内网渗透常见隧道技术(原)

内网渗透常见隧道技术(原)

内网渗透中隧道渗透技术(原)

 

端口转发、端口映射、socks代理工具(msf的portfwd、socks4a和windows下的lcx.exe)的使用做一个记录笔记

 

场景应用

端口转发:用于目标机器对某端口进出进行了限制

端口映射:用于目标机器内网环境无法外网进行3389连接

Socks代理:用于目标机器上进行跳板渗透、内网穿透

 

常见工具:

 

 

工具名称	主要用途	平台	备注
lcx	端口映射	Windows	只支持tcp协议的端口转发，非系统内置
netsh	端口映射	Windows	只支持tcp协议的端口转发
rinetd	反向代理	Linux	需要安装包
Earthworm	端口映射、Socks5代理	Linux、Windows、MacOS、Arm-Linux	非系统内置
reGeorg	Socks5 代理	常见脚本语言	需脚本环境执行，且网络状况较好
Metasploit portfwd	端口映射	MSF -> Metpreter会话	需要网络状况较好
socat	端口映射	Linux	可能需要安装
Metasploit->socks4a	反向代理	MSF -> Metpreter会话	需要会话主机有外网代理IP
tunna	HTTP隧道	常见脚本语言	需脚本环境执行，且网络状况较好

 

 

练习前meterpreter等环境准备:

 

Kali攻击机 192.168.100.0  靶机 xp 192.168.100.128  靶机windows2003  192.168.100.3

 

攻击机开启apache  在apache根目录生成反弹连接的木马

开启监听

 

靶机xp执行木马 上线

 

 

 

 

0x01练习1:使用msf下的portfwd对靶机进行3389端口映射外网端口

映射靶机3389端口到3333 -L 参数可以指定映射的外网地址 不加默认地址为攻击机地址

 

 

 

-L 是kali 的ip  -r是靶机shell的ip  3389端口转发到靶机的3333

 

 

执行

(portfwd flush 清除建立的映射规则 list查看规则 )

现在靶机的3389端口已经映射在了我攻击机的3333端口

 

 

 

 

 

 

 

 

0x02练习二:使用lcx进行端口外网映射和3389本地端口转发

 

假设xp为内网 需要端口映射到外网机器

 

靶机执行

 

Lcx.exe -slave 192.168.100.3 12345 192.168.100.128 3389 (把攻击机的12346数据 传递给靶机的3389)

 

 

 

攻击机执行

 

Lcx.exe -listen 12345 12346 (把攻击机12345端口接收到的数据转发到哦12346端口)

 

 

 

 

 

 

 

 

 

 

 

 

 

假设靶机xp被安全策略限制了3389端口进出 我们需要进行端口转发 转发到本地另外的端口 进行数据流入流出

 

靶机执行

 

 

 

 

Lcx.exe  -slave  127.0.0.1  51   127.0.0.1   3389

Lcx.exe  -listen   51   52

 

第一条把3389接收的数据转发到51端口 再把51端口转成52端口流出

 

 

 

 

 

 

 

 

 

 

 

 

 

 

0x03练习三使用Metasploit->socks4a的模块进行跳板访问(使用浏览器代理、或proxychains-ng等工具代理)

 

用户我们可以访问靶机a 但是我们不能直接访问靶机b 只有通过靶机a访问靶机b

 

模拟环境 xp和win03处一个域下 通过kali控制03来进行跳板访问xp

 

 

先添加路由  相当于靶机03(被我们控制的靶机) 作为一个路由器 用来转发分组的作用

 

 

 

使用msf的socks4a代理

 

 

 

 

 

 

 

 

安装

proxychains-ng

git clone https://github.com/rofl0r/proxychains-ng

 

 

编译安装

./configure --prefix=/usr --sysconfdir=/etc

make

make install

make install-config (安装proxychains.conf配置文件)

 

 

 

 

 

 

配置proxychains-ng

 

proxychains-ng默认配置文件名为proxychains.conf。

通过源代码编译安装的默认为/etc/proxychains.conf。

将代理加入[ProxyList]中即可

 

 

 

 

 

 

 

proxychains-ng 使用

 

 现在我们就是通过03（被我们控制的靶机） 进行代理 扫描内网中的xp

 

 

 

 

完毕。

 

posted @ 2018-11-24 12:20 卿先生 阅读(...) 评论(...) 编辑 收藏