«

多种应急场景下的远程登录实现

Fate 发布于 阅读:400 网络安全与技术分享


多种应急场景下的远程登录实现

常见应急场景分类

目标机器有公网ip目标机器在内网可出网目标机器在内网且不可出网,边界服务器可出网有公网ip目标机器在内网且不可出网,边界服务器可出网但无公网ip目标机器所在内网与外网完全隔离

应急准备工作

日常应急中考虑到客户可能会设置白名单登录,通常应急需要会让客户给我们的出口ip加白。为保证组内同学都可以上机排查,我们统一使用跳板机登录,这样客户也只用加白我们的跳板机即可。

linux跳板机1台、windows跳板机1台

场景一:目标机器有公网IP

这种方式是最简单的,机器有公网ip可以直接远程连接,无论windows还是linux都可以直接登录,暂不做讨论。

场景二:目标机器在内网可出网

这种场景也是比较常见的,就是目标机器无法外网直接访问但是自身可以访问外网。这里分为linux和windows下两种实现方式。

linux下使用ssh远程端口转发

远程转发是指把登录主机所在网络中某个端口通过本地主机端口转发到远程主机上。远程端口转发

有目标机器可以出网,所以在目标机器上使用 ssh client 来反向连接我们应急跳板机的 ssh server 实现远程端口转发。可以简单理解为反弹shell,反向代理。

先介绍ssh常用的几个参数:

 -C 压缩数据传输 -f 后台登录用户名密码 -N 不执行shell[与 -g 合用] -g 允许打开的端口让远程主机访问  -L 本地端口转发 -R 远程端口转发 -p ssh 端口

远程转发通过参数 -R 指定。注意:sshd_config里要打开AllowTcpForwarding,否则远程端口转发会失败。
格式:-R [登录主机:]登录主机端口:本地网络主机:本地网络主机端口。

ssh -fNCR :2222:127.0.0.1:22 用户名@远程主机ip

多种应急场景下的远程登录实现

由于我们只需要转发端口而不需要执行shell,所以建议加上 -fNC 参数。不加参数的效果。多种应急场景下的远程登录实现

我们来到远程转发端口的主机查看效果,先查看端口监听状况。

多种应急场景下的远程登录实现

使用远程端口转发操作完成后,需要关闭端口转发只能通过kill 进程的方式结束。

多种应急场景下的远程登录实现

优势:

由于转发的端口在远程主机上127.0.0.1上,只能本地访问。未将端口暴露在公网上,安全性可以得到保证。同时目标主机被连接后会显示连接ip为127.0.0.1。

补充:

默认sshd的配置文件是没有开启tcp转发的,因此默认会绑定到127.0.0.1而不是0.0.0.0。如果要绑定到0.0.0.0使端口可被公网访问需打开sshd_config里的GatewayPorts选项。多种应急场景下的远程登录实现

windows下使用openssh远程端口转发

由于大部分的Windows Server 都默认没有安装openssh,其实这个并非是最优的解决方案,但是在一些特殊场景下依然有可行性。该方案和上面linux的远程端口转发完全一致,但需要事先安装openssh。

对windows应急跳板机的要求

1、验证 SSH 服务器是否已安装。

Get-WindowsCapability -name openssh.server* -online

多种应急场景下的远程登录实现

2、安装 OpenSSH 服务器。

Get-WindowsCapability -name openssh.server* -online | Add-WindowsCapability -Online

多种应急场景下的远程登录实现

在线安装openssh多种应急场景下的远程登录实现

openssh安装完成

3、将 SSH 服务配置为自动启动。

Set-Service -Name sshd -StartupType 'Automatic'

4、启动 SSH 服务。

Start-Service sshd

5、创建防火墙规则以允许在 SSH 端口上输入数据包。

New-NetFirewallRule -DisplayName "ALLOW SSH TCP 22" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 22

6、查看sshd端口是否监听成功。多种应急场景下的远程登录实现

7、测试ssh连接。多种应急场景下的远程登录实现

此外在需要远程转发的windows机器上也需要安装openssh客户端。除了使用上面命令行在线安装的方式也可以下载安装包。

微软的PowerShell团队已经支持openssh,所以安装文件我们可以在github的powershell团队项目根据系统对应下载后解压。

https://github.com/PowerShell/Win32-OpenSSH/releases

多种应急场景下的远程登录实现

解压后放入C:Program Files目录下。

powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1

多种应急场景下的远程登录实现
同理在windows上使用ssh远程端口转发和linux的操作都是一样的,只是把转发的22端口改为3389即可,就不再赘述了。

Windows下使用gost远程端口转发

gost是一款golang开发的代理转发工具。考虑到Windows下安装openssh比较麻烦可以用gost代替。

这里下载Windows编译版本即可。

https://github.com/ginuerzh/gost/releases

在内网的Windows机器上执行一下命令:

.gost-windows-amd64.exe -L=rtcp://:3389/127.0.0.1:3389 -F=socks5://公网ip:port

多种应急场景下的远程登录实现

然后在有公网ip的Windows、Linux主机上执行,注意端口要一致。

./gost-linux-amd64-2.11.4 -L socks5://:端口

多种应急场景下的远程登录实现

同理该方式在Linux主机上也适用。

windows下使用远程桌面程序

这种方式最简单方便,在日常应急中会遇到很多客户使用远程桌面程序来操作云服务器。有时为应对客户的需求,比如客户要求只能用向日葵,teamviewer,不过这种方式需要先征得客户同意后才能使用。

个人使用效果比较好的有 todesk。精简版体积非常小,点对点直连远程效果还不错。

场景三:目标机器在内网且不可出网,边界服务器可出网有公网IP**linux下使用ssh本地端口转发**

由于条件限制,目标主机在内网且不可出网,这类情况通常为内网生产服务器,比如数据库服务器等。

本地端口转发

面对这类情况往往需要内网中一台边界服务器(可出网)作为跳板连接,利用边界服务器作为正向代理,将本地主机某个端口流量转发到远程主机的指定端口。

其命令行语法是:

-L [bind_address]:localport:remote_host:remote_port。-L 即 local 的首字母,类似的远程转发的 -R 是 remote 的首字母,动态转发的 -D 是 dynamic 的首字母。

假设host1是目标边界服务器(有公网ip),host2是目标服务器(在内网且不出网)。由于边界服务器可出网且有公网ip,所以可直接在边界服务器上做本地转发操作。
在host1(边界服务器)上执行命令如下:

[root@host1 ~]# ssh -fNCL :2222:host2:22 user@host1 -p22

多种应急场景下的远程登录实现

因为默认是绑定的0.0.0.0,所以外网主机也可以通过访问该主机的2222端口实现对内网不出网主机的访问。

window下使用netsh实现端口转发

当边界服务器系统是windows的情况下可使用netsh命令进行端口转发实现正向代理。

对于Windows Server 2008以下版本的系统,需要安装IPV6才行,如果是Windows Server 2008或者以上的系统则默认已经支持。

使用Portproxy模式下的Netsh命令即能实现Windows系统中的端口转发,转发命令如下。

netsh interface portproxy add v4tov4 listenaddress=localaddress listenport=localport connectaddress=destaddress connectport=destport

每个参数的意义:

listenaddress — 等待连接的本地ip地址(内网ip)listenport — 本地监听的TCP端口(待转发)connectaddress — 被转发端口的本地或者远程主机的ip地址connectport — 被转发的端口

多种应急场景下的远程登录实现

下面的命令是用来展示系统中的所有转发规则:

netsh interface portproxy show all

删除刚才创建的那个转发的命令:

netsh interface portproxy delete v4tov4 listenaddress=localaddress listenport=localport

注意:连接时请确保防火墙(Windows防火墙或者其他的第三方防护软件)允许外部连接到一个全新端口,如果不允许,那么只能添加一个新的防火墙规则。多种应急场景下的远程登录实现

当前主机防火墙处于开启状态
刚才我们配置的监听2222端口是成功了,可是由于windows防火墙未放行2222端口导致外部访问失败。多种应急场景下的远程登录实现

防火墙放行转发端口。但是为了安全起见,可以设置该端口白名单访问。

补充windows防火墙的相关命令参数:net firewall

set opmode mode=enable //开启防火墙set opmode mode=disable //关闭防火墙show opmode              //显示防火墙端口配置show portopening         //显示防火墙端口配置show service             //显示防火墙服务配置show state               //显示当前防火墙状态 

示例命令如下:

netsh firewall show allowedprogram //查看防火墙放行的程序 netsh firewall set portopening TCP 445 ENABLE //打开445端口

场景四:目标机器在内网且不可出网,边界服务器可出网但无公网IP与上一种场景很类似,不同在于边界服务器没有公网ip。此时在边界服务器上使用使用本地转发实现正向代理的方式也行不通了。

linux下在边界服务器使用ssh远程端口转发

和场景二非常类似,只不过执行远程端口转发的主机不再是不可出网的目标服务器,而是边界服务器。由于边界服务器可访问外网,在完成远程端口转发后得到边界服务器shell后再ssh连接内网的目标服务器。

windows下在边界服务器使用openssh远程端口转发

在边界服务器也没有公网ip的情况下,netsh端口转发的方式已经失效了。此时还得依赖于openssh,虽然相对麻烦,但对于极端场景下还是可用的。

具体的操作过程参照场景二。

场景五:目标机器所在内网与外网完全隔离

这类场景通常为客户线下自建IDC机房或者部分混合云,但这种方式通常会使用堡垒机进行集中管理。

结合之前一个混合云场景应急的case分析(混合云vnc也无法使用)。

目标机器所处内网没有任何主机出网,客户使用办公PC(windows)通过堡垒机登录内网主机,办公PC需要设置代理才可访问外网。与客户协商后,使用远程桌面控制软件程序(Teamviewer,客户要求可设置代理)进行排查。

案例背景

面对极端场景,端口转发的方案都失效了,只能通过远程桌面控制程序操作,暂时没有想到更优的解决方案,如果大家有更好的想法,可以留言评论。

文章来源:Zgao's blog原文地址:https://zgao.top/多种应急场景下的正反向代理远程登录实现/

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多种应急场景下的远程登录实现

推荐阅读: