Regeorg+Proifier
參考鏈接https://www.freebuf.com/articles/network/208221.html
Windows reGeorg+proxifier 正向代理
環境
攻擊端(Win10):192.168.223.1
靶機一(Win2008):外網IP:192.168.223.128 內網IP:192.168.1.1
靶機二(windows ):內網IP:192.168.1.2
使用方法
- 通過Shell上傳對應的Tunnel腳本,訪問:
表示腳本運行正常。
- 在本地運行reGeorgSocksProxy.py腳本:
Python reGeorgSocksProxy.py-p “自定義本地監聽端口” -u “tunnel.jsp腳本url”
運行成功,然后配置proifier,配置方法與第一個環境一樣:
行為分析
建立代理的流量:
對內網WEB的一次訪問:
通過流量可以看出,如果使用tunnel.jsp作為隧道,流量有明顯跟隧道文件有關的特征,使用端口掃描工具對內網進行端口掃描:
可以看到代理特征還是調用tunnel隧道來進行內網滲透,查看http流量:
3389連接的特征:
傳統的3389連接流量:
用jmeter漏洞工具進行漏洞攻擊(這里靶機IP自動更新到129了):
追蹤TCP流可以看到命令執行痕跡:
總結
利用regeorg+proifier方式來進行內網全局代理之后有明顯的流量特征,但是流量中的行為不方便分析,流量行為主要是以流量隧道來進行攻擊,我們能直觀看見的是目的IP和目的端口,所以可以根據端口全球數量和頻率可以大概分析攻擊者行為,腳本會被部分殺軟檢測。
Socks5
linux環境下: ---socks代理
sock5代理工作原理
sock5協議詳解
如何用代理TCP協議
1。向服務器的1080端口建立tcp連接。
2。向服務器發送 05 01 00 (此為16進制碼,以下同)
3。如果接到 05 00 則是可以代理
4。發送 05 01 00 01 + 目的地址(4字節) + 目的端口(2字節),目的地址和端口都是16進制碼(不是字符串)。
例202.103.190.27 - 7201
則發送的信息為:05 01 00 01 CA 67 BE 1B 1C 21
(CA=202 67=103 BE=190 1B=27 1C21=7201)
5。接受服務器返回的自身地址和端口,連接完成
6。以后操作和直接與目的方進行TCP連接相同。
如何用代理UDP連接
1。向服務器的1080端口建立tcp連接
2。向服務器發送 05 01 00
3。如果接到 05 00 則是可以代理
4。發送 05 03 00 01 00 00 00 00 + 本地UDP端口(2字節)
5。服務器返回 05 00 00 01 +服務器地址+端口
7.需要申請方發送
00 00 00 01 +目的地址IP(4字節)+目的端口 +所要發送的信息
8。當有數據報返回時
向需要代理方發出00 00 00 01 +來源地址IP(4字節)+來源端口 +接受的信息
注:此為不需要密碼的代理協議,只是socks5的一部分,完整協議請看RFC1928
http代理與Socks5代理
http代理
1、介紹代理客戶機的http訪問,主要代理瀏覽器訪問網頁,它的端口一般為80、8080、3128等。2、協議HTTP協議即超文本傳輸協議,是Internet上行信息傳輸時使用最為廣泛的一種非常簡單的通信協議。部分局域網對協議進行了限制,只允許用戶通過HTTP協議訪問外部網站。目前HTTP功能支持“直接連接”和通過”HTTP代理“形式的連接。選擇其中的何種形式,要視用戶所在的局域網(或其它上網環境)的具體情況。
socks5代理
采用socks協議的代理服務器就是socks服務器,是一種通用的代理服務器。Socks是個電路級的底層網關,是DavidKoblas在1990年開發的,此后就一直作為Internet RFC標准的開放標准。Socks 不要求應用程序遵循特定的操作系統平台,Socks 代理與應用層代理、 HTTP 層代理不同,Socks 代理只是簡單地傳遞數據包,而不必關心是何種應用協議。