文章目錄
- 一、環境準備:
- 二、工具:
- 三、概念:
- 四、學習目的:
- 五、reGeorg介紹:
- 六、reGeorg使用說明:
- 七、reGeorg_http協議正向代理:
- 1.?場景:
- 2.?網路拓撲圖:
- 3?說明:
- 4.?實驗程序:
一、環境準備:
??關閉靶機電腦的防火墻及病毒和威脅防護的實時防護,
??開啟內網主機的遠程桌面,
??在被控服務器windows2008虛擬機上面安裝IIS服務器,
二、工具:
reGeorg-master內網穿透工具
proxifier代理工具客戶端
三、概念:
??內網滲透不光只是反彈一個shell,反彈一個埠,我們更需要對內網進行更深一步的掃描和滲透,這時候就需要找到一個代理服務器,充當外網和內網資料轉發的節點,通過這個被我們控制的服務器,把所在網段的流量轉發到公網(互聯網),
??所以出現了反彈代理,也叫反彈socket,
四、學習目的:
??在我們進行滲透測驗程序中,獲得了目標服務器的getshell權限后,要對內網其它服務器或者主機進一步滲透;這樣的話,需要對其他主機進行資訊收集,埠、服務探測及漏洞掃描等操作,
??進行這樣操作,只進行反彈shell和埠轉發已經不能滿足需求,需要進一步進行反彈代理,通過我們控制的目標服務器,把目標服務器作為代理服務器,充當外網和內網資料轉發的節點,把所在內網網段的流量引出到公網,這樣的話,就方便我們對目標服務器所在內網網段的其他主機進行探測及漏洞利用了,
五、reGeorg介紹:
??HTTP/HTTPS 協議:
??HTTP Service代理用于將所有的流量轉發到內網,常見的代理工具有reGeorg、meterpreter.tunna等,
??reGeorg是reDuh的升級版,主要功能是把內網服務器埠的資料通過HTTP/HTTPS隧道轉發到本機,實作基于HTTP協議的通信,reGeorg 腳本的特征非常明顯,很多殺毒軟體都會對其進行查殺,
reGeorg 支持ASPX、PHP、 JSP等Web腳本,并特別提供了一個TomcatS版本如圖所示:

六、reGeorg使用說明:
$ git clone https://github.com/L-codes/Neo-reGeorg.git
$ python3 neoreg.py -h # 查看幫助
# 可選引數:
-h, --help # 顯示此幫助資訊并退出
-u URI, --url URI # 包含隧道腳本的url
-k KEY, --key KEY # 特定連接密鑰
-l IP, --listen-on IP # 默認監聽地址 (默認值: 127.0.0.1)
-p PORT, --listen-port PORT # 默認監聽埠 (默認值: 1080)
-s, --skip # 跳過可用性測驗
-H LINE, --header LINE # 將自定義標題行傳遞到服務器
-c LINE, --cookie LINE # 自定義到服務器的cookie
-x LINE, --proxy LINE # proto://host[:port] 在給定埠上使用代理
--read-buff Bytes # 本地讀取緩沖區,每個日志發送的最大資料(默認值: 1024)
--read-interval MS # 讀取資料間隔(毫秒) (默認值: 100)
--max-threads N # 代理最大執行緒數 (默認值: 1000)
-v # 顯示詳細資訊 (使用-vv或者更多的v顯示更詳細的資訊)
reGeorg分為客戶端和服務端,服務端需要上傳到被控主機網站路徑下,客戶端在本地連接服務端即可:

七、reGeorg_http協議正向代理:
1.?場景:
??在我們能夠訪問被控服務器,而且只能訪問被控服務器的80/443埠;被控服務器無法訪問互聯網,這樣就代表著我們不能使用反向代理;正向連接的話,攻擊者只能連接被控服務器的80或者443埠,這樣我們只能使用80,443進行代理,像這種情況,我們就需要使用http代理,
| 角色 | 系統 | 網卡 | IP(網段) |
|---|---|---|---|
| 攻擊者 | windows10物理機 | ||
| 被控主機1 | windows08虛擬機 | NAT VMnet1 | 192.168.100.158 172.16.10.10 |
| 內網主機 | windows03虛擬機 | VMnet1 | 172.16.10.11 |
2.?網路拓撲圖:

3?說明:
??正向代理是服務器開放監聽埠,客戶端(攻擊者)主動連接服務器的埠,
??適用于被控服務器擁有一個公網IP,
4.?實驗程序:
1、這里需要根據被控主機使用的腳本型別進行上傳,本次實驗的服務器是IIS服務器,服務器腳本是aspx的,這里上傳tunnel.aspx到被控服務器網站路徑:


2、使用瀏覽器訪問上傳的tunnel.aspx檔案,必須顯示Georg says, 'All seems fine'才表明是可用:

3、在攻擊者的物理機上面執行下面命令,用來連接http代理的服務端,由于服務端腳本使用的python2撰寫的,所以必須使用python2來執行腳本:
命令:
python2 reGeorgSocksProxy.py -u http://[被控主機的IP/URL]/tunnel.aspx
python2 reGeorgSocksProxy.py -u http://192.168.100.158/tunnel.aspx
-l IP, --listen-on IP # 默認監聽地址 (默認值: 127.0.0.1)
-p PORT, --listen-port PORT # 默認監聽埠 (默認值: 1080)

4、使用proxifier代理工具客戶端把代理流量代理出來:


5、代理規則用默認即可!
代理規則其實就相當于指定哪個軟體的流量經過代理?哪些不經過代理?例如:一般情況下我們需要使用瀏覽器訪問內網的網頁,所以就需要給瀏覽器配置經過代理,其它不需要代理的軟體就這設為direct模式(不經過代理),
注意:
監聽代理時候注意規則:以Proxifier為例子,將python.exe添加列外,不然會死回圈,

目標主機內容:
localhost;127.0.0.1;%ComputerName%;::1

6、在攻擊機上面連接第二級內網被控主機所在內網段的內網主機10.1.1.2:



轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/300683.html
標籤:其他
上一篇:檔案上傳漏洞詳解(CTF篇)
