内网三级跳板技术

点击星标，即时接收最新推文

本文选自《内网安全攻防：红队之路》

扫描二维码五折购书

隐藏通信隧道技术的根本目的有两个：一是为了使攻击流量能够顺利进出内网，通过使用隧道、代理等技术伪装攻击流量的方法，避免内网网络安全设备对攻击流量的检测和查杀。二是为了避免攻击者被追踪溯源，通过采取多级跳板技术来增加攻击者至内网的主机链，使得即使网络攻击行为被发现，攻击者的真实身份也很难被发现。

三级跳板技术

三级跳板技术顾名思义，就是攻击者和内网被攻击终目标之间经过三跳，这里将介绍的是三级跳板技术最基本的配置方法，其拓扑如图所示。被攻击目标通过木马连接到域名服务器，再由域名服务器把数据传输至VPS或云服务器，云服务器最终将数据转发给者。下面分别介绍各个节点的配置。

三级跳板技术示意图

1．被攻击目标配置

简单来说，一般情况下攻击者会在被攻击目标上安装后门或木马。为了增加后门或木马回连的灵活性，通常采用DNS域名解析IP作为数据回连目标地址的方式。也就是说，木马执行后会解析配置好的域名，然后去连接域名对应的IP地址及端口，进行数据传输。

木马通过域名解析回连目标地址

2．域名服务器配置

域名服务器也就是我们常说的DNS服务器，是进行域名和与之相对应的IP地址转换的服务器。使木马通过域名而不是IP地址回连，极大增强了木马的隐蔽性和反追踪能力。这是因为域名能够灵活的进行解析，我们可以在域名服务器中动态更改其对应的IP。这样，无需木马回连的时候，就可以把域名对应的IP地址解析为127.0.0.1（也就是本机地址）；需要木马回连的时候，可以将其指向如图中的VPS或者云服务器对应的公网IP地址。

这里我们申请了阿里云的域名。需要说明的是，读者们在实战中，应尽量找可以匿名申请的域名，本书不便针对此做过多介绍。

注册域名

选择域名注册按钮，进入注册域名的页面，购买ms08067test.xyz，如图3-20所示。

购买域名

将域名ms08067test.xyz指向127.0.0.1，在命令行中输入ping ms08067test.xty，显示结果如图所示：

测试ms08067test.xyz对应IP地址为127.0.0.1

3．VPS或云服务器配置

基于VPS或云服务器易于生成和销毁的特性，一方面可以自由地更换跳板；另一方面能够有效的规避地理位置的重叠。例如，河南的攻击者针对海南的某公司内网进行渗透测试，可以选择河北的云服务器作为中转。

这里依然是选用阿里云的云主机做实验，同样建议读者自行寻找可以匿名申请的云服务器。

具体购买阿里云服务器的方法：在阿里云产品的采购页面，选择云服务器ECS。点击创建我的ECS，付费模式中选择按量分配，这样就不用购买包年包月套餐。其它选项默认即可，完成所有步骤后我们就拥有了一台云服务器，如图所示，8.130.12.127就是云服务器的公有IP地址，我们需要把域名ms08067test.xyz指向8.130.12.127。

购买云服务器

我们点击远程登录接入云服务器，在其中运行lcx进行数据转发，关于lcx我们如图所示，将本机443端口收到的数据转发到攻击终端124.123.122.121的80端口上。

在云服务器上转发流量

4．攻击终端配置

在攻击者的终端上部署远控木马的客户端，仍然Gh0st木马为例，能够实现对被控制目标的文件管理、屏幕监控、键盘监控等功能，如图所示。

部署木马客户端

—  实验室旗下直播培训课程  —

和20000+位同学加入MS08067一起学习