一文打尽 LinuxWindows端口复用实战

访客4年前 (2021-04-11)关于黑客接单1178

本文作者：Spark（Ms08067内网安全小组成员）

定义：端口复用是指不同的应用程序使用相同端口进行通讯。
场景：内网渗透中，搭建隧道时，服务器仅允许指定的端口对外开放。利用端口复用可以将3389或22等端口转发到如80端口上，以便外部连接。

示意图：

功能:

端口复用可以更好地隐蔽攻击行为，提高生存几率。
端口复用有时也用作通道后门。

特点：

端口复用在系统已开放的端口上进行通讯，只对输入的信息进行字符匹配，不对 *** 数据进行任何拦截、复制类操作，所以对 *** 数据的传输性能几乎没有影响。

一、 Linux端口复用

1.概述：

使用iptables实现端口复用，使用socat进行连接。
使用该 *** 开启的端口复用为有限的端口复用，复用后端口正常业务会受影响，仅用于后门留存，或者临时使用，不建议长期使用。

2. 原理：

（1）iptables
iptables是linux下的防火墙管理工具。

真正实现防火墙功能的是netfilter，它是linux内核中实现包过滤的核心。
免费。
可实现封包过滤、封包重定向和网路地址转换（NAT）等功能。

（2）数据通过防火墙流程

（3）链
链是一些按顺序排列的规则的列表。

PREROUTING链——对数据包作路由选择前应用此链中的规则（所有的数据包进来的时侯都先由这个链处理）
INPUT链——进来的数据包应用此规则链中的策略
OUTPUT链——外出的数据包应用此规则链中的策略
FORWARD链——转发数据包时应用此规则链中的策略
POSTROUTING链——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）

（4）表
表由一组预先定义的链组成。

filter表——用于存放所有与防火墙相关操作的默认表。通常用于过滤数据包。
nat表——用于 *** 地址转换
mangle表——用于处理数据包
raw表——用于配置数据包，raw 中的数据包不会被系统跟踪。

（5）链和表的关系及顺序
表由一组预先定义的链组成。

PREROUTING: raw -> mangle -> nat
INPUT: mangle -> filter
FORWARD: mangle -> filter
OUTPUT: raw -> mangle -> nat -> filter
POSTROUTING: mangle -> nat

（6）表和链的关系
实际使用中是从表作为操作入口：

aw 表：PREROUTING，OUTPUT
mangle表：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING
nat 表：PREROUTING，OUTPUT，POSTROUTING
filter 表：INPUT，FORWARD，OUTPUT

（7）添加规则

（8）socat
Socat是linux下的一个多功能的 *** 工具，名字来由是socket cat。其功能与netcat类似，可以看做是netcat的加强版。

3.指令速查：

（1）配置端口复用及开关规则

目标主机上创建新转发链
设置复用规则（设置转发规则）
设置开关规则（接受约定字符后规则生效/失效）
约定字符尽量复杂

(2) 使用socat连接
使用socat发送约定口令至目标主机打开端口复用开关

使用完毕后，发送约定关闭口令至目标主机目标端口关闭端口复用

4.实验：

Target：Ubuntu 16.04 x64
IP：192.168.245.135
开启8000端口的web服务
开启22端口

配置端口复用：

Attacker：Kali 2020 x64
IP：192.168.245.130
使用socat连接：

此时ssh可以通过8000访问，但是8000端口的正常web业务受到影响：

使用socat断开连接，ssh无法再连接，但是8000端口回复正常：

5.参考链接:

https://www.jianshu.com/p/12a24a95fe2c
https://www.freebuf.com/articles/network/137683.html

二、 Windows端口复用

1.概述：

使用HTTP.sys中的Net.tcp Port Sharing服务，配合WinRM实现端口复用。

优点：HTTP.sys为windows原生机制，WinRM为windows自带功能，动作较小，不易触发主动防御。
需要管理员权限。

2. 原理：

（1）HTTP.sys
HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序。

为了优化IIS服务器性能
从IIS6.0引入（即Windows Server 2003及以上版本）
IIS服务进程依赖HTTP.sys

HTTP.sys监听HTTP流量，然后根据URL注册的情况去分发，以实现多个进程在同一个端口监听HTTP流量。微软公开了HTTP Server API库，Httpcfg、Netsh等都是基于它的。

整个过程描述如下：
Step 1.注册：IIS或其他应用使用HTTP Server API时，需要先在HTTP.sys上面注册url prefix，以监听请求路径。
Step 2.路由：HTTP.sys获取到request请求，并分发这个请求给注册当前url对应的应用。

（2）Net.tcp Port Sharing

Net.tcp Port Sharing服务是WCF（Windows Communication Foundation，微软的一个框架）中的一个新系统组件，这个服务会开启Net.tcp端口共享功能以达到在用户的不同进程之间实现端口共享。这个机制的最终是在HTTP.sys中实现的。目前将许多不同HTTP应用程序的流量复用到单个TCP端口上的HTTP.sys模型已经成为windows平台上的标准配置。
在以前的web应用中，一个web应用绑定一个端口，若有其他应用则需要绑定其他的端口才能实现监听。如下图所示，Web Application 1绑定了80端口后，Web Application 2再去绑定80端口会出错。

现在使用微软提供的NET.tcp Port Sharing服务，只要遵循相关的开发接口规则，就可以实现不同的应用共享相同的web服务器端口。如下图中Web Application 1和Web Application 2同时绑定在80端口。

（3）WinRM
WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录windows操作系统，获得一个类似telnet的交互式命令行shell，而底层通讯协议使用的正是HTTP。
事实上，WinRM已经在HTTP.sys上注册了名为w *** an的url前缀，默认监听端口5985。因此，在安装了IIS的边界windows服务器上，开启WinRM服务后修改默认listener端口为80或新增一个80端口的listener即可实现端口复用，可以直接通过80端口登录windows服务器。