0x00 前言
在渗透测试中,经常会使用到端口转发和代理。
端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为。
实际应用中需要考虑两种情况:
·
· Client<-Transit server->Server:Client无法正向连接Transit server,但Transit server能够反向连接Client。
如果Client要对Server的多个端口进行扫描(或是多个Server的多个端口),逐个配置转发规则很不现实。
为了提高效率,这里可以使用代理,配置一次规则即可。
本文将对常用方法和工具进行整理总结,分门别类,区分正向和反向连接,区分转发和代理,分析其中的联系和区别,并给出应用场景,以作参考。
0x01 简介
本文将要介绍以下内容:
· 针对Windows系统和Linux系统(Ubuntu和CentOS)下的方法
· 端口转发——正向连接的方法
· 端口转发——反向连接的方法
· 正向代理的方法
· 反向代理的方法
· 以上方法的应用场景
注:Go语言支持跨平台编译,所以本文更侧重于介绍Go语言实现的工具
0x02 端口转发——正向连接
零、应用场景
1.流量转发的跳板
用于隐藏真实的服务器地址
CIA Hive Beacon Infrastructure中端口转发使用的是Linux的iptables
如下图中的(2)
注:中转服务器的搭建可参考之前的文章《CIA Hive Beacon Infrastructure复现1——使用Apache mod_rewrite实现http流量分发》和《CIA Hive Beacon Infrastructure复现2——使用Apache mod_rewrite实现https流量分发》
2.建立通道
连接内网服务器的指定端口
Client能够正向连接到Transit server
一、测试环境
· Client: 192.168.111.136
· Server: 192.168.111.103
网络连接如下图:
使用nc测试网络连接
Server:
nc -lvp 4444
Client:
nc -vv 192.168.111.103 4444
Client连接成功,如下图:
二、Windows系统下的端口转发方法
· Transit server: 192.168.111.132
网络连接如下图:
1、使用netsh实现端口转发(需要管理员权限)
(1)添加转发规则
netsh interface portproxy add v4tov4 listenaddress=192.168.111.132 listenport=7777 connectaddress=192.168.111.103 connectport=4444
(2)添加防火墙入站规则
netsh advfirewall firewall add rule name="transit test" protocol=TCP dir=in localport=7777 action=allow
注:默认配置允许出站并阻挡入站通信,所以此处仅需要添加入站规则
测试网络连接:
Server:
nc -lvp 4444
Client:
nc -vv 192.168.111.132 7777
Client连接成功
(3)查看端口转发规则
netsh interface portproxy show all
(4)清除端口转发规则
netsh interface portproxy delete v4tov4 listenaddress=192.168.111.132 listenport=7777
(5)清除防火墙规则
netsh advfirewall firewall delete rule name="transit test"
2、使用rinetd实现端口转发
下载地址:https://boutell.com/rinetd/http/rinetd.zip
仅需要压缩包中的rinetd.exe
(1)为rinetd.exe添加防火墙规则(管理员权限)
netsh advfirewall firewall add rule name="transit test2" dir=in program="c:testrinetd.exe" action=allow
(2)编写转发规则
echo 0.0.0.0 7777 192.168.111.103 4444 > conf.txt
(3)启动
rinetd.exe -c c:testconf.txt
(4)清除防火墙规则(管理员权限)
netsh advfirewall firewall delete rule name="transit test2" dir=in program="c:testrinetd.exe"
3、使用HTran实现端口转发
注:lcx同其功能类似
源码来源于互联网,我在github做了备份,备份地址:https://raw.githubusercontent.com/3gstudent/test/master/HTran.cpp
(1)为HTran.exe添加防火墙规则(管理员权限)
netsh advfirewall firewall add rule name="transit test3" dir=in program="c:testHTran.exe" action=allow
(2)开启转发功能
HTran.exe -tran 7777 192.168.111.103 4444
(3)清除防火墙规则(管理员权限)
netsh advfirewall firewall delete rule name="transit test3" dir=in program="c:testHTran.exe"
4、使用EarthWorm实现端口转发
下载地址:https://github.com/rootkiter/EarthWorm
(1)为ew_for_win_32.exe添加防火墙规则(管理员权限)
netsh advfirewall firewall add rule name="transit test4" dir=in program="c:testew_for_win_32.exe" action=allow
(2)开启转发功能
ew_for_win_32.exe -s lcx_tran -l 7777 -f 192.168.111.103 -g 4444
(3)清除防火墙规则(管理员权限)
netsh advfirewall firewall delete rule name="transit test4" dir=in program="c:testew_for_win_32.exe"
三、Linux系统(Ubuntu)下的常用端口转发方法
· Transit server: 192.168.111.102
网络连接如下图:
1、使用iptables实现端口转发
(1)开启转发功能
echo 1 >/proc/sys/net/ipv4/ip_forward
注:该命令立即生效,重启失效
(2)添加转发规则
iptables -t nat -A PREROUTING -p tcp -d 192.168.111.102 --dport 8888 -j DNAT --to-destination 192.168.111.103:4444
iptables -t nat -A POSTROUTING -p tcp -d 192.168.111.103 --dport 4444 -j SNAT --to-source 192.168.111.102
(3)查看转发规则
iptables -L -t nat --line-number
如下图:
测试网络连接:
Server:
nc -lvp 4444
Client:
nc -vv 192.168.111.102 8888
Client连接成功
(4)清除规则
iptables -F -t nat
(5)保存规则
iptables-save > /etc/iptables.up.rules
(6)恢复规则
iptables-restore < /etc/iptables.up.rules
2、使用rinetd实现端口转发
(1)编译安装
wget http://www.boutell.com/rinetd/http/rinetd.tar.gz
tar zxvf rinetd.tar.gz
cd rinetd
make
(2)编写转发规则
echo 0.0.0.0 8888 192.168.111.103 4444 > /etc/rinetd.conf
(3)启动
./rinetd.exe
(4)结束进程
pkill -9 rinetd
3、使用HTran实现端口转发
Linux版HTran(lcx)的源码参考如下地址:https://github.com/windworst/LCX
需要使用gcc重新编译
(1)开启转发功能
./lcx -tran 8888 192.168.111.103 4444
注:go语言编写的HTran(lcx),优点是跨平台,支持Windows和Linux
下载地址:https://github.com/cw1997/NATBypass
4、使用EarthWorm实现端口转发
下载地址:https://github.com/rootkiter/EarthWorm
未开源
(1)开启转发功能
./ew_for_linux -s lcx_tran -l 8888 -f 192.168.111.103 -g 4444
四、Linux系统(CentOS)下的常用端口转发方法
· Transit server: 192.168.111.105
网络连接如下图:
1、使用iptables实现端口转发
(1)开启转发功能
echo 1 >/proc/sys/net/ipv4/ip_forward
注:该命令立即生效,系统重启失效
(2)安装iptables
systemctl stop firewalld
systemctl mask firewalld
yum install iptables-services
systemctl enable iptables
(3)添加转发规则
iptables -t nat -A PREROUTING -p tcp -d 192.168.111.105 --dport 8888 -j DNAT --to-destination 192.168.111.103:4444
iptables -t nat -A POSTROUTING -p tcp -d 192.168.111.103 --dport 4444 -j SNAT --to-source 192.168.111.105
service iptables save
service iptables restart
service iptables status
(4)查看转发规则
iptables -L -t nat --line-number
如下图:
测试网络连接:
Server:
nc -lvp 4444
Client:
nc -vv 192.168.111.105 8888
Client连接成功
(4)清除规则
iptables -F -t nat
2、使用rinetd实现端口转发
同Ubuntu,此处省略
3、使用HTran实现端口转发
同Ubuntu,此处省略
4、使用EarthWorm实现端口转发
同Ubuntu,此处省略
0x03 端口转发——反向连接
零、应用场景
1.建立通道
连接内网服务器的指定端口
测试环境如下图:
已有Transit server权限,想要访问Server的3389端口
Client无法正向连接到Transit server,但Transit server能够反向连接到Client
iptables和rinetd不再适用
一、使用HTran
支持Windows和Linux
Client:
HTran -listen 1111 2222
Transit server:
HTran -slave 1.1.1.1 1111 10.0.0.2 3389
Client:
nc -vv 127.0.0.1 2222
二、使用EarthWorm
支持Windows和Linux
Client:
ew -s lcx_listen -l 2222 -e 1111
Transit server:
ew -s lcx_slave -d 1.1.1.1 -e 1111 -f 10.0.0.2 -g 3389
Client:
nc -vv 127.0.0.1 2222
0x04 正向代理
零、应用场景
1.内网扫描
对内网的多个端口进行扫描
Client能够正向连接到Transit server
测试环境如下图:
要对Server1、Server2和Server3的端口进行扫描
Socks4代理只支持TCP协议,而Socks5代理支持TCP协议和UDP协议,更加全面,所以本文只介绍实现Socks5代理的方法
一、使用HTran
网上流传HTran2.4支持Socks5代理,但我未找到开源代码,此处作一个标记
二、使用EarthWorm
Transit server:
ew –s ssocksd –l 8888
Client使用代理工具连接Transit server的8888端口
三、使用goproxy
go实现的高性能http,https,websocket,tcp,udp,socks5,ss代理服务器,支持正向代理、反向代理、透明代理、内网穿透、TCP/UDP端口映射、SSH中转
下载地址:https://github.com/snail007/goproxy/
Transit server:
proxy socks -t tcp -p "0.0.0.0:8888"
Client使用代理工具连接Transit server的8888端口
四、自己使用go实现
Windows系统安装Go:https://golang.org/dl/
安装git:http://git-scm.com/downloads
安装go-socks5:
go get github.com/armon/go-socks5
go build
test.go:
package main
import socks5 "github.com/armon/go-socks5"
func main() {
conf := &socks5.Config{}
server, err := socks5.New(conf)
if err != nil {
panic(err)
}
if err := server.ListenAndServe("tcp", "0.0.0.0:8888"); err != nil {
panic(err)
}
}
编译
go build test.go
Client使用代理工具连接Transit server的8888端口
五、使用reGeorg
下载地址:https://github.com/NoneNotNull/reGeorg
针对web服务器,支持(aspx|ashx|jsp|php)
注:
· Windows下连接socks代理的工具可使用sockscap64
· Linux下连接socks代理的工具可使用proxychains
0x05 反向代理
零、应用场景
1.内网扫描
对内网的多个端口进行扫描
测试环境如下图:
Client无法正向连接到Transit server,但Transit server能够反向连接到Client
要对Server1、Server2和Server3的端口进行扫描
一、使用EarthWorm
Client:
ew -s rcsocks -l 2222 -e 1111
Transit server:
ew -s rssocks -d 1.1.1.1 -e 1111
使用代理工具连接Client的2222端口
二、使用rsocks
下载地址:https://github.com/brimstone/rsocks
Go语言编写,支持Windows和Linux
Client:
rsocks -listen :1111 -socks 127.0.0.1:2222
Transit server:
rsocks -connect 1.1.1.1:1111
使用代理工具连接Client的2222端口
0x06 小结
本文对端口转发和代理的常用工具和方法进行整理总结,划分正向和反向连接两个类别,分别介绍了应用场景和常用工具,可作为实际应用的参考。