低权限下实现VPN劫持的方法.docx
《低权限下实现VPN劫持的方法.docx》由会员分享,可在线阅读,更多相关《低权限下实现VPN劫持的方法.docx(13页珍藏版)》请在冰豆网上搜索。
低权限下实现VPN劫持的方法
0×00 前言
早前疯子黑阔的事件引起了大家的关注,我想身为基友的我们也要保护下自己的资料吧,所以就在研究VPN劫持 (VPN Pivoting) 的技术,现在一般隐藏IP的方法是:
1) 用免费或收费的VPN软件连接,Proxy,匿名浏览的网站等等,但这些服务商都会把大家的上网记录存在日志里,要追查时也很容易。
2) 一些基友会把肉鸡变成私人的VPN服务器,但需要提权和做很多设定,一些有硬件防火墙的服务器也未必能开启端口。
我就在想平时拿下的Webshell可否利用,经过不断的找寻和尝试后,终于成功实现了正向和反向的VPN劫持,以下是其优点:
1) Webshell能执行命令即可,不用提权。
2) 默认的Network Service权限,或被降权为普通用户组皆可。
3) 除非服务器有安全策略或软件限制了用户的网络功能,一般能成功。
4) Windows 2003 / 2008 实测成功。
(2008 R2未测试成功,未知是否该服务器安全策略阻挡,待求证)
5) 使用的软件名为PacketiX VPN,数千家大型企业在使用,不会被防毒软件阻挡。
0×01 正向VPN的建立
利用环境:
1) 一般在公司、学校、网吧等在内网不能在自己一方开启端口的情况下。
2) 目标服务器的443端口开启而未被占用,为什么是SSL的443呢?
这是最有可能已开启但未被使用的。
3) 如果端口不能使用,请看下一章「反向VPN的建立」。
好了,先打开VPN劫持工具包 -> Server目录,开启vpn_server.config档案,寻找
“declare SecureNAT” ,把Disabled参数更改为false,保存档案。
(请参阅「声明」部分)
把vpnserver.exe (主程式) 、vpn_server.config (配置) 、hamcore.se2 (核心档) 上传到
服务器,64位的主程式也在工具包中,以下的示范以Windows 2003进行,小菜把主程式更名为svchost.exe。
以默认的NetworkService权限执行svchost.exe/usermode
现在用netstat–an|find“LISTENING”看看,443端口应该在使用了。
由于核心档案较大,不能上传的话要用下载到服务器的方法了。
然后执行vpnsmgr.exe(VPN服务器管理),按“创建新设置”。
主机名输入肉鸡的IP,端口选择443,管理密码输入91ri.org
端口不能连接的话就看到这个,可试试更改vpn_server.config里的ListenerPort参数,关掉svchost.exe再执行。
但始终有开端口的情况不多,不行的话请看建立反向VPN的方法。
顺利连接的话,按管理虚拟HUB->管理会话,确认SecureNAT在运行。
服务器部分完成,打开VPN劫持工具包->Client,在自己的计算机安装客户端。
(需要管理员权限啊,支援XP/Vista/Win7)
开启PacketiXVPNClient管理器->创建新的VPN连接装置,名称输入VPN吧。
会建立一张虚拟网卡,然后右键->新VPN连接设置。
主机名:
肉鸡IP,端口:
443,虚拟HUB名:
VPNServer
用户认证设置–用户名/密码:
f4ck
高级设置–把TCP连接数提升至8
接连接,成功上线。
发现已经是肉鸡的IP了,而网卡的IP则是内网的,192.168.30.10
是什么原理呢?
一般的VPN服务器会创建虚拟网卡,把流量接通至真实的网卡传出去,这样是需要管理员权限吧。
软件的发明者就想到虚拟的VPN路由器,现在很多路由器都有VPN功能大家都知道,但把服务器变成VPN路由器如何?
很创新的思路,也不需要管理员权限,听说PacketiXVPN是首个软件有这样的功能啊。
再看看速度方面,美国的服务器连到上海,只有1Mbps,但进Webshell、后台等的操作已足够了。
使用完后,记得关掉svchost.exe后清除server_log目录,里面有连接的IP地址,大家
可要小心啊。
也有官方的教学视频可以参考:
服务器端搭建与客户端连接:
反向VPN的建立
利用环境:
在家里或能在自己一方开启端口的情况下。
目标服务器的443端口不能连接。
需要安装VMWare虚拟机,或有两台计算机,或有另一台肉鸡能开启端口的做VPN服务器,因为计算机只能用单一网卡连线,要维持反向通道和VPN通讯的话,就需要这样的设定。
打开VPN劫持工具包->Bridge目录,开启vpn_bridge.config档案,寻找
“[YourIPAddress]”,更改为自己的IP地址,保存档案。
注:
网桥的主程式小菜作了少量修改,使其不能记录日志,VPN服务器程式www.91ri.org也尝试了,但连接时出现错误,所以用回原版的。
把vpnbridge.exe(主程式)、vpn_bridge.config(配置)、hamcore.se2(核心档)上传到服务器,以下的示范以Windows2008进行,我把主程式更名为w3wp.exe。
以默认的NetworkService权限执行w3wp.exe/usermode,这不会开启端口,会建立一个网桥连接点,反方向连接到自己的VPN服务器的443端口,设定了每30秒尝试连接。
自己方面,先确保443端口能连接和防火墙设定好,我是在有路由器环境下,开了一个Windows2003的虚拟机作VPN服务器,VMWare的网络设定为Bridged(Automatic)。
把VPN服务器的三个档案放到虚拟机,SecureNAT功能不要开启,
执行vpnserver.exe/usermode,同样普通用户权限即可。
在自己的计算机,执行vpnsmgr.exe(VPN服务器管理),按“创建新设置”。
主机名输入虚拟机的IP,端口选择443,管理密码输入f4ck。
连接,按管理虚拟HUB->管理会话,发现肉鸡会连进来。
开启PacketiXVPNClient管理器,右键->新VPN连接设置。
(安装客户端请参看第一章)
主机名:
虚拟机IP,端口:
443,虚拟HUB名:
VPNServer
用户认证设置–用户名/密码:
f4ck
高级设置–把TCP连接数提升至8,由于是内部通讯,使用SSL加密的选项可以取消
连线成功后,可用肉鸡的IP上网了。
香港的服务器连到上海,速度也蛮快啊。
也有官方的教学视频可以参考:
服务器端与与站点端连接(不同网段):
0×03内网渗透的研究
劫持了服务器的网络资源,自然就想到内网渗透了,对只在内网运行的服务器,
VPN劫持方法是有效的。
这就实现了软件在自己计算机运行,入侵内网的效果了。
也初部尝试了ARP嗅探/劫持,发现是不行的,因为ARP需要在物理网卡上才能运作。
但如果已对服务器提权,而无法进入远程桌面的话,可在VPN服务器/网桥建立一个连接至物理网卡,但小菜还是在研究的阶段,成功了再和大家分享吧!
本文作者凯文转自法克&黑吧由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。
升级会员 