Regeorg+Proifier
参考链接https://www.freebuf.com/articles/network/208221.html
Windows reGeorg+proxifier 正向代理
环境
攻击端(Win10):192.168.223.1
靶机一(Win2008):外网IP:192.168.223.128 内网IP:192.168.1.1
靶机二(windows ):内网IP:192.168.1.2
使用方法
- 通过Shell上传对应的Tunnel脚本,访问:
表示脚本运行正常。
- 在本地运行reGeorgSocksProxy.py脚本:
Python reGeorgSocksProxy.py-p “自定义本地监听端口” -u “tunnel.jsp脚本url”
运行成功,然后配置proifier,配置方法与第一个环境一样:
行为分析
建立代理的流量:
对内网WEB的一次访问:
通过流量可以看出,如果使用tunnel.jsp作为隧道,流量有明显跟隧道文件有关的特征,使用端口扫描工具对内网进行端口扫描:
可以看到代理特征还是调用tunnel隧道来进行内网渗透,查看http流量:
3389连接的特征:
传统的3389连接流量:
用jmeter漏洞工具进行漏洞攻击(这里靶机IP自动更新到129了):
追踪TCP流可以看到命令执行痕迹:
总结
利用regeorg+proifier方式来进行内网全局代理之后有明显的流量特征,但是流量中的行为不方便分析,流量行为主要是以流量隧道来进行攻击,我们能直观看见的是目的IP和目的端口,所以可以根据端口全球数量和频率可以大概分析攻击者行为,脚本会被部分杀软检测。
Socks5
linux环境下: ---socks代理
sock5代理工作原理
sock5协议详解
如何用代理TCP协议
1。向服务器的1080端口建立tcp连接。
2。向服务器发送 05 01 00 (此为16进制码,以下同)
3。如果接到 05 00 则是可以代理
4。发送 05 01 00 01 + 目的地址(4字节) + 目的端口(2字节),目的地址和端口都是16进制码(不是字符串)。
例202.103.190.27 - 7201
则发送的信息为:05 01 00 01 CA 67 BE 1B 1C 21
(CA=202 67=103 BE=190 1B=27 1C21=7201)
5。接受服务器返回的自身地址和端口,连接完成
6。以后操作和直接与目的方进行TCP连接相同。
如何用代理UDP连接
1。向服务器的1080端口建立tcp连接
2。向服务器发送 05 01 00
3。如果接到 05 00 则是可以代理
4。发送 05 03 00 01 00 00 00 00 + 本地UDP端口(2字节)
5。服务器返回 05 00 00 01 +服务器地址+端口
7.需要申请方发送
00 00 00 01 +目的地址IP(4字节)+目的端口 +所要发送的信息
8。当有数据报返回时
向需要代理方发出00 00 00 01 +来源地址IP(4字节)+来源端口 +接受的信息
注:此为不需要密码的代理协议,只是socks5的一部分,完整协议请看RFC1928
http代理与Socks5代理
http代理
1、介绍代理客户机的http访问,主要代理浏览器访问网页,它的端口一般为80、8080、3128等。2、协议HTTP协议即超文本传输协议,是Internet上行信息传输时使用最为广泛的一种非常简单的通信协议。部*域网对协议进行了限制,只允许用户通过HTTP协议访问外部网站。目前HTTP功能支持“直接连接”和通过”HTTP代理“形式的连接。选择其中的何种形式,要视用户所在的局域网(或其它上网环境)的具体情况。
socks5代理
采用socks协议的代理服务器就是socks服务器,是一种通用的代理服务器。Socks是个电路级的底层网关,是DavidKoblas在1990年开发的,此后就一直作为Internet RFC标准的开放标准。Socks 不要求应用程序遵循特定的操作系统平台,Socks 代理与应用层代理、 HTTP 层代理不同,Socks 代理只是简单地传递数据包,而不必关心是何种应用协议。