Tunneling and Port Forwarding
Nmap tip
ICMP και SYN σάρωσεις δεν μπορούν να περάσουν μέσω socks proxies, οπότε πρέπει να απενεργοποιήσουμε την ανακάλυψη ping (-Pn
) και να καθορίσουμε TCP σάρωσεις (-sT
) για να λειτουργήσει αυτό.
Bash
Host -> Jump -> InternalA -> InternalB
SSH
SSH γραφική σύνδεση (X)
Local Port2Port
Άνοιγμα νέας Θύρας στον SSH Server --> Άλλη θύρα
Port2Port
Τοπική θύρα --> Συμβιβασμένος υπολογιστής (SSH) --> Τρίτο_κουτί:Θύρα
Port2hostnet (proxychains)
Τοπική Θύρα --> Συμβιβασμένος υπολογιστής (SSH) --> Οπουδήποτε
Αντίστροφη Προώθηση Θυρών
Αυτό είναι χρήσιμο για να αποκτήσετε αντίστροφες θήκες από εσωτερικούς υπολογιστές μέσω μιας DMZ στον υπολογιστή σας:
VPN-Tunnel
Χρειάζεστε root και στις δύο συσκευές (καθώς πρόκειται να δημιουργήσετε νέες διεπαφές) και η ρύθμιση του sshd πρέπει να επιτρέπει την είσοδο του root:
PermitRootLogin yes
PermitTunnel yes
Ενεργοποιήστε την προώθηση στην πλευρά του διακομιστή
Ορίστε μια νέα διαδρομή στην πλευρά του πελάτη
SSHUTTLE
Μπορείτε να tunnel μέσω ssh όλη την κυκλοφορία σε ένα υποδίκτυο μέσω ενός κεντρικού υπολογιστή. Για παράδειγμα, προωθώντας όλη την κυκλοφορία που πηγαίνει στο 10.10.10.0/24
Συνδεθείτε με ένα ιδιωτικό κλειδί
Meterpreter
Port2Port
Τοπική θύρα --> Συμβιβασμένος υπολογιστής (ενεργή συνεδρία) --> Τρίτο_κουτί:Θύρα
SOCKS
Άλλος τρόπος:
Cobalt Strike
SOCKS proxy
Ανοίξτε μια θύρα στον server της ομάδας που ακούει σε όλα τα interfaces που μπορούν να χρησιμοποιηθούν για να δρομολογήσουν την κίνηση μέσω του beacon.
rPort2Port
Σε αυτή την περίπτωση, το θύρα ανοίγει στον host beacon, όχι στον Team Server και η κίνηση αποστέλλεται στον Team Server και από εκεί στον καθορισμένο host:port
To note:
Η αντίστροφη προώθηση θύρας του Beacon έχει σχεδιαστεί για να δημιουργεί σήραγγες για την κυκλοφορία προς τον Team Server, όχι για αναμετάδοση μεταξύ μεμονωμένων μηχανών.
Η κυκλοφορία είναι δημιουργημένη σε σήραγγες μέσα στην κυκλοφορία C2 του Beacon, συμπεριλαμβανομένων των P2P συνδέσεων.
Δικαιώματα διαχειριστή δεν απαιτούνται για τη δημιουργία αντίστροφων προωθήσεων θύρας σε υψηλές θύρες.
rPort2Port local
Σε αυτή την περίπτωση, η θύρα ανοίγεται στον host του beacon, όχι στον Team Server και η κυκλοφορία αποστέλλεται στον πελάτη Cobalt Strike (όχι στον Team Server) και από εκεί στον καθορισμένο host:port
reGeorg
https://github.com/sensepost/reGeorg
Πρέπει να ανεβάσετε ένα αρχείο ιστού tunnel: ashx|aspx|js|jsp|php|php|jsp
Chisel
Μπορείτε να το κατεβάσετε από τη σελίδα εκδόσεων του https://github.com/jpillora/chisel Πρέπει να χρησιμοποιήσετε την ίδια έκδοση για πελάτη και διακομιστή
socks
Προώθηση θύρας
Rpivot
https://github.com/klsecservices/rpivot
Αντίστροφη σήραγγα. Η σήραγγα ξεκινά από το θύμα. Δημιουργείται ένα socks4 proxy στο 127.0.0.1:1080
Pivot through NTLM proxy
Socat
https://github.com/andrew-d/static-binaries
Δεσμός κελύφους
Αντίστροφη θήκη
Port2Port
Port2Port μέσω socks
Meterpreter μέσω SSL Socat
Μπορείτε να παρακάμψετε έναν μη αυθεντικοποιημένο διακομιστή μεσολάβησης εκτελώντας αυτή τη γραμμή αντί για την τελευταία στην κονσόλα του θύματος:
https://funoverip.net/2011/01/reverse-ssl-backdoor-with-socat-and-metasploit/
SSL Socat Tunnel
/bin/sh κονσόλα
Δημιουργήστε πιστοποιητικά και στις δύο πλευρές: Πελάτης και Διακομιστής
Remote Port2Port
Συνδέστε την τοπική θύρα SSH (22) με την θύρα 443 του επιτιθέμενου υπολογιστή
Plink.exe
Είναι σαν μια κονσόλα PuTTY έκδοση (οι επιλογές είναι πολύ παρόμοιες με έναν ssh πελάτη).
Καθώς αυτό το δυαδικό αρχείο θα εκτελείται στον θύμα και είναι ένας ssh πελάτης, πρέπει να ανοίξουμε την υπηρεσία ssh και την θύρα μας ώστε να μπορέσουμε να έχουμε μια αντίστροφη σύνδεση. Στη συνέχεια, για να προωθήσουμε μόνο την τοπικά προσβάσιμη θύρα σε μια θύρα στη μηχανή μας:
Windows netsh
Port2Port
Πρέπει να είστε τοπικός διαχειριστής (για οποιαδήποτε θύρα)
SocksOverRDP & Proxifier
Πρέπει να έχετε RDP πρόσβαση στο σύστημα. Κατεβάστε:
SocksOverRDP x64 Binaries - Αυτό το εργαλείο χρησιμοποιεί
Dynamic Virtual Channels
(DVC
) από τη δυνατότητα Remote Desktop Service των Windows. Το DVC είναι υπεύθυνο για tunneling πακέτων μέσω της σύνδεσης RDP.
Στον υπολογιστή-πελάτη σας φορτώστε SocksOverRDP-Plugin.dll
όπως αυτό:
Τώρα μπορούμε να συνδεθούμε με το θύμα μέσω RDP χρησιμοποιώντας mstsc.exe
, και θα πρέπει να λάβουμε μια προτροπή που λέει ότι το SocksOverRDP plugin είναι ενεργοποιημένο, και θα ακούει στη διεύθυνση 127.0.0.1:1080.
Συνδεθείτε μέσω RDP και ανεβάστε & εκτελέστε στο μηχάνημα του θύματος το δυαδικό αρχείο SocksOverRDP-Server.exe
:
Τώρα, επιβεβαιώστε στη μηχανή σας (επιτιθέμενος) ότι η θύρα 1080 ακούει:
Τώρα μπορείτε να χρησιμοποιήσετε Proxifier για να προξενήσετε την κίνηση μέσω αυτού του πόρου.
Προξενίστε Εφαρμογές Windows GUI
Μπορείτε να κάνετε τις εφαρμογές Windows GUI να περιηγούνται μέσω ενός proxy χρησιμοποιώντας Proxifier. Στο Profile -> Proxy Servers προσθέστε τη διεύθυνση IP και τον πόρο του διακομιστή SOCKS. Στο Profile -> Proxification Rules προσθέστε το όνομα του προγράμματος που θέλετε να προξενήσετε και τις συνδέσεις προς τις διευθύνσεις IP που θέλετε να προξενήσετε.
Παράκαμψη proxy NTLM
Το προηγουμένως αναφερόμενο εργαλείο: Rpivot OpenVPN μπορεί επίσης να το παρακάμψει, ρυθμίζοντας αυτές τις επιλογές στο αρχείο ρύθμισης.
Cntlm
Αυθεντικοποιεί έναν proxy και δεσμεύει μια θύρα τοπικά που προωθείται στην εξωτερική υπηρεσία που καθορίζετε. Στη συνέχεια, μπορείτε να χρησιμοποιήσετε το εργαλείο της επιλογής σας μέσω αυτής της θύρας. Για παράδειγμα, προωθήστε τη θύρα 443
Τώρα, αν ρυθμίσετε για παράδειγμα στον θύμα την υπηρεσία SSH να ακούει στην πόρτα 443. Μπορείτε να συνδεθείτε σε αυτήν μέσω της θύρας 2222 του επιτιθέμενου. Μπορείτε επίσης να χρησιμοποιήσετε ένα meterpreter που συνδέεται στο localhost:443 και ο επιτιθέμενος ακούει στην πόρτα 2222.
YARP
Ένας αντίστροφος διακομιστής που δημιουργήθηκε από τη Microsoft. Μπορείτε να τον βρείτε εδώ: https://github.com/microsoft/reverse-proxy
DNS Tunneling
Iodine
Απαιτείται root και στα δύο συστήματα για να δημιουργηθούν προσαρμογείς tun και να μεταφερθούν δεδομένα μεταξύ τους χρησιμοποιώντας ερωτήματα DNS.
Ο σωλήνας θα είναι πολύ αργός. Μπορείτε να δημιουργήσετε μια συμπιεσμένη σύνδεση SSH μέσω αυτού του σωλήνα χρησιμοποιώντας:
DNSCat2
Δημιουργεί ένα κανάλι C&C μέσω DNS. Δεν απαιτεί δικαιώματα root.
Στο PowerShell
Μπορείτε να χρησιμοποιήσετε dnscat2-powershell για να εκτελέσετε έναν πελάτη dnscat2 στο powershell:
Προώθηση θύρας με dnscat
Αλλαγή DNS του proxychains
Το Proxychains παρεμβαίνει στην κλήση gethostbyname
της libc και στέλνει το tcp DNS αίτημα μέσω του socks proxy. Από προεπιλογή, ο DNS διακομιστής που χρησιμοποιεί το proxychains είναι 4.2.2.2 (σκληρά κωδικοποιημένος). Για να τον αλλάξετε, επεξεργαστείτε το αρχείο: /usr/lib/proxychains3/proxyresolv και αλλάξτε τη διεύθυνση IP. Αν βρίσκεστε σε περιβάλλον Windows, μπορείτε να ορίσετε τη διεύθυνση IP του domain controller.
Τούνελ σε Go
https://github.com/hotnops/gtunnel
ICMP Tunneling
Hans
https://github.com/friedrich/hans https://github.com/albertzak/hanstunnel
Απαιτείται root και στα δύο συστήματα για να δημιουργηθούν tun adapters και να μεταφερθούν δεδομένα μεταξύ τους χρησιμοποιώντας αιτήματα ICMP echo.
ptunnel-ng
ngrok
ngrok είναι ένα εργαλείο για την έκθεση λύσεων στο Διαδίκτυο με μία γραμμή εντολής. Οι URI έκθεσης είναι όπως: UID.ngrok.io
Εγκατάσταση
Δημιουργήστε έναν λογαριασμό: https://ngrok.com/signup
Λήψη πελάτη:
Βασικές χρήσεις
Τεκμηρίωση: https://ngrok.com/docs/getting-started/.
Είναι επίσης δυνατή η προσθήκη αυθεντικοποίησης και TLS, αν είναι απαραίτητο.
Τούνελινγκ TCP
Έκθεση αρχείων με HTTP
Sniffing HTTP calls
Χρήσιμο για XSS, SSRF, SSTI ... Απευθείας από το stdout ή στη διεπαφή HTTP http://127.0.0.1:4040.
Tunneling internal HTTP service
ngrok.yaml απλή διαμόρφωση παράδειγμα
Ανοίγει 3 τούνελ:
2 TCP
1 HTTP με στατική έκθεση αρχείων από /tmp/httpbin/
Άλλα εργαλεία για έλεγχο
Last updated