本篇将介绍在内网攻防中经常用到的代理技术,正向连接,反向连接。
内网攻防中阶段有三:
1. 建立通讯 使用代理技术,建立攻击机与目标的联系
2. 横向移动
3. 后渗透 获得主机权限后,使用隧道技术,把权限移交给攻击机
本篇中的所有实现均是获得了系统权限,因为不涉及内网横向移动,只是为了研究第一,第三阶段。
网段情况:Vmware配置网络
攻击机:47.94.236.117
靶机:
win 7:内网唯一可出网主机 也可对内网192.168.11.* 网段主机进行通讯
192.168.1.119 (外网的出口)192.168.11.128(内网Vmware2)
win 10:内网主机 流量不出网
192.168.11.129(内网Vmware2)192.168.22.130(内网Vmware3)
win 2008:内网主机 流量不出网
192.168.22.131(内网Vmware3)192.168.33.129(内网Vmware4)
win 2012:内网主机 流量不出网
192.168.33.130(内网Vmware4)
代理技术使用的协议是SOCK 4/5
常使用的代理工具有 SockCap, Proxifier, ProxyChains 等
代理工具的使用会在下面实验中演示出来
SOCK(Socket)协议是一种网络协议,用于在计算机网络中提供网络应用程序之间的通信。它是一种通用的、面向连接的协议,常用于实现客户端和服务器之间的通信。
SOCK协议可以分为两个主要的版本:SOCKS4和SOCKS5。下面对这两个版本进行简要介绍:
SOCK协议主要用于实现网络代理功能,可以在本地计算机和远程服务器之间建立一个中间通道,使得网络请求可以通过该通道进行转发和处理。这在某些场景下具有重要的应用,例如在防火墙后访问被封锁的网站、隐藏真实IP地址等。
SOCK协议并不属于OSI(Open Systems Interconnection)参考模型中的七层模型,它更多地被视为一个独立的协议或协议族,用于实现网络代理功能。然而,从功能上来说,SOCK协议涉及到了传输层和应用层的一些功能。
具体地说,SOCK协议在传输层负责建立和管理连接,以及数据的传输。它在应用层负责处理网络代理的相关功能,例如解析目标地址、转发数据等。
尽管SOCK协议在传输层和应用层之间扮演着关键的角色,但它并没有明确定义在OSI参考模型中的特定层级。它更像是一个在传输层和应用层之间操作的协议集合,具体实现可能会有所不同。SOCK协议通常是在操作系统的网络栈中实现的
总结起来,SOCK协议在功能上涉及传输层和应用层,但它并没有明确定义在OSI参考模型中的特定层级。
从代理技术的表现来看,主要是通过跳板机来代理流量。
将通过上面的网络拓扑图说明代理技术
使用代理技术的原因一:建立攻击机与内网主机通讯
Ubuntu主机是作为我们的攻击机,win7作为外网主机通过web渗透测试被拿下。但是Ubuntu无法拿下win10,因为Ubuntu访问不到。
使用代理技术的原因二:避免被发现,隐蔽自身,执行攻击对象
Ubuntu上安装有大量的渗透测试工具,有人头铁可能会想到在win7上上传工具,通过win7能攻击到win10,之后的其它内网主机也是同理。这样做符合网络通信,但是风险极大。首先需要考虑到真实环境可能存在有安全设备,流量检测设备,杀软。上传几个G的流量动静太大了,很容易被发现,一般情况下,流量的大小最好500KB左右,不要超过1KB.
使用代理技术的原因三:实现持久化控制
通过横向渗透拿下全新后,我们需要把权限反弹给攻击机实现持久化控制。因为攻击机上集成大量工具软件,需要使用来进行权限维持。
当我们建立目标机与攻击机的联系往往需要考虑连接的正向反向问题。
在实际内网环境,运维人员针对主机上防火墙往往有设置,比如有的主机只放开80端口通讯,甚至有的禁止了全部的TCP协议。运维人员会根据主机的功能,地位做出安全性考虑,针对入站,出站规则做出限制。往往入站规则设置严格,出站规则宽松一些。
正向,反向是针对目标机而言的。
正向,反向技术往往是针对防火墙的规则设置而选择合适的。
在内网攻防里面,是要建立在已经建立代理通讯的情况下。
正向连接:目标把流量发到自己的某个端口,攻击机主动去连接,适合入站规则宽松
反向连接:目标把流量发给攻击机的某个端口,目标主动去连接,适合入站严格,出站宽松
首先win7已经被我们取得system权限,并且已经上线了
目标:建立通讯 拿下win10
开启路由,相当于MSF也进入192.168.11.*网段
开启节点,就是接收代理来的流量,再通过路由转发出去
可以把win7与MSF视为一体,流量相当于从win7出去的
添加路由
这个时候MSF可以与192.168.11.*这个网段进行通讯。
但是MSF所在服务器上其它工具网络是不能享有这个路由的。只有Meterpreter享有。
建立节点,使用MSF的模块建立节点,相当于在MSF建立连接的节点,别的流量可以来连接它。
账号密码可以选择不设置
这里的端口是开启在MSF的服务器上的
这时候任何一台主机均可以设置代理到MSF转发流量进入192.168.11.*的内网中
在一台外网主机上设置代理,代理的地址为MSF服务器,会把这台外网主机的流量转发到MSF上去。
设置代理
需要注意SOCK协议需要对应上。
可以给某个程序(EXE)配置代理,通讯的时候就会进行流量转发
成功访问内网主机
实现了攻击机A与内网主机的通讯
这个时候我们就可以把渗透测试工具放到这台主机开始测试。
首先win7已经被我们取得system权限,并且已经上线了
目标:建立通讯 拿下win10
可以把CS和win7视为一体,流量相当于从win7出去的
这个过程就和MSF设置路由,设置节点一样
接通
配置代理规则
设置的应用程序的流量会走代理
设置的访问主机IP会走代理
通讯成功
成功通讯!!!
意义:通过建立正向连接把win10的权限移交给CS上,实现持久化控制
CS也可以反向代理,类比下面MSF反向做即可
这个适合入站规则限制宽松的情况
win10把自己的流量放送到本地端口
win7正向访问win10以及端口,相当于CS正向访问win10
name=1的是配置反向代理的监听器
name=2的是配置正向代理监听器
制作后门放到win10上执行(不要抬杠,实验只是展示权限的移交,已经完成了横向移动)
正向代理上线:
是要通过win7连接,所以命令的执行也要在win7上做,选择连接win7的会话
connect 192.168.11.128 2222
上线!!!
意义:通过建立正向连接把win10的权限移交给MSF上,实现持久化控制
MSF也可以做正向代理,类比上面CS正向做即可。
这个适合入站规则严格,出站规则宽松的情况
win10把流量交给win7的端口上,MSF监听win7的端口,相当于交给MSF
这里实验只做了正向连接的,因为反向连接比较麻烦,而且反向连接是为了通过目标主动连接来绕过入站规则,基于这个目的下,其实有更好的思路,就是使用隧道技术(下期预告!!!)
反向连接思路以win10连接win7为例:
操作过于繁琐,不如直接使用隧道技术
在我的这篇博客中有关于ICMP协议的隧道技术,可以参考一下,hh
代理技术总结:
背景:拿下内网的一个主机权限并且上线到MSF/CS上,IP:192.168.x.*
MSF代理建立:
CS代理建立:有手就行
建立通讯的最大意义就是:可以实现攻击机与内网主机的通讯,有了通讯才能横向移动
正向反向连接总结: