24

内网全局代理工具及特征分析

 4 years ago
source link: https://www.tuicool.com/articles/nYFJrer
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

简介

端口转发是点对点的方式,代理是点对面的方式,如果我们只需要访问主机的特定的端口,使用端口转发就够了,但通常在渗透进内网之后,我们还需要对整个内网进行横向渗透,这时代理必然是一个高校的方法。代理分为正向代理和反向代理,正向代理常适用于外网可以直接访问到web服务器的情况下,反向代理适用于服务器可以出网,但是外部无法直接访问服务器的情况,针对大型企业,现在几乎都是CDN,负载均衡等设备,所以个人认为现在反向代理更常见于渗透攻击中。

一、 EW+Proifier

环境

攻击端(windows10):172.16.110.150

靶机1(windows 2008 R2):外网IP:192.168.254.132内网IP:192.168.1.1

靶机2(windows2008): 内网IP:192.168.1.2

使用方法

反向代理使用方法(正向代理这儿不演示,反向代理应用更多些,因为反向代理主要适用于服务器无法从外部访问,但是服务器可以访问外部):

1. 通过shell上传一个对应版本的EW,这儿我上传了一个windows的

2. 本地执行:ew_for_Win.exe -srcsocks -l “自定义端口1” -e“自定义端口2”

zABnai7.jpg!web

3. Shell上执行:ew_for_Win.exe -s rssocks-d “接收端IP” -e “自定义端口2”

qa26jiF.jpg!web

3YRfQzR.jpg!web

bEBF3aZ.jpg!web

4. 配置Proifier

NvQNRzm.jpg!web

AFNv2ea.jpg!web

行为分析

配置好后对内网IP的一次访问:

V32U7nq.jpg!web

可以看出如果使用ew进行内网的全局代理,如果攻击者使用的上传工具又经过加密,比如冰蝎这款shell管理工具,我们是无法通过流量回溯来发现上传代理工具,以及代理转发痕迹。

不过在靶机本地可以看到可疑进程:

INnIv2Z.jpg!web

可疑网络连接:

Ev2qQzU.jpg!web

事件日志:

QvAvqmV.jpg!web

VirusTotal检查结果:

7z2Qzyj.jpg!web

总结

如果利用ew进行全局代理,配合加密得shell,通过流量回溯极难发现,通过服务器本地日志查看,进程查看,网络排查容易发现痕迹,且ew会被部分杀软查杀。

二、 Regeorg+Proifier

环境

攻击端(Win10):192.168.223.1

靶机一(Win2008):外网IP:192.168.223.128 内网IP:192.168.1.1

靶机二(windows ):内网IP:192.168.1.2

使用方法

1. 通过Shell上传对应的Tunnel脚本,访问:

eiAZ73u.jpg!web

表你是脚本运行正常。

2. 在本地运行reGeorgSocksProxy.py脚本:

Python reGeorgSocksProxy.py-p “自定义本地监听端口” -u “tunnel.jsp脚本url”

jaIzUfN.jpg!web

运行成功,然后配置proifier,配置方法与第一个环境一样:

BVrQ7b7.jpg!web

行为分析

建立代理的流量:

FzuAfiR.jpg!web

对内网WEB的一次访问:

mmayyiJ.jpg!web

iqI3uaq.jpg!web

通过流量可以看出,如果使用tunnel.jsp作为隧道,流量有明显跟隧道文件有关的特征,使用端口扫描工具对内网进行端口扫描:

JZR32qU.jpg!web

RBB3eeQ.jpg!web

可以看到代理特征还是调用tunnel隧道来进行内网渗透,查看http流量:

ZJbai2a.jpg!web

2Er6bqZ.jpg!web

3389连接的特征:

QrQb2my.jpg!web

BjyaUzN.jpg!web

传统的3389连接流量:

IjER7fE.jpg!web

用jmeter漏洞工具进行漏洞攻击(这里靶机IP自动更新到129了):

RVz2aaF.jpg!web

追踪TCP流可以看到命令执行痕迹:

Q7vIVvz.jpg!web

总结

利用regeorg+proifier方式来进行内网全局代理之后有明显的流量特征,但是流量中的行为不方便分析,流量行为主要是以流量隧道来进行攻击,我们能直观看见的是目的IP和目的端口,所以可以根据端口全球数量和频率可以大概分析攻击者行为,脚本会被部分杀软检测。

三、Abptts&SSH

使用方法

Abptts是一款基于python2.7的http加密隧道工具,Abptts能做的很多:

1. 通过http加密隧道转发至目标内网下指定的单个TCP端口

2. 通过http加密隧道同时转发至目标内网下的多台机器上的多个tcp端口

3. 把ssh隧道包裹在http加密隧道中传递,对目标二级内网进行穿透

行为分析

单个端口转发:内网的80端口转发到本地的80端口,无流量产生,无痕迹可分析

环境

攻击端(windows):192.168.114.1靶机一(windows):外网IP:192.168.114.128内网IP:192.168.1.4靶机二(windows):内网IP192.168.1.2

eIbANnb.jpg!web

本地访问80端口,特征为大量对代理文件的请求,数据流加密了无法看出内容:

aeiIBbr.jpg!web

2u2u6zz.jpg!web

SSH动态转发:

攻击端(kali):192.168.114.131

靶机一(CentOs):192.168.114.132

SSH -D 本地端口 user@SshServerHost

Ssh协议采用了加密处理,无法对内容进行分析,ssh动态转发需要知道用户密码,所以使用具有一定前提条件,对服务器的last读取可以看到ssh登录痕迹,并且因为ssh动态转发是一个持续化的过程,所以只要转发进程没有结束,就会一直产生tcp&&ssh协议的流量。

eQBzQbB.jpg!web

Abptts+SSH动态转发:

攻击端(kali):192.168.114.131

靶机(CentOs):192.168.114.132

双加密的内网代理手法,繁琐了点,但是对蓝方人员更是无法分析行为:特征为频繁请求代理文件。

ZNVZbmN.jpg!web

VirusTotal检查结果:惊奇发现居然免杀

3qAZVb2.jpg!web


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK