回归最本质的信息安全

秘密渗透内网——利用 DNS 建立 VPN 传输隧道

2017年2月6日发布

17,250
2
0

导语:在APT攻击日益严重的今天,只有不断了解并掌握更加高级且不寻常的攻击手法,才能在内网沦陷之前做好严密的防护。

摘要

在APT攻击日益严重的今天,只有不断了解并掌握更加高级且不寻常的攻击手法,才能在内网沦陷之前做好严密的防护。利用DNS建立VPN连接进行网络传输用的正是一种非常隐蔽且不寻常的手法。

概述

当我们被IDS或者防火墙阻断的时候,我们通常开始使用 [DNSCat] 作为一种在约定期间秘密传输数据的手段。同时,DNS 协议经常被系统管理员所忽视,因此,这个工具就一直非常有用。  

虽然也有其他的 DNS 隧道连接VPN的解决方案,但是 DNSCat却是我们惯用的方法,因为它有以下几个优点:

- 1) 集中式的服务器使得管理起来很简单
- 2) 命令行工具使用起来也很方便
- 3) 支持加密传输 
- 4) 可以自由免费的使用

但是这个工具有个缺点:不具有建立从客户端到服务器的传输隧道的能力。也就是说DNScat建立的隧道是单向的,只能从服务器到客户端。

目标

能否在DNS中实现一个双向连接的VPN并且支持所有的网络协议,而不仅仅是TCP?这个idea可以当你在机场,酒店或者那些可以进行DNS解析却被限制网络连接的情况下将会非常有用。同样,对于进行内网渗透想要建立秘密传输隧道的攻击者来说也非常有用。DNSCat 支持建立TCP传输隧道,并且是单向的,例如:从服务端到客户端,这个类似于 SSH -L 的功能。  

解决问题

DNScat的作者 Ron 提到过他会打算构建双向传输隧道的功能,但是从目前的情况来看,我们能够解决这个问题得到我们想要的结果。  

要解决这个问题,我们需要以下几个步骤:  

域名

首先需要注册一个域名。作为演示,我们在 freedns.afraid.org 注册了一个域名——**mooo.com**。要注意的是,我们只需要关注NS记录是否指向了我们的服务器也就是运行着 DNScat的服务器。  

 1.jpg

服务器

在服务器上面我们需要做几件事,首先需要设置 ssh 密钥:  

ssh-keygen

接下来,设置服务器允许IP路由:  

echo 1 > /proc/sys/net/ipv4/ip_forward

之后运行 DNScat,下面是一些我们用到的命令行参数:  

- -c 指定客户端与服务器之间的预共享密钥。这个参数是可选的,在本文的演示中,我们会使用该参数对传输添加一个加密层。
- -u 指定服务器自动附加到入站的DNSCat 客户端会话中。
- -a 指定服务器在每个新的客户端会话中执行指定的命令。按照文档的说明“listen”命令将会在服务器的2222端口与客户端建立传输隧道,并且所有来自客户端的连接都会被中转到服务器的22端口中。例如,要把浏览器的传输流量进行中转只需要执行这个命令即可 'listen 127.0.0.1:8080 www.google.com:80' 。

1486105858940587.jpg

在服务器启动之后,我们接下来看看客户端需要做什么。

客户端

这里不会赘述如何编译客户端,有关的说明可以在Github的readme页面中找到。编译好客户端需要以root权限运行它。在运行客户端之前,需要修改标准的sshd配置文件,有以下三个参数需要改变:  

- 注释掉 'PermitRootLogin without-password'
- 添加 'PermitRootLogin yes'
- 添加 'PermitTunnel yes'

之后,重启sshd服务,并且允许客户端主机的IP路由:  

# /etc/init.d/ssh restart
# echo 1 > /proc/sys/net/ipv4/ip_forward

当允许中转后,我们就可以连接到服务器了。从下图中可以看到的确建立了传输连接。 

1486105919461752.jpg

接下来的一步是将我们的密钥从服务器推送到客户端。为此,需要在服务器上运行以下命令︰  

scp /root/.ssh/id_rsa.pub root@127.0.0.1:/root/.ssh/authorized_keys -P 2222

请注意,当被提示输入凭据时,需要输入的是客户端机器上的 root 密码。  

一旦服务器 ssh 密钥已被推到客户端后,就建立了一条从服务器到客户端且基于 SSH 的 vpn 隧道 (-w) 。  

ssh -i /root/.ssh/id_rsa root@127.0.0.1 -p 2222 -w 1:1 -o TCPKeepAlive=yes -o ServerAliveInterval=50 &

如果执行成功的话,你现在应该会在客户端和服务器上看到新的网络接口 tun1 。在这两台机器上,你需要提供用于NAT网络地址转换的 IP、路由地址以及IP地址表。  

**服务器**  

ifconfig tun1 address 172.16.254.2 netmask 255.255.255.252
ifconfig tun1 up
route add [client network]/[netmask] via 172.16.254.1 dev tun1
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE

**客户端(通过ssh执行)**

ssh -i /root/.ssh/id_rsa root@127.0.0.1 -p 2222 'ifconfig tun1 address 172.16.254.1 netmask 255.255.255.252'
ssh -i /root/.ssh/id_rsa root@127.0.0.1 -p 2222 'ifconfig tun1 up'
ssh -i /root/.ssh/id_rsa root@127.0.0.1 -p 2222 'route add [server network]/[netmask] via 172.16.254.2 dev tun1'
ssh -i /root/.ssh/id_rsa root@127.0.0.1 -p 2222 'iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE'

现在,服务器与客户端的VPN连接就能达到双向连接了。如果想要转发所有通信流量,只需要设置默认的路由就行了。

最后的一点思考

此解决方案,虽然有效但是传输速度比较慢。而且这只能工作在 *nix 系统中。不过好的一面是,这个方法能够在建立的隧道中把所有的 TCP、UDP 和 ICMP 通信流量路由到正确的IP地址。这样的话,在内网渗透时就可以进行全端口扫描和流量代理。

本文参考来源于shellntel,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/3143.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

丝绸之路

丝绸之路

嘶吼认证-特约作者/译者

发私信

发表评论

    lapua
    lapua 2017-02-06 17:47

    好文章赞一个

    天海 春香
    天海 春香 2017-02-06 11:58

    感觉学不来这种配置方法