内网渗透之http隧道

最近在整理内网渗透的一些相关资料，隧道的搭建是后渗透阶段重要的一环。随着防守的手段不断升级，某些情况下只能搭建http隧道。

简介

通过HTTP协议与代理服务器建立连接，把所有要传送的数据全部封装到HTTP协议里进行传送，协议中包含有要连接的远程主机的IP和端口，连接成功之后会返回给客户端200，表示验证通过。

获取webshell的主机位于内网，并且该内网主机的icmp、dns、tcp和udp协议等都不能出网，唯一的数据通道是webshell搭建正向代理。

根据代理的稳定性、速度推荐Neo-reGeorg、reGeorg、abptts 三款工具。

可以称为reGeorg的升级版，且传输内容经过了base64编码，避免特征检查，有效绕过检测。

https://github.com/L-codes/Neo-reGeorg

1.设置密码，生成tunnel的webshell，并上传到目标服务器。

windows上可以使用SocksCap64 或者proxifier工具配置代理。

以windows上的SocksCap64 为例，添加代理。

测试连接成功。

注意有个测试代理地址。

点击可测试。

linux上可以使用proxychains代理

编辑

添加代理IP以及端口即可。

kali本地工具就可以通过proxychains命令全部代理进内网。

注意代理不支持icmp协议。proxychains nmap -Pn -sT -sV -v -T4 IP

reGeorg 是 reDuh 的升级版。主要把内网服务器的端口通过http或https隧道转发到本机。

https://github.com/sensepost/reGeorg

1.上传tunnel.nosocket.php到目标服务器。

2.连接tunnel.nosocket.php，配置代理。

在SocksCap64 添加代理。

测试连接成功。

abptts是一款基于ssl加密的http隧道工具。全程通信数据加密有效对抗检测。

https://github.com/nccgroup/ABPTTS

1.安装python依赖库

2.本地运行，生成webshell

注意：该工具不支持php

将生成的代理脚本选择性上传到目标服务器。

返回hash值，说明代理正常执行。

建立隧道，将目标服务器的3389和本地的3389进行绑定。

远程连接本地的33389端口

另外：

冰蝎本身也有socks代理。

Tunna 也可以在内网代理中转发端口。

pystinger是通过webshell来实现内网的SOCK4代理。

使用python开发，当前支持php，jsp(x)，aspx三种代理脚本。可直接用于metasploit，cobalt strike上线。

https://github.com/FunnyWolf/pystinger

1.上传proxy.jsp到目标服务器，确保可以正常访问。

2.上传stinger_server.exe 到目标服务器，并start命令运行该程序

vps 运行client端

将会在vps的6000端口启用socks4a代理

在SocksCap64 添加代理，测试一下。

配置60020端口的listener。

选择payload 生成artifact.exe，触发后即可上线。

vps可看到socks连接。

msfvenom生成60020端口的payload.exe

metasploit 配置对应的监听

将payload.exe在目标机上触发后，即可上线。

https://micro8.github.io/Micro8-HTML/Content/91-100.html

https://klionsec.github.io/2016/09/15/abptts-http-tunnel/

在Windows中设置二层代理，需要按照以下步骤 *** 作：

1. 打开控制面板，找到“网络和共享中心”。

2. 点击“更改适配器设置”，找到需要配置代理的网络适配器，并右键点击它，选择“属性”。

3. 在属性窗口中，找到“Internet协议版本4（TCP/IPv4）”，并双击打开它的配置窗口。

4. 在TCP/IPv4配置窗口中，选择“使用以下DNS服务器地址”选项，填写您的二层代理服务器的IP地址和端口号。

5. 点击“高级”按钮，在d出的高级TCP/IP设置窗口中，选择“WINS”选项卡。

6. 在WINS选项卡中，选择“启用NetBIOS over TCP/IP”选项，点击OK关闭窗口。

7. 重启您的计算机，让设置生效。

请注意，以上设置仅针对某些特定的网络环境和软件，如果您不清楚怎么设置二层代理，建议咨询网络管理员或技术支持人员的帮助。

首先下载安装SocksCap，安装结束后，运行SocksCap，出现如下图所示界面，这时候需要进行一些配置工作，选择菜单File - Settings。在Socks Server中填入Socks代理的IP地址：127.0.0.1，在Port项中填入代理端口：1080；Protocol选择Socks5项，选中Resolve all names remot，点击“确定”。接下来要做的便是把应用程序加入到SocksCap中。点File - New选项就可以出现如下图窗口。点Browse浏览选择应用程序，如IE等应用的EXE文件，其他选择默认，点“OK”就可以完成配置。更简便的 *** 作方法是将应用程序的快捷图标拖入主窗口中既可，然后鼠标右键会显示“New application profile”，给这个应用命名，然后给出要运行的程序和工作目录，点“OK”设置生效。这时候的SocksCap主界面会如下图所示，列出一系列应用程序的图标。双击SocksCap主界面的应用程序图标，即可通过SocksCap运行应用程序。若双击桌面上的应用程序，则为不使用代理运行程序。总体来说，SocksCap代理的目的是把一些不支持socks的代理的软件在进行网络通信的时候的数据全部转化成socks代理数据，然后再通过代理出去。对于IE来说，不需要在IE里面做任何配置，只要从SocksCap中运行IE就可以支持Socks代理。除了SocksCap之外，也可以使用功能和界面几乎完全相同的另一款软件FreeCap来代替。

---