多层网段渗透-真正理解socks代理隧道技术

多层网段渗透-真正理解socks代理隧道技术

写在前面

在多层网段渗透时,我们经常会遇到各种代理隧道问题,而有些问题还是挺难理解,需要我们去思考,接下来我将主要介绍隧道代理技术,漏洞利用简单带过。

环境

大致过程:

首先拿下Target1主机,以Target1为跳板,攻击Target2,攻击Target2后,再以它为跳板攻击Target3。

攻击Target1

访问192.168.76.148这台主机的网站,发现他的网站是用thinkphp v5搭建的。

直接使用thinkphp v5的exp进行攻击,发现可执行命令。

写入一句木马到指定文件

使用蚁剑链接后门

使用msfvenom,生成反向连接后门,让它反弹到msf上,何为反向连接后门?

设置攻击载荷

上传反向连接后门

使用蚁剑进入虚拟终端,发现可以执行命令,执行t1.elf,第一开始权限被拒绝,赋予一个执行权限即可,t1.elf被成功执行。

设置攻击载荷,Msf反弹成功

获取网络接口信息,用于判断是否有内网,如下说明还有22网段的内网,于是想办法继续渗透。

首先查看路由,发现并没有通往22网段的路由,说明Target1 无法访问Target2,现在问题来了我们如何才能访问Target2呢?添加去网22网段的路由。

再次查看路由,确保去往22网段添加路由成功。

添加路由后,说明Target1与Target2可以通信,在msf会话中我们可以与它进行通信。这里思考一个问题,如果不在msf会话中操作,ping 192.168.22.128能否ping通?答案是不能,我们在msf中添加的这条路由只是写在msf中,只能用 msf会话进行操作,而其他工具并没有该路由规则,所以无法进行通信。

使用socks代理隧道技术

利用 msf 自带的 sock4a 模块,开启2222端口建立socks4a协议

利用ProxyChains代理工具设置代理服务器修改配置文件 /etc/proxychains.conf 添加 socks4 192.168.76.132 2222

配置proxychains后,nmap借助proxychains代理服务器探针target2,这里需要重点掌握到底是如何进行攻击的。

浏览器设置代理,协议一定要记得一致

攻击Target2

成功访问网站

发现存在sql注入

通过注入得到的密码进入后台

在后台的功能中发现,可以写入一句话木马

这里思考一个问题,蚁剑设置代理服务192.168.76.148,并且使用蚁剑中的控制的target1虚拟终端进行添加去往22网段的路由,那么此时利用蚁剑能否对target2中的后门进行进行直接访问?

这样设置只能在蚁剑控制的target1中的虚拟终端能进行通信,而直接使用蚁剑去连接后门是无效的,因为在使用蚁剑进行设置代理时,我们并没有在target1设置代理服务。所以使用代理无效,只有在target1中设置代理服务此时才有效,但在目标主机设置代理服务本来就是一件很繁琐的事,而且会遇到各种问题,如权限问题。

在蚁剑上重新设置代理, 此时蚁剑访问192.168.22.128时,使用msf中设置的2222代理端口进行访问。

在这里还有一些问题,有些工具自身并没有代理设置功能,此时应该怎么办呢?这里介绍代理工具sockscap64,Windows网络应用程序通过SOCKS代理服务器来访问网络而不需要对这些应用程序做任何修改,设置代理服务的地址、端口、协议,与msf中的相同。

添加程序,此时蚁剑可以直接通过sockes4协议进行访问target2,并不需要进行代理服务设置。

大致的通信过程:

生成正向连接后门,Target2只能与target1 和target3进行通信,无法与kali进行通信,只能我们找他,不能他找我,因为我有去往他的路由,但是他没有我的路由,这就是正向后门的原理。

生成后门

使用蚁剑连接Target2,并上传msf生成的正向后门

生成攻击载荷

执行t2.elf,攻击成功,此时可以看到是kali指向target2

继续查看网络环境,添加去往33网段的路由。

攻击Target3

对target3进行攻击,发现有ms17_010_psexec漏洞,直接进行漏洞利用

攻击成功,此时查看箭头所指方向,说明是hacker主动去连接它

总结

以上就是在进行多层网段渗透中代理隧道技术中我一直思考的问题,我们在练习时不仅要知道怎么做,也要思考为什么要这么做,原理还是很重要的,当然我们可能在某一次实验中未发现问题,但要思考会可能今后在遇到类似的渗透时出现什么问题,不然很多时候我们换过一种渗透环境就会遇到各种问题。