声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.1
简介
内网中大部分linux服务器与网络设备都支持ssh协议,而且大部分ssh协议是能够通过防火墙与边界设备,所以攻击者无法利用其他协议转发代理内网流量时,可以考虑尝试使用ssh协议。这里主要以常见的本地转发、远程转发、动态转发为案例
No.2
相关概念
本地转发
ssh进程的本地端口映射可以将本地的某个端口转发到远端指定机器的指定端口,将在本地监听一个端口,所有的访问端口数据都会通过SSH隧道传输到远端对应端口
远程转发
在远程主机上监听一个端口,所有远程主机指定的数据都会通过ssh隧道传输到本地主机的对应端口
可以发现本地转发与远程转发有些类似,除了端口转发时的不同,实际的应用场景也各不相同本地转发--攻击机可访问内网边界,内网边界可访问内网服务,但攻击机无法直接访问内网服务,攻击者以本地端口以内网边界的身份访问内网服务远程转发--攻击机无法访问内网边界及服务,但内网边界可访问攻击机,攻击机访问内网服务时就会通过攻击机与内网边界建立的ssh隧道以内网边界的名义进行访问
动态转发
本地和远程端口转发都限定了目标服务器以及目标服务器的端口,而动态端口转发,攻击机把内网边界作为自己的代理,不限定目标服务器及其端口。攻击机和内网边界之间的所有连接都是基于加密的ssh
常见ssh命令如下
sshroot
..3.参数说明:-C:压缩传输,提高传输速度-f:将ssh传输转入后台执行,不占用当前的Shell-N:建立静默连接(建立了连接,但是看不到具体会话)-g:允许远程主机连接本地用于转发的端口-L:本地端口转发-R:远程端口转发-D:动态转发(socks代理)-P:指定ssh端口No.3
本地转发
攻击机:..3.内网边界:..3..10.10.内网web:10.10.10.攻击机:
目标边界,能够访问内网web:内网web,这里以phymyadmin为演示:
假设我们需要从外网攻击机获取内网资源,如连接端口以内网边界为跳板,将内网web的端口,转发到攻击机的1端口,然后访问攻击机的1端口攻击机如下执行:ssh-CfNg-L1:10.10.10.:root
..3.1(攻击机端口)10.10.10.(目标主机)(目标端口)..3.(边界跳板)查看1端口是否连接:
访问攻击机的1端口即可接入内网web服务器的端口:
当连接..3.的1端口时,通过ssh协议与边界跳板..3.连接,然后10.10.10.发送相应流量连接至内网10.10.10.攻击机随机端口与边界跳板相连接
边界跳板内网随机端口与内网web连接
内网web端口与边界跳板连接
No.4
远程转发
攻击机:..3.内网边界:10.10.10.内网web:10.10.10.这里注意,攻击机不能访问内网机器,内网边界可访问外网攻击机(可以从内网边界ssh到攻击机上),但内网web服务器不能访问攻击机以内网边界为跳板,将..3.的3端口流量转发到内网web的端口,访问3端口就可以访问内网web的的远程桌面内网边界执行如下命令:ssh-CfNg-R3:10.10.10.:root
..3.3(攻击机端口)10.10.10.(目标主机)(目标端口)..3.(攻击机IP)攻击机内如下接入:rdesktop.0.0.1:3
攻击机22端口与内网边界相连接,内网出来的流量均会议22端口进行传输
内网边界内网边界是可以访问攻击机的,此时边界随机端口将会连接攻击机的22端口
内网web与边界随机端口建立连接
No.5
动态转发
攻击机:..3.内网边界:..3..10.10.内网web:10.10.10.在攻击机上执行如下,创建socks代理,需要内网边界的密码:ssh-CfNg-Droot
..3.(socks代理的端口,后期以攻击机的ip与该端口接入内网即可)浏览器配置代理,接入内网web资源(此次非内网边界):
同样可以以此代理地址将其他工具接入内网,进一步内网渗透,在此不再赘述
招聘
安恒雷神众测SRC运营(实习生)————————1.负责SRC的微博、