内网渗透之http隧道

最近在整理内网渗透的一些相关资料，隧道的搭建是后渗透阶段重要的一环。随着防守的手段不断升级，某些情况下只能搭建http隧道。

简介

通过HTTP协议与代理服务器建立连接，把所有要传送的数据全部封装到HTTP协议里进行传送，协议中包含有要连接的远程主机的IP和端口，连接成功之后会返回给客户端200，表示验证通过。

获取webshell的主机位于内网，并且该内网主机的icmp、dns、tcp和udp协议等都不能出网，唯一的数据通道是webshell搭建正向代理。

根据代理的稳定性、速度推荐Neo-reGeorg、reGeorg、abptts 三款工具。

可以称为reGeorg的升级版，且传输内容经过了base64编码，避免特征检查，有效绕过检测。

https://githubcom/L-codes/Neo-reGeorg

1设置密码，生成tunnel的webshell，并上传到目标服务器。

windows上可以使用SocksCap64 或者proxifier工具配置代理。

以windows上的SocksCap64 为例，添加代理。

测试连接成功。

注意有个测试代理地址。

点击可测试。

linux上可以使用proxychains代理

编辑

添加代理IP以及端口即可。

kali本地工具就可以通过proxychains命令全部代理进内网。

注意代理不支持icmp协议。proxychains nmap -Pn -sT -sV -v -T4 IP

reGeorg 是 reDuh 的升级版。主要把内网服务器的端口通过http或https隧道转发到本机。

https://githubcom/sensepost/reGeorg

1上传tunnelnosocketphp到目标服务器。

2连接tunnelnosocketphp，配置代理。

在SocksCap64 添加代理。

测试连接成功。

abptts是一款基于ssl加密的http隧道工具。全程通信数据加密有效对抗检测。

https://githubcom/nccgroup/ABPTTS

1安装python依赖库

2本地运行，生成webshell

注意：该工具不支持php

将生成的代理脚本选择性上传到目标服务器。

返回hash值，说明代理正常执行。

建立隧道，将目标服务器的3389和本地的3389进行绑定。

远程连接本地的33389端口

另外：

冰蝎本身也有socks代理。

Tunna 也可以在内网代理中转发端口。

pystinger是通过webshell来实现内网的SOCK4代理。

使用python开发，当前支持php，jsp(x)，aspx三种代理脚本。可直接用于metasploit，cobalt strike上线。

https://githubcom/FunnyWolf/pystinger

1上传proxyjsp到目标服务器，确保可以正常访问。

2上传stinger_serverexe 到目标服务器，并start命令运行该程序

vps 运行client端

将会在vps的6000端口启用socks4a代理

在SocksCap64 添加代理，测试一下。

配置60020端口的listener。

选择payload 生成artifactexe，触发后即可上线。

vps可看到socks连接。

msfvenom生成60020端口的payloadexe

metasploit 配置对应的监听

将payloadexe在目标机上触发后，即可上线。

https://micro8githubio/Micro8-HTML/Content/91-100html

https://klionsecgithubio/2016/09/15/abptts-http-tunnel/

要分两步查：

查服务端CCPROXY是否正常，主要是代理权限，对方的IP要放到帐户中。

在IE中直接设它的HTTPS代理，端口一般808，看行不行；

如果正常，再查代理客户端；

估计是服务端的权限。