精华 远程遥控 IPTables 进行端口复用
发布于 1 年前 阅读权限 无需登录 作者 n1nty 3903 次浏览 来自 知识碎片

远程遥控 IPTables 进行端口复用

原创文章,转载请注明原社区与原作者

有一天坐地铁的时候突然想到利用 iptables nat 表的 PREROUTING 链配合 REDIRECT 应该是可以达到端口复用的效果的。

比如在服务器的 PREROUTING 链里面加一条规则,将到本机 80 端口的流量 REDIRECT 到 22 端口,就算 80 端口正在被 Apache 监听,此流量也能成功到达 22 端口,因为 nat 表的 PREROUTING 链会在路由决策之前被处理。

现在的问题只有一个,如何区分到 80 端口的正常流量和“复用流量”? 正常的的 HTTP 流量应该让它正常地发往 Apache,而“复用流量”应该前往 22 端口。答案也很简单,只要“复用流量”有特征就可以了。

当天晚上我简单写了一个 PoC 来验证我的想法,如下:192.168.33.78 为虚拟机的 IP,虚拟机上用 python 在 80 端口启动了一个 http 服务 虚拟机上执行:

# 将发送本机 80 端口,源端口为 8989 的流量重定向至本机 22 端口
/sbin/iptables -t nat -A PREROUTING -p tcp --sport 8989 --dport 80 -j REDIRECT --to-port 22

本地执行:

# socat 监听本地 2326 端口,接收到链接后,利用本地的 8989 端口将流量转至虚拟机的 80 端口
socat tcp-listen:2326,fork,reuseaddr tcp:192.168.33.78:80,sourceport=8989,reuseaddr &
# SSH 连接本地 2326 端口,成功连接上了虚拟机的 SSH,同时本地正常用 curl 是能够访问到虚拟机的 80 端口的 HTTP 服务的
ssh [email protected] -p 2326

效果图: sourceport.png

以上是最初的 PoC。它有一个很明显的问题是不支持多链接。 如果想创建两个 SSH 链接就会出错,因为本地的 8989 端口已经被第一个 SSH 连接占用了。

今天我对这个方法进行了改进,不再用 source port 做为 “复用流量” 的标识,所以也就不需要再用 socat 来进行一次本地的转发了。同时,加入了远程遥控端口复用开关的功能。我这里直接放出脚本代码:

第一种方式:利用 ICMP 做遥控开关。缺点在于如果目标在内网,你是无法直接 ping 到它的。


# 创建端口复用链
iptables -t nat -N LETMEIN
# 创建端口复用规则,将流量转发至 22 端口
iptables -t nat  -A LETMEIN -p tcp -j REDIRECT --to-port 22


# 开启开关,如果接收到一个长为 1139 的 ICMP 包,则将来源 IP 添加到加为 letmein 的列表中
iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1139 -m recent --set --name letmein --rsource -j ACCEPT
# 关闭开关,如果接收到一个长为 1140 的 ICMP 包,则将来源 IP 从 letmein 列表中去掉
iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1140 -m recent --name letmein --remove -j ACCEPT

# let's do it,如果发现 SYN 包的来源 IP 处于 letmein 列表中,将跳转到 LETMEIN 链进行处理,有效时间为 3600 秒
iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN

开启复用前,WEB 是可以访问的: web.png

开启复用 ping -c 1 -s 1111 192.168.33.78 向目标发送一个长度为 1111 的 ICMP 数据包(加上包头28,总长度实际为1139)

关闭复用 ping -c 1 -s 1112 192.168.33.78 向目标发送一个长度为 1112 的 ICMP 数据包(加上包头 28,总长度实际为 1140)

效果图: ping_remote.png

第二种方式:利用 tcp 数据包中的关键字做遥控开关,不怕目标在内网。

# 端口复用链
iptables -t nat -N LETMEIN
# 端口复用规则
iptables -t nat  -A LETMEIN -p tcp -j REDIRECT --to-port 22


# 开启开关
iptables -A INPUT -p tcp -m string --string 'threathuntercoming' --algo bm -m recent --set --name letmein --rsource -j ACCEPT
# 关闭开关
iptables -A INPUT -p tcp -m string --string 'threathunterleaving' --algo bm -m recent --name letmein --remove -j ACCEPT

# let's do it
iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN

开启复用,开启后本机到目标 80 端口的流量将转发至目标的 SSH,80 将无法再被本机访问: echo threathuntercoming | socat - tcp:192.168.33.78:80

关闭复用,关闭后,80 恢复正常: echo threathunterleaving | socat - tcp:192.168.33.78:80 效果图: string_remote.png

只要有特征,就可以做为远程遥控的标志。我这里只是想验证一下自己的想法,所以用了我认为最简单的两种方法。其它方法希望大家自己挖掘,分享。

最后留一个小问题,如果在开启 tcpdump 进行抓包的同时,利用 iptables 对数据包进行了更改,那 tcpdump 抓到的是更改之前的包还是更改之后的包呢? :)

8 回复

@n1nty 赞分享~ 说到 iptables 不得不先提下 netfilter 啦,大致应该如下: inbound: 有线 -> 网卡 -> tcpdump -> netfilter/iptables outbound: iptables -> tcpdump -> 网卡 -> 有线 Iptables各个表之间也有优先级 不知道我猜对了没有?~

往攻击方向考虑,我们只需要做一些较少的工作就可以来阻止正常命令或者查看配置的方式来检索表了,再加上一个功能的Bind Shell就可以做类似复用后的后门了,再往前面走点我们可以直接通过inmod一个ko来操作netfilter,请参考 https://github.com/t57root/shak_poc/blob/master/hijacker/hijacker.c

其实Linux的灵活性,还有没有更多可以直接拿来做猥琐流的有意思的利用呢,期待讨论~ :)

讨论前有没有人能不能把iptables来个大揭秘,期待

@n1nty,这个思路用的很巧妙。

思路不错,赞一个

这个思路非常厉害

n1nty师傅思路好赞,iptable可挖掘的东西真的不少呢,是不还可以结合ipset模块指定那个ip转发哪个ip不转发

回到顶部