logo
登录 / 注册

【必看攻略】四步教你如何部署xray反连平台

头像
长亭科技
2022-10-28 · 人力资源(HR)/人事

为什么我们需要反连平台?


在进行漏洞检测的时候,我们会发现有很多的漏洞在执行了一些命令后,从表面上看没有任何回应的,比如命令执行漏洞,可以让目标执行读取文件的命令等,但由于前端并没有对应的展示,导致我们并不能知道文件是否成功读取,也就不知道命令是否执行成功。

同时还有向经典的log4j rce,fastjson,ssrf等,都是没有回显的漏洞,那么当面对这类的漏洞,我们就需要一个反连平台,通过让目标执行ping、curl等命令,对反连平台发起请求,反连平台在接受到请求后,就能告诉我们,命令触发了,也就代表了漏洞存在了。

所以当我们想要比较完备的对一个系统进行测试,反连平台的利用一定是必不可少的。所以本文将着重讲述xray的反连平台如何部署搭建,配置文件如何修改,如何进行调试,并使用实际存在的漏洞进行举例。






准备工作




云服务器

(1)Ubuntu 20.04

安全策略:开启反连平台对外端口,开启53端口(UDP协议)
也就是修改安全组策略,将53端口开放,⚠️注意,协议类型一定要是UDP


然后将需要对外开放的,部署反连平台的端口进行开放,比如8777,⚠️注意,该端口的协议类型是TCP



解决53端口被systemd-resolve占用的问题


首先使用以下命令确认端口占用情况

sudo netstat -nultp


在确认被占用后,可以执行如下命令停用systemd-resolved

sudo systemctl stop systemd-resolved


编辑resolved.conf

sudo vim /etc/systemd/resolved.conf


将文件中的对应内容改为如下内容

[Resolve]DNS=x.x.x.x         #取消注释,增加dns,此处的值可以填写你的云服务器公网IP#FallbackDNS=#Domains=#LLMNR=no#MulticastDNS=no#DNSSEC=no#DNSOverTLS=no#Cache=no-negativeDNSStubListener=no    #取消注释,把yes改为no#ReadEtcHosts=yes


修改完成后运行如下命令即可解除占用
sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

域名

以下的ip请替换为准备好的云服务器的公网ip

  1. 仅配置如图所示的内容:


不做其他任何变动,同时配置文件填写好,在启动后,支持http/rmi的反连,dns仅支持在使用dig或者nslookup时,指定IP解析的情况下,接收到请求。

也就是说,执行ping/curl命令时,反连平台并没有办法收到dns解析记录。

如果想要让反连平台的dns功能也正常工作,应进行如下操作:

腾讯云

(1)自定义DNS Host


(2)修改域名的DNS解析

(3)修改完成后,需要10分钟到几小时不等的时间生效,时间越久,部署效果越好


阿里云


(1)自定义DNS Host


 
(2)修改域名的DNS解析





新版本xray





点击“阅读原文”即可下载最新版本xray






开始部署




连接上远程服务器,处理完53端口占用问题,上传最新版的xray,并运行一下生成配置文件,反连平台部分按照以下进行修改


非独立远程服务端

以下的ip请替换为准备好的云服务器的公网ip

# 反连平台配置,更多解释见 http://docs.xray.cool/#/configration/reverse# 注意: 默认配置为禁用反连平台,这是无法扫描出依赖反连平台的漏洞,这些漏洞包括 fastjson,ssrf 以及 poc 中依赖反连的情况等reverse:  db_file_path: "test.db"        # 反连平台数据库文件位置, 这是一个 KV 数据库  token: ""                      # 反连平台认证的 Token, 独立部署时不能为空  http:    enabled: true    listen_ip: 0.0.0.0    listen_port: "8777"    ip_header: ""                # 在哪个 http header 中取 ip,为空代表从 REMOTE_ADDR 中取  dns:    enabled: true    listen_ip: 0.0.0.0    domain: "xxxxx.com"      # 此处填写刚才准备好的域名,如果没有准备启动dns,没有准备域名,请不要填写    is_domain_name_server: true        # 是否修改了域名的 ns 为反连平台,如果是,那 nslookup 等就不需要指定 dns 了    resolve:                            # DNS 静态解析规则    - type: A                           # A, AAAA, TXT 三种      record: localhost      value: 127.0.0.1      ttl: 60  client:    remote_server: false                # 是否是独立的远程 server,如果是要在下面配置好远程的服务端地址    http_base_url: "http://8.130.41.223:8777"                   # 默认将根据 ListenIP 和 ListenPort 生成,该地址是存在漏洞的目标反连回来的地址, 当反连平台前面有反代、绑定域名、端口映射时需要自行配置    dns_server_ip: "8.130.41.223"                   # 和 http_base_url 类似,实际用来访问 dns 服务器的地址    # 如果没有准备启动dns,没有准备域名,请不要填写


独立远程服务端
以下配置文件中的ip请替换为云服务器对应的公网ip

(1)服务端

# 反连平台配置,更多解释见 http://docs.xray.cool/#/configration/reverse# 注意: 默认配置为禁用反连平台,这是无法扫描出依赖反连平台的漏洞,这些漏洞包括 fastjson,ssrf 以及 poc 中依赖反连的情况等reverse:  db_file_path: "test.db"        # 反连平台数据库文件位置, 这是一个 KV 数据库  token: "xxxxx"                      # 反连平台认证的 Token, 独立部署时不能为空  http:    enabled: true    listen_ip: 0.0.0.0    listen_port: "8777"    ip_header: ""                # 在哪个 http header 中取 ip,为空代表从 REMOTE_ADDR 中取  dns:    enabled: true    listen_ip: 0.0.0.0    domain: "xxxxx.com"      # 此处填写刚才准备好的域名,如果没有准备启动dns,没有准备域名,请不要填写    is_domain_name_server: true        # 是否修改了域名的 ns 为反连平台,如果是,那 nslookup 等就不需要指定 dns 了    resolve:                            # DNS 静态解析规则    - type: A                           # A, AAAA, TXT 三种      record: localhost      value: 127.0.0.1      ttl: 60  client:    remote_server: false                # 是否是独立的远程 server,如果是要在下面配置好远程的服务端地址    http_base_url: "http://8.130.41.223:8777"                   # 默认将根据 ListenIP 和 ListenPort 生成,该地址是存在漏洞的目标反连回来的地址, 当反连平台前面有反代、绑定域名、端口映射时需要自行配置    dns_server_ip: "8.130.41.223"                   # 和 http_base_url 类似,实际用来访问 dns 服务器的地址    # 如果没有准备启动dns,没有准备域名,请不要填写


(2)客户端

# 反连平台配置,更多解释见 http://docs.xray.cool/#/configration/reverse# 注意: 默认配置为禁用反连平台,这是无法扫描出依赖反连平台的漏洞,这些漏洞包括 fastjson,ssrf 以及 poc 中依赖反连的情况等reverse:  db_file_path: ""        # 反连平台数据库文件位置, 这是一个 KV 数据库  token: "xxxxx"                      # 反连平台认证的 Token, 独立部署时不能为空  http:    enabled: false    listen_ip: 0.0.0.0    listen_port: "8777"    ip_header: ""                # 在哪个 http header 中取 ip,为空代表从 REMOTE_ADDR 中取  dns:    enabled: false    listen_ip: 0.0.0.0    domain: "xxxxx.com"      # 此处填写刚才准备好的域名,如果没有准备启动dns,没有准备域名,请不要填写    is_domain_name_server: false        # 是否修改了域名的 ns 为反连平台,如果是,那 nslookup 等就不需要指定 dns 了    resolve:                            # DNS 静态解析规则    - type: A                           # A, AAAA, TXT 三种      record: localhost      value: 127.0.0.1      ttl: 60  client:    remote_server: true                # 是否是独立的远程 server,如果是要在下面配置好远程的服务端地址    http_base_url: "http://8.130.41.223:8777"                   # 默认将根据 ListenIP 和 ListenPort 生成,该地址是存在漏洞的目标反连回来的地址, 当反连平台前面有反代、绑定域名、端口映射时需要自行配置    dns_server_ip: "8.130.41.223"                   # 和 http_base_url 类似,实际用来访问 dns 服务器的地址    # 如果没有准备启动dns,没有准备域名,请不要填写






使用方式




非独立远程服务端
1.将xray放置于存在公网ip的服务器上,并按照上述进行配置。
2.配置完成后,直接在该服务器上进行操作,反连将可以正常运行


独立远程服务端

1.将xray放置于存在公网ip的服务器上,并按照上述进行配置。
2.安装screen,并使用screen创建一个新的视窗,并将反连平台运行在新的视窗中,这样在退出ssh连接后,反连平台将一直保持运行,操作如下

apt updateapt install screenscreen -R reverse
3.这样将进入到名为reverse的视窗中,执行./xray reverse启动反连平台,可以输入exit退出视窗
4.使用screen -ls可以查看当前存在的视窗,并使用screen -r {{id}} 进入视窗
5.然后在本地将客户端的配置配置好,启动客户端即可。






生效测试




在服务端启动一个xray reverse,应该能看到这样的界面:

访问webUI后的链接即可访问到反连平台

点击复制后,到命令行中执行

可以看到存在返回,同时查看服务端那边的信息,可以看到:


DNS

如果是刚部署好,可以首先使用nslookup进行测试

如果已经有一段时间了,则可以使用ping命令


之所以能接收到解析,是因为此时已经将这个机器设置成了这个域名的dns服务器,那么当别人去请求这些生成的域名的时候,dns查询请求就会到这个服务器上,那么这个时候我们就能知道,有人正在查询对应的域名,从而可以证明poc被触发。
注:为了使得反连平台的可读性,它只会记录固定规则生成的链接的信息

例如上图中有7个dns请求,在反连平台中就只会显示5个,ns1,ns2的那个并不会被记录下来





插件测试



以下测试考虑到大部分人的情况,将一律采用客户端+服务端的形式进行测试,同时在客户端上挂一个burp进行抓包查看详细的发包细节

log4j插件测试

靶场:vulfocus上的log4j的第一个靶场做测试
命令:./xray_darwin_arm64 ws --poc poc-go-apache-log4j2-rce --basic http://123.58.224.8:32750


该插件默认使用dns进行检测,如果想不用dns进行检测,可以在配置文件中,将domain置空,同时将dns_server_ip置空。



fastjson

靶场:vulfocus的fastjson 代码执行 (CNVD-2019-22238)
命令:./xray_darwin_arm64 ws --plug fastjson --url http://123.58.224.8:52772





常见问题排查




A.本地客户端报错,连接不上服务端的反连平台
1.请检查客户端与服务端是否可以正常通信
2.请检查客户端与服务端的token是否一致
3.请检查客户端与服务端使用的xray版本是否一致
4.请检查客户端与服务端所写的端口是否一致
5.请检查服务端存在的云服务器的对应端口是否开放(安全组策略,iptables,端口占用等)

B.DNS反连无法使用
1.请检查域名配置是否正确,是否已经设置dns host,自定义dns解析服务器
2.请检查客户端与服务端的配置文件中的域名填写正确

关于本文如有任何问题
欢迎扫码添加运营好友
入群讨论

【必看攻略】四步教你如何部署xray反连平台脉脉
阅读 14
声明:本文内容由脉脉用户自发贡献,部分内容可能整编自互联网,版权归原作者所有,脉脉不拥有其著作权,亦不承担相应法律责任。如果您发现有涉嫌抄袭的内容,请发邮件至maimai@taou.com,一经查实,将立刻删除涉嫌侵权内容。
相关推荐
最新发布
大家都在看
热门人脉圈
    头像
    我来说几句...
    脉脉App内打开