Руководство по pivoting. Часть 2

Назначения с публичным IP
Преобладающий сценарий. Допустим, вы нашли RCE-ошибка в веб-приложении, доступном из Интернета. Вы загружаете оболочку и хотите развить атаку во внутреннюю сеть. Обратите внимание, что в данном конкретном случае вы должны иметь возможность связать порты на зараженном хосте, и эти порты должны быть доступны из внешней сети.

Кстати, если вам нужна профессиональная паста для матирования TS 20 по доступной цене — смело переходите по ссылке ранее.

Перенаправление портов SSH
Удалось найти учетные данные SSH-службы, работающих на хосте? Отлично! Подключитесь к хосту следующим образом:

ssh username@host -D 1080
Это породит socks-сервер на атакующей стороне (стороне ssh-клиента). Добро пожаловать в интрасети;) Кроме того, можно направить один конкретный порт для определенного хоста. Допустим, вам нужно получить доступ к SMB во внутренней сети на хосте 192.168.1.1.

ssh username@host -L 445:192.168.1.1:445

Таким образом, порт 445 будет открыт на стороне злоумышленника. Обратите внимание, что для привязки привилегированных портов (например, 445), вам нужны привилегии на своей машине.

VPN через SSH
Из выпуска OpenSSH 4.3 возможен тоннель 3 уровня для сетевого трафика с помощью установленного ssh-канала. Это предоставляет преимущество в сравнении с типичным TCP-тоннелем, потому что вы можете контролировать IP-трафик. Например, вы в состоянии выполнить SYN-сканирование с помощью nmap и использовать свои инструменты непосредственно, не прибегая к proxychains или других инструментов «аппроксимации». Это делается с помощью создания tun-устройств на стороне клиента и на стороне сервера и передачи данных между ними через соединение SSH. Это довольно просто, но вам нужен root на обоих машинах, ибо создание tun-устройств является привилегированной операцией. Приведенные ниже строки должны присутствовать в файле /etc/ssh/sshd_config (на стороне сервера):

PermitRootLogin yes
PermitTunnel yes