【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线

环境搭建

请添加图片描述

系统安装 自行搭建好Windows各种操作系统后配置网络即可 环境演示：4台Windows

网络设置：

桥接或NAT 模拟出网段 vmware1 10 模拟内网段1 vmware2 20 模拟内网段2 vmware3 30 模拟内网段3

Win7/10 关闭防火墙 Win server 2008 开启防火墙 网络设置如下

在这里插入图片描述

此时该电脑只允许 80/443端口进行连接(入站规则) 模拟内网文件服务器Win server 2016：

在这里插入图片描述

不出网-控制上线-CS-反向连接

win server2008 开启防火墙后，原来的正向连接立刻下线

此时使用win 10进行转发上线，生成监听器，使得Win server2008进行反向连接(将流量转发给win 10)出站并未做限制

在这里插入图片描述

在这里插入图片描述

以该监听器生成后门，放到winserver上执行-上线 效果图：

在这里插入图片描述

但是使用这种方式并不能让win server2016上线，因为win server2008 做了入站限制，TCP流量并不能经过这里

不出网-控制上线-CS-SMB隧道

Win server2016 开启 SMB服务

在这里插入图片描述

进行横向移动(忽略这里得到凭证的细节)

在这里插入图片描述

Win server206上线且为sysetm权限

在这里插入图片描述

效果图：

在这里插入图片描述

windows是建立SMB通道 ，linux建立SSH通道

怎么知道对方是出站限制还是入站限制呢？

上传正向和反向木马进行测试

不出网-控制上线-CS-ICMP隧道

使用icmp隧道绕过出站限制，细节见上一章内容 注：win10作为pingtunnel服务端，其他操作类似 ……

不出网-控制上线-CS-关闭防火墙

如果取得目标机的高权限且，修改防火墙规则，关闭防火墙，以及替换防火墙规则里程序。 适用于： 1.单纯的内网环境(类似本次实验环境)，不是域环境 2.单纯的内网域环境(但是域控DC没有设置组策略防火墙同步)

入站过滤上线：

1、隧道技术硬刚 2、反向连接跳过 3、关闭&删除&替换 适用利用入站通行拿到的高权限

出站过滤上线：

1、隧道技术硬刚 2、正向连接跳过 3、关闭&删除&替换 适用利用入站通行拿到的高权限

隧道技术上线：

HTTP/S & DNS & SSH & ICMP & SMB & 协议穿透等 Windows防火墙命令： 参考：https://www.cnblogs.com/tomtellyou/p/16300557.html

查看当前防火墙状态：netsh advfirewall show allprofiles 关闭防火墙：netsh advfirewall set allprofiles state off 开启防火墙：netsh advfirewall set allprofiles state on 恢复初始防火墙设置：netsh advfirewall reset 启用桌面防火墙: netsh advfirewall set allprofiles state on 设置默认输入和输出策略：netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound 如果设置为拒绝使用blockinbound,blockoutbound