文章总结： 本文详细介绍了SSH隧道在内网渗透中的三种应用方式：本地端口转发可将目标服务映射到本地端口；远程端口转发通过跳板机建立反向连接；动态转发创建SOCKS代理实现内网漫游。文章通过具体网络拓扑和命令演示操作流程，并建议通过SSH白名单、IP限制和带外管理等措施防御此类攻击。 综合评分： 82 文章分类： 渗透测试,内网渗透,红队,WEB安全,安全工具

内网渗透之SSH隧道

Kerber0s Kerber0s

七芒星实验室

2024年6月5日 07:30 四川

在小说阅读器读本章

去阅读

文章前言

在内网中建立一个稳定、可靠的数据通道对渗透测试工作来说具有重要意义，应用层的隧道通信技术主要利用应用软件提供的端口来发送数据，常见的隧道协议有SSH、HTTP/HTTPS、DNS

SSH协议

在内网中几乎所有的Linux/UNIX服务器和网络设备都支持SSH协议，在一般情况下SSH协议是被允许通过防火墙和边界设备的，所以经常被攻击者利用，同时SSH协议的传输过程是加密的所以我们很难区分合法的SSH会话和攻击者利用其它网络建立的隧道，攻击者利用SSH端口隧道突破防火墙的限制后能够建立一些之前无法建立连接的TCP连接，一个普通的SSH命令如下：

ssh [email protected]

参数说明：

• -C:压缩传输，提高传输速度
• -f:将SSH传输转入后台执行，不占用当前的Shell
• -N：建立禁默连接(建立了连接，但是看不到具体会话)
• -g:允许远程主机连接本地用于转发的端口
• -L:本地端口转发
• -R:远程端口转发
• -D:动态转发(SOCKS代理)
• -P:指定SSH端口

本地转发

网络拓扑

测试环境网络拓扑如下所示：

环境说明

外部VPS可以访问内网Web服务器，但是不能访问数据库服务器，内网Web服务器和数据库服务器可以互相访问

测试目标

通过将Web服务器作为跳板访问数据库服务器的3389端口

实现思路

通过将Web服务器192.168.188.131为跳板将内网数据库服务器192.168.23.130的3389端口映射到VPS机器192.168.188.129上的1153端口，访问VPS的1153端口就可以成功访问192.168.23.130的3389端口

具体流程

在VPS上执行以下命令会要求输入Web服务器(跳板机)的密码，如下所示：

ssh -CfNg -L 1153(VPS端口):192.168.23.130(目标主机):3389(目标端口) [email protected](跳板机)

之后执行如下命令，查看本地1153端口是否已经连接

netstat -tulnp | grep "1153"

在进行本地映射时本地的SSH进程会监听1153端口，之后执行如下命令，在本地系统中访问VPS的1153端口可以发现已经成功与数据库服务器192.168.23.130的3389端口建立了连接

SSH进程的本地端口映射可以将本地客户机的某个端口转发到远端指定机器的指定端口，而本地端口转发则是在本地(客户机)监听一个端口，所有访问这个端口的数据都会通过SSH隧道传输到远端的对应端口

远程转发

网络拓扑

测试环境网络拓扑如下所示：

环境说明

左侧为攻击者VPS(Kali linux)，右侧为一个小型内网，包含三台服务器，内网没有边界设备，所以外部VPS不能访问内网中的三台服务器，内网Web服务器可以访问外网VPS，数据库服务器(192.168.23.130)和域控制器(192.168.23.140)均不能访问外网VPS

测试目标

通过外网VPS访问数据库服务器的3389端口

测试思路

通过将Web服务器为跳板，使用VPS的3307端口的流量转发到192.168.23.130的3389端口，然后访问VPS的3307端口就可以访问192.168.23.130的3389端口

测试流程

在Web服务器192.168.23.131上执行以下命令：

ssh -CfNg -R 3307(VPS端口):192.168.23.130(目标主机):3389(目标端口) [email protected](VPS的IP)

在本地访问VPS的3307端口可以发现已经与数据库服务器192.168.23.130的3389端口建立了连接：

本地转发是将远程主机(服务器)某个端口的数据转发到本地机器的指定端口，远程端口转发则是在远程主机上监听一个端口，所有访问远程服务器指定端口的数据都会通过SSH隧道传输到本地对应的端口

动态转发

网络拓扑

网络拓扑结构如下所示：

环境说明

外部VPS可以访问内网边界Web服务器，但不能访问数据库服务器，内网Web服务器和数据库服务器可以互相访问

测试目标

访问域控制器

实现思路

通过Web服务器192.168.188.131为跳板，借助动态端口转发将VPS上的7000端口的通信数据转发到内网边界主机192.168.188.131的ssh端口，之后在本地浏览器中设置SOCKS代理为VPS的IP:7000，之后在本地浏览器中即可访问内网域控制服务器

测试流程

在VPS上执行如下命令建立一个动态的SOCKS 4/5代理通道，输入Web服务器的密码：

ssh -CfNg -D 7000 [email protected]

在本地打开浏览器设置网络代理，如下图所示：

通过流量器访问内网域控制器192.168.23.140，如下图所示：

输入以下命令查看本地7000端口是否已经连接可以看到在使用动态映射时，本地主机的SSH进程正在监听7000端口，如下图所示：

netstat -pantu | grep ":7000"

动态端口映射就是一个建立SSH加密的SOCKS 4/5代理通道，任何支持SOCKS 4/5协议的程序都可以使用这个加密通道进行代理访问

防御措施

SSH隧道之所以能被攻击者利用主要是因为系统访问控制措施不够，在系统中配置SSH远程管理白名单，在ACL中限制只有特定的IP地址才能链接SSH以及设置系统完全使用带外管理等方法都可以避免这一问题，如果没有足够的资源来建立带外管理的网络结构，在内网中至少要限制SSH远程登录的地址和双向访问控制策略(从外部到内部，从内部到外部)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：七芒星实验室 Kerber0s Kerber0s《内网渗透之SSH隧道》