00x1 环境
模拟内网环境:一台windows2003,一台windows2008,物理机windows10。
网段分布:
| 主机 | IP |
|---|---|
| windows10 | 192.168.60.98 |
| windows2003 | 192.168.255.136/192.168.72.128 |
| windows2008 | 192.168.72.129 |
win10可与win2003互通,但不能访问win2008;win2003可与win2008互通;且win2003出网,win2008不出网。
(即模拟win10为攻击者,win2003为跳板,win2008为攻击目标)
00x2 Termite介绍
内网穿透神器termite工具介绍:
Termite是一款内网穿透利器,分为管理端admin和代理端agent。它支持多平台、跳板机间正反向级联、内置shell管理等。
agent参数:
options :
-l listen Listen Mode. //启动监听端口
-c tohost Remote host address for `Connect Mode`. //连接远程主机的地址
-p toport The port on remote host for `Connect Mode`. //连接远程主机的端口
-n name Setting the name ("agent" default). //设置节点名字
-h help This help text.
-v version Version.
-a about About text.
-d detailed Detailed text.
admin参数:
options :
-c tohost Remote host address. //远程主机的地址
-p toport The port on remote host. //远程主机的端口
-h help This help page.
-v version Show the version.
-a about Show the about text.
-d detailed Show the detailed text.
将代理端agent上传至win2003和win2008后,启动监听。
win2003:
win2008:
win10启动管理端:
连接管理端,并通过show可查看到当前存活的节点,目前只有win10主机存在:
通过connect 192.168.255.136 3333将win2003的节点加入,发现win2003的节点id=2已经添加了。
现在在通过win2003,将win2008的节点也加进去。
00x3 获取shell
通过管理端我们可以对节点进行很多的操作。
获取shell:
会在win10上启动1234端口进行监听,而win2003会主动连接1234端口并且将自己的cmd发送到1234端口;win10只要在本机上使用nc连接1234端口即可获取win2003的shell。
获取win2008的shell也同理。
00x4 端口转发
也可进行端口转发,将内网的端口转发到物理机的端口上;这里实验将win2003的3389端口转发到本机的3389端口,进而只要本机访问127.0.0.1:3389即可访问win2003(建立一个隧道)
还有其他的功能socks代理,原理一样,通过在本机启动一个socks代理,代理流量通过节点转发到内网;还有上传和下载文件等等,就不展示了。
00x5 反向连接
反向连接适合有墙的情况下,假如win2003和2008之间有墙,则可以通过win2003上启动监听,win2008主动连接win2003,这就是反向连接从墙内部发起连接(上文则是在墙内启动监听等待连接,物理机去连接)。
可以看到win2003下多了一个节点。
00x6 总结
termite的工具介绍到这,后续继续介绍其他的内网穿透工具;目前termite作者已经永久停更了。