作者: r0n1n
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。
0x01 前言
进行内网渗透时,在其他代理无法执行的情况下,可以尝试使用Linux系统自带SSH服务去进行代理转发。
0x02 SSH内网代理的三种情况
一般使用第三种动态端口转发
一、本地端口转发:(攻击机执行命令)
攻击机执行命令:
ssh -L 9530:20.20.20.40:22(内网主机)-fN root@172.16.127.197 (边界服务器)-p 22
例子:
ssh -L 9530:20.20.20.40:22 -fN root@172.16.127.197 -p 22
ssh root@127.0.0.1 -p 9530
//通过远程访问边界服务器,把内网主机20.20.20.40的22端口服务(ssh) 转发到攻击机的9530端口,然后在攻击机上连接的就是20.40的主机
参数:
-f 后台执行数据传输
-N 建立静默连接
-g 允许远程主机连接本地用于转发的端口
-L 本地端口转发
-R 后台执行数据传输
-D 动态转发,即SOCKS代理
-L 本地端口转发
二、远程端口转发:(边界机执行命令)
边界服务器执行命令:
例子:
ssh -R 9527:20.20.20.40:22 -fN ronin@172.16.127.190 -p 22
ssh root@127.0.0.1 -p 9527
//当攻击机连接自己的9527端口时,该请求会通过SSH协议封装发给边界服务器,然后在边界服务器上解封装形成telnet流量,发送给20.40内网
注意:可能攻击机由于规则流量的问题会拦截远程登录,先关闭防火墙
ufw disable
注意:由于我没有设置策略,设置的root权限无法使用ssh服务,因此我只能使用一个普通的账户ronin进行登录。
三、动态端口转发(攻击机执行命令):【socks代理服务比较好用】
攻击机执行命令:(相当于开启了一个socks代理服务)
1、本地ssh客户端(边界服务器)监听
ssh -fgN -D 12345 root@172.16.127.197 (边界服务器)
//ssh服务端监听127.0.0.1:9530,开启socks服务, 将收到的socks数据包通过连接到172.16.127.197的ssh隧道转发到ssh服务端,再由ssh服务端转发到目标地址。
2、然后配置proxychains.conf,添加记录:socks4 127.0.0.1 12345
3、最后访问内网的某个服务:
proxychains wget http://20.20.20.40:9000/123
例子:
1、本地攻击机连接边界服务器开启socks隧道服务
ssh -fgN -D 12345 root@172.16.127.197
2、proxychains执行操作
proxychains ssh root@127.0.0.1 (如果端口不是22则加上:-p 端口号)
测试内网靶机20.20.20.40端口扫描:
0x03 总结
我不是一个喜欢说废话的人,喜欢简单直接高效率,因此我也不怎么去水文章。在写技术复现、总结,利用类的文章也都是简单直接,何况后续也能当作个人笔记进行查询,所输出的全部技术只为实战赋能,因此可能看的有点累,不喜勿喷。
如果讲究具体原理来说,可能要写上很久,因此为了不浪费彼此的时间,让读者更高效率的理解技术工具的用法,如有不明白的地方,还希望能自主查询理解透彻。
0x04 了解更多安全知识
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
