时不用关注)
        protocol.ConstructMessage(sMessage, header, hiMess, false)
        //发送数据
        sMessage.SendMessage()
        //判断上游协议
        rMessage = protocol.PrepareAndDecideWhichRProtoFromUpper(conn, userOptions.Secret, protocol.TEMP_UUID)
        //解析数据,Contstruct的逆向操作
        fHeader, fMessage, err := protocol.DestructMessage(rMessage)
        ...
        if fHeader.MessageType == protocol.HI {
            mmess := fMessage.(*protocol.HIMess)
            if mmess.Greeting == "Keep slient" && mmess.IsAdmin == 1 {
                //接收UUID处理
                uuid := achieveUUID(conn, userOptions.Secret)
                return conn, uuid
            }
        }
    }
}

其中HEAER接口如下
image.png
HTTPMESSAGE中用于生成HTTP HEADER的ConstructHeader如下
image.png
重点关注一下raw类型数据中的ConstructData方法和DeconstructData方法,关键部分代码如下:

func (message *RawMessage) ConstructData(header *Header, mess interface{}, isPass bool) {
    ...
    //默认为0
    binary.BigEndian.PutUint16(messageTypeBuf, header.MessageType)
    //默认值为0000000e
	binary.BigEndian.PutUint32(routeLenBuf, header.RouteLen)
    //写入Header数据,默认为IAMNEWHEREIAMADMINXD\x00\x00\x00\x00\x00\x0eTHEREISNOROUTE
    headerBuffer.Write([]byte(header.Sender))
	headerBuffer.Write([]byte(header.Accepter))
	headerBuffer.Write(messageTypeBuf)
	headerBuffer.Write(routeLenBuf)
	headerBuffer.Write([]byte(header.Route))
    ...
    //dataBuffer为hiMess处理之后内容,默认为0007536868682e2e2e000a49414d4e45574845524500000000
    //默认会进行此操作,isPass默认为False
    if !isPass {
        //Gzip压缩,默认数据为1f8b08000000000000ff62600fcec8c8d0d3d363e0f274f4f5730df7700d726560606000040000ffff7cebbead19000000,注意这里关于go中的gzip压缩和其余的压缩数据稍有不同,具体原因可自行百度
		message.DataBuffer = crypto.GzipCompress(message.DataBuffer)
        //进行AES加密,如果未设置key的话,这一步不会进行
		message.DataBuffer = crypto.AESEncrypt(message.DataBuffer, message.CryptoSecret)
	}
    
}

DeconstructData方法用于解析收到的数据,解析为header+body的形式,为ConstructData的逆向处理过程,其中会存在针对MessageType的判断行为,判断是哪种数据类型从而成功对应的新的请求数据:
image.png
在上面不同的选择处理分支都处理完成之后都会进入到agent.Run()代码
image.png

Admin逻辑分析

入口在admin.go中image.png
其中topo是保存整个链路网络的全部信息和节点通信之间的调度处理,非常重要。
按照对应Agent端的程序逻辑,其中NormalPassive在agent代码分析中已经分析完了,只剩下NormalPassive类型

NormalPassive(-l)

主要代码如下:

func NormalPassive(userOptions *Options, topo *topology.Topology) net.Conn {
    ...
    //监听端口
	listener, err := net.Listen("tcp", listenAddr)
	...
	var sMessage, rMessage protocol.Message
    //admin端的默认hiMess
	hiMess := &protocol.HIMess{
		GreetingLen: uint16(len("Keep slient")), //0b
		Greeting:    "Keep slient",
		UUIDLen:     uint16(len(protocol.ADMIN_UUID)), //0a
		UUID:        protocol.ADMIN_UUID, //IAMADMINXD
		IsAdmin:     1, //int16
		IsReconnect: 0,	//int16
	}
	//Header初始化
	header := &protocol.Header{
		Sender:      protocol.ADMIN_UUID,	//IAMADMINXD
		Accepter:    protocol.TEMP_UUID,	//IAMNEWHERE
		MessageType: protocol.HI,	//0 int16
		RouteLen:    uint32(len([]byte(protocol.TEMP_ROUTE))),	//0e
		Route:       protocol.TEMP_ROUTE,	//THEREISNOROUTE
	}
	for {
        //监听
		conn, err := listener.Accept()
        //和客户端相同的密码验证
		if err := share.PassivePreAuth(conn, userOptions.Secret); err != nil {
        	...
		}
    	//选择协议
		rMessage = protocol.PrepareAndDecideWhichRProtoFromLower(conn, userOptions.Secret, protocol.ADMIN_UUID)
        //解析Cleint发送的hiMess
		fHeader, fMessage, err := protocol.DestructMessage(rMessage)
		if fHeader.MessageType == protocol.HI {
			...
				...
                //构造服务端的HiMessage并发送,默认的HeaderBuff为IAMADMINXDIAMNEWHERE00000000000eTHEREISNOROUTE0000000000000005,默认的DataBuffer为1f8b08000000000000ff62e0f64e4d2d5028cec94ccd2b61e0f274f47574f1f5f48b706160646000040000ffffcb28c8cb1d000000
				protocol.ConstructMessage(sMessage, header, hiMess, false)
				sMessage.SendMessage()
				if mmess.IsReconnect == 0 {
                    //disapatchUUID用于和agent确认uuid,admin中生成通过Message形式发送给agent,其中调用了GenerateUUID,生成了10位[0-9a-z]数据,默认Header为IAMADMINXDIAMNEWHERE00010000000eTHEREISNOROUTE0000000000000024,默认Data为1f8b0b000000000000ff62e0b230494d354a32b24c4a03040000ffff92a1c4f80c000000
					node := topology.NewNode(dispatchUUID(conn, userOptions.Secret), conn.RemoteAddr().String())
					task := &topology.TopoTask{
						Mode:       topology.ADDNODE,
						Target:     node,
						ParentUUID: protocol.TEMP_UUID,
						IsFirst:    true,
					}
                    //发送到task信道处理
					topo.TaskChan <- task

					<-topo.ResultChan

					printer.Success("[*] Connection from node %s is set up successfully! Node id is 0\r\n", conn.RemoteAddr().String())
				} else {
                    //针对设置了重连选项的节点,直接使用当前的UUID
					node := topology.NewNode(mmess.UUID, conn.RemoteAddr().String())
            	...
	}
}
whereGoAn
关注
  • 27
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
多级代理工具Stowaway
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
03-22 4942
节点: 指admin || agent主动模式: 指当前操作的节点主动连接另一个节点被动模式: 指当前操作的节点监听某个端口,等待另一个节点连接上游: 指当前操作的节点与其父节点之间的流量下游:指当前操作的节点与其所有子节点之间的流量
内网渗透-内网环境下的横向移动总结
lza20001103的博客
08-19 1256
内网环境下的横向移动总结
Stowaway搭建多级网络代理
good good study
03-21 3579
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具,用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能。在win2012-1上执行,使用秘钥123连接控制端8000端口,并设置重连间隔时间,当控制端掉线时客户端每隔8s重连控制端。当客户端连接控制端后,使用detail就可以查看到目前有哪些客户端已经连接,使用use 节点,然后会进入这个节点的控制面板。被动模式: 指当前操作的节点监听某个端口,等待另一个节点连接。
2024 年这 5 款网络流量监控工具(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
05-31 2646
本文介绍了2024年五款最佳网络流量监控工具:SolarWinds Hybrid Cloud Observability、SolarWinds Network Performance Monitor (NPM)、Paessler PRTG Network Monitor、ManageEngine NetFlow Analyzer 和 Dynatrace。每个工具都有其独特的特点、优缺点和适用场景,可以根据企业的具体需求和预算选择最适合的工具进行网络流量监控和性能管理。
流量特征分析——蚁剑、菜刀、冰蝎
Sgirll的博客
07-22 5772
通过对这三种常见的网络攻击工具流量特征分析,我们可以更好地了解它们在网络流量中的表现。网络管理员和安全专家可以根据这些特征来识别和监测潜在的攻击活动,并及时采取相应的防护措施。同时,持续的学习和了解新兴攻击工具流量特征也是保持网络安全的重要一环。本文将重点研究菜刀、蚁剑和冰蝎这三种常见的网络攻击工具分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。蚁剑(AntSword)是一款功能强大的跨平台渗透测试工具,被广泛用于攻击和渗透测试活动。
常见安全易用的代理方法
tempulcc的博客
11-08 1817
常见安全易用的代理方法一、SSH隧道代理1、本地转发(正向代理)(1)基本设置(2)建立代理(3)验证2、远程转发(反向代理)(1)基本设置(2)建立代理(3)验证二、frp三、proxychains 一、SSH隧道代理 SSH隧道 创建ssh隧道常用参数 -C 压缩传输 -f 将ssh传输转入后台执行 不占用当前shell -N 建立静默连接(建立了连接,但看不到具体会话) -g 允许远程主机连接本地端口用于端口转发 -L 本地端口转发 1、本地转发(正向代理) 简单理解:主机A无法直接访问主机C,但是
Stowaway::ghost:Stowaway-用于渗透测试者的多跳代理工具
02-06
偷渡者 Stowaway是一个利用go语言编写,专为渗透测试工作者制作的多级代理工具 用户可使用此程序将外部流量通过多个代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能 PS:谢谢大家的star,同时欢迎大家使用后提出问题 :face_blowing_a_kiss: 。 PPS:请在使用前详细阅读使用方法及文末的注意事项! 此工具仅限于安全研究和教学,用户承担因使用此工具而导致所有法律和相关责任!作者不承担任何法律和相关责任! 特性 一目了然的议员树管理 丰富的摘要信息展示及长久保存 官员间正向/反向连接 官员间可通过socks5代理进行反向连接 ssh隧道连接 多平台适应 多级袜子5流量代理转发(支持UDP /
Stowaway搭建多级代理隧道
sirius的博客
08-21 842
正向代理是一个位于客户端和原始服务器之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端是无感知代理的存在,以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端。从目标机器能够反弹shell到攻击者的外网VPS,攻击者通过反弹回来的shell能够很方便的对目标内网进行扫描,这就是反向代理的一种表现形式。
Stowaway内网代理
weixin_51151498的博客
07-24 727
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具,用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能。
内网入口——代理搭建&端口转发
Captain_RB的博客
12-19 1万+
在内网渗透过程中经常会遇到搭建代理和端口转发的情况,本文记录一些常用工具的使用方法和典型应用场景,便于查阅。
基于静态数据流分析的android应用权限检测方法
08-24
传统的检测方法如STOWAWAY,依赖于自动化测试工具生成权限匹配图,然后对比应用实际使用的权限和声明的权限。这种方法虽然有一定效果,但存在一定的局限性。本文提出的新方法采用数据流分析技术,能更深入地理解应用...
内网渗透测试-提权工具
05-25
渗透测试,提权工具
内网渗透测试:内网横向移动基础总结
KH_FC的博客
12-29 5638
内网渗透测试:内网横向移动基础总结 横向移动 在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。 在这篇文章中,我们来讲解一下横向移动的思路与攻击手法。 由于最近开学了有很多很多的事,所以一直没有时间更新,文章可能略显仓促,不足之处还请多多指教。 本文大多是我最近的学习总结,专为想我一样
【网络安全】企业内网中的横向移动
HBohan的博客
08-25 1483
横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。 中安网星特此推出了横向移动科普系列,本系列共有三篇文章,我们会以简单轻松的话语为大家讲解横向移动的内容。 近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上升,传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而,深入了解攻击思路,“对症下药”,是目前网络安全行业发展的重要方向。 本篇文章将就“横向移动”这一典型攻击行为进行简单阐述,从攻击
内网穿透工具--Lanproxy流量特征检测分析
qq_36259703的博客
01-24 1688
lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议。
渗透知识-内网渗透(详细版本)
热门推荐
Jian Sun_的博客
02-11 2万+
1. 内网安全检查/渗透介绍 1.1 攻击思路 有2种思路: 攻击外网服务器,获取外网服务器的权限,接着利用入侵成功的外网服务器作为跳板,攻击内网其他服务器,最后获得敏感数据,并将数据传递到攻击者,看情况安装长期后门,实现长期控制和获得敏感数据的方式; 攻击办公网的系统、办公网电脑、办公网无线等方式,一般是采用社工,实现控制办公电脑,再用获得的办公网数据,可能是内网的各种登录账号和密码,再获取办公网或者生产网的有用数据。 一般内网安全检查使用第一种思路,实际的攻击2种思路结合实现。 1.2 敏感资
内网渗透测试理论学习之第四篇内网渗透域的横向移动
千寻的博客
03-01 2279
一、IPC 二、HashDump 三、PTH 四、PTT 五、PsExec 六、WMI 七、DCOM 八、SPN 九、Exchange
渗透测试之内网渗透(三):流量转发
m0_74131821的博客
04-25 1562
在拿到一台服务器的shell的时候,如果想要更进一步渗透测试,则需要进行内网渗透
利用Proxifier配置多级代理
谢公子的博客
09-20 5862
利用Proxifier配置多级代理
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值