内网安全:隧道技术详解
隧道技术概述
隧道技术是解决流量不出网的问题,利用可以出网的协议封装出网。它通过在原有的网络协议上封装和封装数据包,使得数据能够在两个网络之间进行传输。
隧道技术是一种网络通信的技术手段,用于在不同的网络之间建立安全、可靠的通信连接。它可以扩展网络、穿越防火墙和 NAT、提供加密和安全性,是实现 VPN 等网络功能的重要组成部分。
隧道穿越防火墙:在面对防火墙限制时,隧道技术可以帮助绕过这些限制,使得内部网络能够与外部网络进行通信。它通过将数据封装在可通过防火墙的通信协议上进行传输,达到穿越限制的效果。
例如,防火墙出站设置严格,仅允许 ICMP 协议通过,我们可以把 TCP 协议的数据封装进入 ICMP 协议来出防火墙,实现流量出网。
隧道技术的两个作用
- 取得系统权限,搭建隧道实现流量出网,上线 CS(Cobalt Strike)。
- 建立通讯,通过隧道技术建立通讯,进行进一步的渗透。
我们基本不需要关注第二种作用,因为这些在通讯上的应用往往都比较苛刻,主要在网络这一块应用比较多,在内网安全测试中,主要作用是通过隧道移交权限。
所以有必要声明,文中的实验环境的主机均是取得了系统权限
隧道技术对比代理技术:
- 代理技术解决了攻击机到内网的访问不到问题,建立通讯。
- 隧道技术解决了被攻击机访问到攻击机的问题,完成上线。
建立隧道的流程
- 判断可利用协议,查看主机上有没有可利用的协议去搭建隧道。
- 使用可出网协议建立隧道。
反向连接技术
考虑到在同等条件下,使用隧道技术来替代反向连接更优秀,原因是使用隧道更加隐蔽也能达到上线的效果,而且这些协议搭建的隧道除了 SMB 协议基本都是反向连接的。
反向连接实验所用网络拓扑及说明
网络说明 网段情况:Vmware 配置网络。 攻击机:公网 IP。 靶机:
- Win 7:内网唯一可出网主机,也可对内网 192.168.11.* 网段主机进行通讯。
- Win 10:内网主机,流量不出网。
- Win 2008:内网主机,流量不出网。
- Win 2012:内网主机,流量不出网。
防火墙限制说明 在 Win 2008 服务器上开启了防火墙,只允许 80 端口 TCP 进行通讯。入站限制严格,不可访问外网。 在 Win 2012 服务器上开启防火墙,只允许访问打印机。入站限制严格,不可访问外网。
实验前提说明 MSF/CS 的木马走的都是 TCP 的协议,因为正向连接完全堵死!在这张网络拓扑图中,我们已经取得 win7,win10 权限,接下来将主要目标是拿下 win2008 win 2012。
实战一:CS 反向连接上线 - 拿下 Win2008
出站策略宽松,可以选择 TCP 协议反向连接。
一、使用转发代理上线创建监听器
在 CS 上选择和 win10 的会话。设置监听器,IP-win10:192.168.22.130 PORT:4444。
二、上传后门执行上线
生成对应系统的后门文件,上传至目标主机并执行,即可上线。
隧道技术 - SMB 协议
首先,看到 win2012 入站严格,出站宽松,第一想法肯定是在 Win2012 上反向连接到 win2018 上上线 CS。但是需要主要到 win2008 的入站规则严格,从 win2012 上的流量走向 win2008 对 win2008 主机是正向的,是要触发入站规则的。
但是主要到 win2012 的入站规则里面允许通过访问打印机,可以利用 SMB 协议建立正向连接来实现 win2012 流量出网。
如何判断? 使用 CS 直接扫描对方网段的主机的 445 端口即可,注意在内网要别动静太大。
SMB 协议介绍
SMB(Server Message Block)协议是一种在计算机网络中共享文件、打印机和其他资源的通信协议。它最初由微软开发,用于在局域网中的计算机之间共享文件和资源,445 端口运行。
