áááºá¡áá¯ááºááœáẠLinux ááᯠá¡áá¯á¶ážááŒá¯ááá¯áá«ááá¬ážá ááá¯á·áá±á¬áº áááºááá±á¬áºááá¯áááẠVPN á ááá·áºááᯠááœáá·áºáááŒá¯áá«á ááá±áá»á¬áá±ááá·áº áá®áá±á¬ááºážáá«ážá á¡áá±á¬ááºá¡áá°ááŒá áºááá¯ááºáá«áááºá áá»áœááºá¯ááºááẠááœááºáááºá á®áá¶ááá·áºááœá²ááŸá¯ááá¯ááºáᬠááŒá¿áá¬áá»á¬ážááᯠáá±á¬ááºážá áœá¬áá¬ážááááºáá±á¬ááŒá±á¬áá·áº áá»áœááºá¯ááºááẠá¡ááŸá¬ážá¡ááœááºážááŒá áºááá¯ááºáááºáᯠááŒáá¯áááºááááá±ážááá¯áá«áááºá á¡ááŒá¬ážáá áºáááºááœááºá áá»áœááºá¯ááºááẠáá¬áááºáá°áá»á¬áž áá¬ážáááºááá¯ááºá á±ááá·áº áááºážááœáŸááºáá»ááºáá áºáá¯ááᯠáá±ážááá¯ááºáá±á¬ááŒá±á¬áá·áº ááŒá áºááá¯ááºáá±á¬ááŒá±á¬áá·áº á ááºážáá¯á¶ážááŒáá·áºááẠá¡ááŒá¶ááŒá¯á¡ááºáá«áááºá
áá±á¬ááºážáá«ážááœáẠáááá¯á¡ááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážá áœá¬áá«ááŸááááºá ááá¯á·áá±á¬áº á€á¡ááááá¬áááŸááá² VPN áá áºáá¯áááºáá±á¬ááºááŒááºážááŒáá·áº áá»áœááºá¯ááºá¡ááœáẠááááºááŸááºáá²áá±á«áºáá¬áá±á¬ááŒá¿áá¬áá»á¬ážááᯠáá»áœááºá¯ááºááŒá±ááŸááºážááá¯ááºáááºááá¯ááºáá±á á€áááºážááœáŸááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯ááẠááŒáá¯ážá á¬ážáá°ááá¯ááºáž áá»áœááºá¯ááºááœáẠáááŸááá±á¬ ááŒá¿áá¬áá»á¬áž ááŸááááºáᯠáá»áœááºá¯ááºáááºáááºá á€á¡ááá¯á¡áá»ááºá¡áááºáá»á¬ážááẠá€ááŒá¿áá¬áá»á¬ážááᯠáááºážááá¯á·ááá¯ááºááá¯áẠááŒá±ááŸááºážááá¯ááºáááá·áºáááºáᯠáá»áŸá±á¬áºááá·áºáá«áááºá
á€áááºážááœáŸááºááœááºá¡áá¯á¶ážááŒá¯ááá·áº command á¡áá»á¬ážá á¯ááᯠááá¯ááá¯ááŸááºážááŸááºážááŒáá·áº áááºááŸá¬ážáá¬ážáá±á¬ sudo ááŸáá áºááá·áº áá¯ááºáá±á¬ááºááẠááá¯á¡ááºáá«áááºá á áááºáá²áá¬ážáá«á
IP ááááºá á¬á¡áá»á¬ážá á¯ááẠááŒááºážáááºá áœá¬ ááŸá¯ááºááœá±ážáá±áá±á¬ááŒá±á¬áá·áº 435.435.435.435 áá²á·ááá¯á· ááááºá á¬áá áºáá¯ááᯠáááºááœá±á·áá«áá ááá·áºááá á¹á ááŸáá·áº áááºááá¯ááºáá±á¬ áá¯á¶ááŸáẠIP á¡áá»áá¯á·ááŸáááá«áááºá
áá»áœááºá¯ááºááœáẠUbuntu 18.04 ááŸááááºá ááá¯á·áá±á¬áº á¡áá±ážá¡ááœá²ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááŒáá·áº áááºážááœáŸááºáá»ááºááᯠá¡ááŒá¬ážááŒáá·áºáá±ááŸá¯áá»á¬ážááœáẠá¡áá¯á¶ážáá»ááá¯ááºáááºáᯠáá»áœááºá¯ááºáááºáá«áááºá ááá¯á·áá±á¬áº á€á á¬áá¬ážááœáẠLinux == Ubuntu ááŒá áºáááºá
Cisco áá»áááºáááºááŸá¯
Windows ááá¯á·ááá¯áẠMacOS áá±á«áºááŸááá°áá»á¬ážááẠCisco Connect ááŸáá áºááá·áº áá»áœááºá¯ááºááá¯á·ááá±á¬áºááá¯áááẠVPN ááá¯á· áá»áááºáááºááá¯ááºáááºá áááºážááẠááááºáááááºá á¬ááᯠáááºááŸááºáááºááŸáá·áº áááºáá»áááºáááºááá·áºá¡áá«ááá¯ááºážá áá¯á¶áá±á¡á áááºá¡ááá¯ááºážáá áºáá¯ááŸáá·áº Google Authenticator ááŸáá¯ááºáá±ážááá·áºáá¯ááºáá áºáá¯áá«ááŸááá±á¬ á áá¬ážááŸááºááᯠááá·áºáá«á
Linux ááœáẠCisco Connect ááᯠá¡áá¯á¶ážááŒá¯ááááá±á¬áºáááºáž Cisco Connect ááá¯á¡á á¬ážááá¯ážáááºá¡ááœáẠá¡áá°ážááŒá¯áá¯ááºáá¬ážáá±á¬ openconnect ááá¯á¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯áá»ááºááᯠgoogle ááá¯á· á á®áá¶áá¬ážáá«áááºá
áá»áááºáááºááŸá¯ááœáá·áºáá«á
áá®á¡áá¯áá®á¡áá Ubuntu ááœáẠopenconnect á¡ááœáẠá¡áá°ážááááºáá áºá¡ááºáá¬áá±á·á áºáá áºáá¯ááŸááá±á¬áºáááºáž áááºážááẠáá»áœááºá¯ááºá¡ááœáẠá¡áá¯ááºáááŒá áºáá«á ááá¯áá±á¬ááºážááá¯á·ááŒá áºáááºá
Ubuntu ááœáẠopenconnect ááᯠpackage manager á០ááá·áºááœááºážáá¬ážáááºá
apt install openconnect
ááá·áºááœááºážááŒá®ážáá±á¬ááºáá»ááºáá»ááºážá áááºááẠVPN ááá¯á·áá»áááºáááºáááºááŒáá¯ážá á¬ážááá¯ááºáááºá
openconnect --user poxvuibr vpn.evilcorp.com
vpn.evilcorp.com ááẠá
áááºáá°ážááẠVPN áááááºá
á¬ááŒá
áºáááºá
poxvuibr - á
áááºáá°ážáááºá¡áá¯á¶ážááŒá¯áá°á¡áááº
openconnect ááẠááá·áºá¡á¬áž ááááá±ážáá«áá á±á áááºážááẠáááºááŸááºáá¬ážáá±á¬ á¡ááá¯ááºážááŸáá·áº Google Authenticator á០áá¯ááºáá áºáá¯áá«áááºááá·áº á áá¬ážááŸááºáá áºáᯠááá·áºááœááºážááẠááá·áºá¡á¬áž áá±á¬ááºážááá¯áááºááŒá áºááŒá®áž áááºážááẠvpn ááá¯á· áá»áááºáááºááẠááŒáá¯ážá á¬ážáááºááŒá áºáááºá áááºážááẠá¡áá¯ááºáá¯ááºáá«á áá¯ááºáá°áá«áááºá áá¬áá»ááºááŸá¯áá»á¬ážá áœá¬ááŸááá±á¬ á¡áááºááᯠáá¯á¶ááŒá¯á¶á áœá¬ áá»á±á¬áºááœá¬ážááá¯ááºááŒá®áž áá±á¬ááºáá¶ááœáẠopenconnect áá¯ááºáá±á¬ááºááŒááºážá¡ááŒá±á¬ááºáž áááºááœá¬ážáááºá á¡áááºáááŒá±áá«á áááºáááºáá¯ááºáá±á¬ááºááá¯ááºáá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá á¡áá¯ááºááœáẠá§áá·áºááẠWi-Fi á០áá»áááºáááºáá±á¬á¡áá«ááœáẠá¡áá¯ááºááŒá áºáá»áŸáẠáááºážááŒá±á¬ááºááẠá á±á¬ááœááºážáá±áá±áááºá á¡áááºá០áá¯ááºáááºážá ááºááᯠááŒááºáá¯ááºááẠááŒáá¯ážá á¬ážááá·áºáááºá
áááºááŸááº
áááºááá·áºá¡áá¬áá»áŸ á áááºáááá·áºáááºááá¯ááºááá·áº ááŒá áºááá¯ááºááŒá± ááŒáá·áºáá¬ážááŒá®áž openconnect output ááẠá€áá²á·ááá¯á· áá¯á¶áá±á«áºáááá·áºáááº-
POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found
Certificate from VPN server "vpn.evilcorp.com" failed verification.
Reason: signer not found
To trust this server in future, perhaps add this to your command line:
--servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress
áá áºáááºááœááºá VPN ááŸáá·áº áá»áááºáááºááŸá¯ áááŸááá±á¬ááŒá±á¬áá·áº á¡áááºáááŒá±áá±á¬áºáááºáž á¡ááŒá¬ážáá áºáááºááœááºáá° á€ááŒá¿áá¬ááᯠááŒá±ááŸááºážáááºážááŸá¬ ááŸááºážáá«áááºá
á€ááœáẠáá¬áá¬ááẠáá»áœááºá¯ááºááá¯á·á¡á¬áž áá»áœááºá¯ááºááá¯á·á¡á¬áž áá»áœááºá¯ááºááá¯á·á áá¬áááá±á¬áºááá¯áá±ážááŸááºážá áá¬áá¬ááá¯á· áá»áááºáááºááŸá¯ááŒá¯áá¯ááºáá¬ážááŒá±á¬ááºážá ááá±á¬ááºážáá±á¬ ááááºáááºáá°áá¶ááá¯á· ááá¯ááºáá²á á€á¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠá áá áºááœáẠáááááá¯ááºáá«á ááá¯á·ááŒá±á¬áá·áº áá¬áá¬ááẠá¡á á áºáá¯ááºá ááá¯áẠáá á áºáá±ážááá¯ááºáá±á áá«ááŒá±á¬áá·áº á¡áá¯ááºááá¯ááºáá±á¬á·áá°ážá
openconnect áá¬áá¬ááá¯á·áá»áááºáááºáááºá¡ááœááºá âservercert áá±á¬á·ááᯠá¡áá¯á¶ážááŒá¯á VPN áá¬áá¬á០áááºááá·áºáááºááŸááºá០áá¬ááá·áºáááºááᯠá¡ááá¡áááºážááŒá±á¬ááŒááẠááá¯á¡ááºáá«áááºá
ááŸáá·áº openconnect ááá¯ááºááŸáááºáá¬ážááá·áº áá¬áá¬á០áá»áœááºá¯ááºááá¯á·ááᯠááá¯ááºááá¯ááºáá±ážááá¯á·ááá·áº áááºááŸááºááᯠáááºááŸá¬ááœá±ááá¯ááºáááºá á€á¡áá¬ááẠá€á¡ááá¯ááºážááŸ
To trust this server in future, perhaps add this to your command line:
--servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
Enter 'yes' to accept, 'no' to abort; anything else to view: fgets (stdin): Operation now in progress
á€á¡áááá·áºááŒáá·áº ááẠáááºáá¶áá»áááºáááºááẠááŒáá¯ážá á¬ážááá¯ááºáááºá
openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com
á¡áá¯á á¡áá¯ááºááŒá áºááá¯ááºáááᯠá¡áá¯á¶ážá¡áá áááºááœá¬ážááá¯ááºáá«áááºá áá«áá±ááá·áº áá¯áá¹ááá¯ááºáá±ážá¡ááá±á¬á· Ubunta á áá®áá¯á¶á á¶áá²á· áááºá¹áá±á¬áá®ážááᯠááŒáá²á·áááºá
POST https://vpn.evilcorp.com/
Connected to 777.777.777.777:443
SSL negotiation with vpn.evilcorp.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.evilcorp.com
XML POST enabled
Please enter your username and password.
POST https://vpn.evilcorp.com/
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 300, Keepalive 30
Set up DTLS failed; using SSL instead
Connected as 192.168.333.222, using SSL
NOSSSSSHHHHHHHDDDDD
3
NOSSSSSHHHHHHHDDDDD
3
RTNETLINK answers: File exists
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf
/etc/resolv.conf
# Generated by NetworkManager
search gst.evilcorpguest.com
nameserver 127.0.0.53
/run/resolvconf/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.
nameserver 192.168.430.534
nameserver 127.0.0.53
search evilcorp.com gst.publicevilcorp.com
habr.com á ááŒá±ááŸááºážáá±ážáááá·áºáááºá áá«áá±ááá·áº áááºážá¡á²áá®ááᯠááœá¬ážááá¯á·áááá°ážá jira.evilcorp.com áá²á·ááá¯á· ááááºá á¬áá»á¬ážááᯠáá¯á¶ážááááŒá±ááŸááºážáá«á
áá®ááŸá¬ áá¬ááŒá áºááœá¬ážáá¬áá² ááŸááºážááŸááºážáááºážáááºáž áááááá°ážá áá«áá±ááá·áº á ááºážáááºáá»ááºá ááá¯ááºážááᯠ/etc/resolv.conf ááŸá¬ ááá·áºááẠááŒáá«áááºá
nameserver 192.168.430.534
ááá¯á·áá±á¬áẠVPN á¡ááœááºážááŸáááááºá á¬áá»á¬ážááẠá¡á¶á·ááŒááœááºááŒá±áááºááœá¬ážáááºááŒá áºááŒá®áž áááºážááá¯á·ááᯠáááºááŒááºáááºážááá¯ááºáááºá ááá¯ááá¯áááºááŸá¬á ááááºá á¬áá»á¬ážááẠ/etc/resolv.conf ááœáẠá¡ááá¡áá»ááœá±á·ááááºááá¯ááºáá² á¡ááŒá¬ážáá±áá¬áá»á¬ážááœáẠááœá±á·ááááºááᯠááŒá±ááŸááºážááẠDNS ááŸá¬ááœá±áá±ááá·áºá¡áá¬ááŒá áºáááºá
VPN ááŸáá·áº áá»áááºáááºááŸá¯ááŸáááŒá±á¬ááºáž áááºá¡áááºááŒá¯ááá¯ááºááŒá®áž /etc/resolv.conf ááœáẠááŒá±á¬ááºážáá²ááŸá¯áá áºá á¯á¶áá áºáá¬áááŒá¯áá¯ááºáá² á¡áá¯ááºáá¯ááºááá¯ááºáááºá áááºážááá¯áá¯ááºáá±á¬ááºáááºá VPN ááŸáááºážááŒá áºááááºá¹áá±áá¡áááºááá¯ááºáá² ááá±á¬ááºáá¬ááœááºááá·áºááœááºážáá¯á¶áá¬áá áááºážá IP ááááºá á¬á
ááááºá¡áá±áá²á· ááŒá¿áá¬ááŸá áºáá¯ááŸááá«áááºá
- VPN ááá¯á·áá»áááºáááºáá±á¬á¡áá«á áááºážá dns ááᯠáá±á¬ááºáá°áááºááá¯ááºáá«á
- á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááẠá¡ááºáá¬áááºááá¯á·áááºáá±á¬ááºááœáá·áºáááŒá¯áá±á¬ VPN ááŸáááá·áºááœá¬ážáá«áááºá
áá«áááºážááᯠá¡áá¯áá¬áá¯ááºááááºááá¯áᬠááŒá±á¬ááŒáááºá áá«áá±ááá·áº á¡áááºáŠážáá¯á¶áž á¡ááá¯á¡áá»á±á¬ááºáá¯ááºáááºážáá±ážáá«á
á áá¬ážááŸááºá áá¯á¶áá±á¡á áááºá¡ááá¯ááºážááᯠá¡ááá¯á¡áá»á±á¬áẠááá·áºááœááºážááŒááºážá
ááá¯á¡áá»áááºááœáẠáááºááẠááá·áºá áá¬ážááŸááºááᯠá¡áááºážáá¯á¶áž áá«ážááŒáááºááá·áºááœááºážáá¬ážááŒá®áž ááŒá áºááá¯ááºáá»á±áá»á¬ážááŒá®áž á€áá¯ááºáááºážá ááºááẠááá·áºá¡á¬áž áááºáááºážá á±ááŒá®ááŒá áºáááºá áááá¡áá»ááºááŸá¬ á áá¬ážááŸááºááẠááŸááºáá»á¬ážááŒá®áž áá¯áááá¡áá»ááºááŸá¬ áááºááá·áºááœááºážááá·áºá¡áá« áááºááŸááºáá¬ážáá±á¬ á¡áá»áááºáá¬ááá áºáá¯á¡ááœááºáž á¡á¶áááºááœááºáá»ááŒá áºááẠááá¯á¡ááºáá±á¬ááŒá±á¬áá·áº ááŒá áºáááºá
ááŒá¿áá¬á¡ááœáẠáá±á¬ááºáá¯á¶ážááŒá±ááŸááºážáá»ááºááŸá¬ áá±á¬ááºážáá«ážááœáẠááá«áááºáá±á¬áºáááºážá á áá¬ážááŸááºá áá¯á¶áá±á¡á áááºá¡ááá¯ááºážááᯠá¡ááŒáááºáá»á¬ážá áœá¬ ááá·áºááœááºážááẠáááá¯á¡ááºááŒá±á¬ááºáž áá±áá»á¬á á±ááá¯ááºáá«áááºá
á áá¬ážááŸááºá áá¯á¶áá±á¡á áááºá¡ááá¯ááºážááẠááŒá¯ááŒááºáá¬ážáá±á¬Password ááŒá áºááŒá®áž Google Authenticator á០á¡ááá¯ááºážááẠ567 ááŒá áºáááºá --passwd-on-stdin á¡ááŒá±á¬ááºážááŒáá»ááºááᯠá¡áá¯á¶ážááŒá¯á á áá¬ážááŸááºáá áºáá¯áá¯á¶ážááᯠá á¶ááá·áºááœááºážááŸá¯ááŸáá áºááá·áº openconnect ááá¯á· áá±ážááá¯á·ááá¯ááºáááºá
echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr vpn.evilcorp.com --passwd-on-stdin
ááᯠáááºááẠáá±á¬ááºáá¯á¶ážááá·áºááœááºážáá¬ážáá±á¬ á¡áááá·áºááá¯á· á¡áááºáááŒááºááŒááºáá¬ááá¯ááºááŒá®áž ááá¯áá±áá¬ááœáẠGoogle Authenticator á á¡á áááºá¡ááá¯ááºážááá¯áᬠááŒá±á¬ááºážáá²ááá¯ááºáááºá
áá±á¬áºááá¯áááẠVPN ááẠááá·áºá¡á¬áž á¡ááºáá¬áááºá¡áá¯á¶ážááŒá¯ááœáá·áºáááŒá¯áá«á
áá±áá°áá»á¡á¬ážááŒáá·áºá Habr ááá¯á·ááœá¬ážáááºá¡ááœáẠáá®ážááŒá¬ážááœááºááŒá°áá¬áá áºáá¯á¶ážáá¯á¶ážáááá·áºá¡áá«ááœáẠáááºážááẠá¡áááºáááŒá±áá«á stackoverfow á០áá±á¬áºáá®áá°ážááá·áºááŒááºáž áááŒá¯áá¯ááºááá¯ááºááŒááºážááẠáá±áá°áá»á¡á¬ážááŒáá·áº á¡áá¯ááºá¡á¬áž áá±ááŒááºááá¯ááºáá±á¬ááŒá±á¬áá·áº áá áºáá¯áᯠáá¯ááºáá±á¬ááºááẠááá¯á¡ááºáá«áááºá
ááŒááºááœááºážááœááºáááºá០á¡áááºážá¡ááŒá áºáá áºáá¯ááᯠáááºáááºáá±á¬ááºááá¯ááá·áºá¡áá« Linux ááẠVPN ááá¯á·ááœá¬ážáᬠHabr ááá¯á·ááœá¬ážáááºááá¯á¡ááºááá·áºá¡áá«ááœáẠáááºážááẠá¡ááºáá¬áááºááá¯á· áá±á¬ááºááœá¬ážá á±ááẠáá áºáááºážáááºážááŒáá·áº á á¯á ááºážááẠááá¯á¡ááºáá«áááºá
openconnect ááẠvpn ááŸáá·áº áá»áááºáááºááŸá¯ááᯠá áááºááŒá®ážáá±á¬ááºá /usr/share/vpnc-scripts/vpnc-script ááœááºááŸááá±á¬ á¡áá°áž script ááᯠáá¯ááºáá±á¬ááºáááºá á¡áá»áá¯á·áá±á¬ ááááºážááŸááºáá»á¬ážááᯠááá·áºááœááºážááŸá¯á¡ááŒá Ạscript ááá¯á·áá±ážááá¯á·ááŒá®áž VPN ááᯠá á®á ááºáááºááŸááºáá±ážáááºá áá¶ááá±á¬ááºážá áœá¬áá²á áá±á¬áºááá¯áááẠVPN ááŸáá·áº áá°áááºáž script ááá¯á¡áá¯á¶ážááŒá¯á á¡ááŒá¬ážáá±á¬á¡ááºáá¬áááºáá¡ááœá¬ážá¡áá¬á á®ážáááºážááŸá¯áá»á¬ážááᯠáááºááá¯á·ááœá²áá¯ááºááááºááᯠáá»áœááºá¯ááºáááááá¯ááºáá«á
áááºááŸá¬ážáááºááŸá¬á vpn-slice utility ááᯠáá»áœááºá¯ááºááá¯áá°áá»á¬ážá¡ááœáẠá¡áá°ážáááŒáá·áº áá®ááœááºáá¬ážááŒá®ážá áááºážááẠáá¬ááá¯áááºážááŒáá·áºáááŒááºážáááŒá¯áá² áááºážááŒá±á¬ááºážááŸá áºáá¯ááŸáá áºááá·áº áááºážááŒá±á¬ááºážááŸá áºáá¯ááᯠáá±ážááá¯á·ááá¯ááºá á±áá«áááºá áá±á¬ááºážááŒá®á ááá¯ááá¯áááºááŸá¬ áááºááẠááá¯ááºááááºá ááá¯á·áá±á¬áº áááºááẠáááºááá¬ááŒá áºááẠáááá¯áá«á
vpn-slice ááᯠá¡áá¯á¶ážááŒá¯á á¡ááœá¬ážá¡áᬠááœá²ááŒá¬ážááŒááºážá
ááááŠážá áœá¬ááẠvpn-slice ááᯠinstall áá¯ááºááááºááŒá áºááŒá®ážá á€á¡áá¬ááá¯áááºááá¯ááºááá¯ááºááŸá¬ááœá±ááááá·áºáááºá comment ááŸá¬ áá±ážá áá¬ááœá±ááŸáááẠáá®á¡ááŒá±á¬ááºážáá²á· áááºáááºááŒá®áž áá®ážááŒá¬áž post áá áºáᯠáá±ážáá±ážáá«á·áááºá ááá¯á·áá±á¬áº áááºážááẠáá¯á¶ááŸáẠPython áááá¯ááááºááŒá áºáá±á¬ááŒá±á¬áá·áº áááºááá·áºá¡áááºá¡áá²áá»áŸ áááŒá áºááá·áºáá«á virtualenv ááᯠá¡áá¯á¶ážááŒá¯á ááá·áºááœááºážáá²á·áááºá
ááá¯á·áá±á¬ááºááœááºá áá¯á¶ááŸáẠscript á¡á á¬ážá áááºááẠvpn-slice ááá¯áá¯á¶ážááẠááá¯á¡ááºáááºáᯠááœáá·áºááá¯ááẠááœáŸááºááŒááá·áº -script switch ááᯠá¡áá¯á¶ážááŒá¯á utility ááᯠá¡áá¯á¶ážááŒá¯ááá«áááºá
echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24 " vpn.evilcorp.com
--script ááᯠscript á¡á á¬áž áá¯áá±á«áºááẠááá¯á¡ááºáá±á¬ command ááŒáá·áº á á¬ááŒá±á¬ááºážáá áºáá¯ááᯠááŒááºáááºážáá«áááºá ./bin/vpn-slice - vpn-slice áááºáááºááá¯ááºáá±á¬ ááá¯ááºááá¯á· áááºážááŒá±á¬ááºáž 192.168.430.0/24 - vpn ááá¯á·ááœá¬ážááẠááááºá á¬áá»á¬ážá áá»ááºááŸá¬áá¯á¶ážá á€ááœááºá áá»áœááºá¯ááºááá¯á· ááá¯ááá¯áááºááŸá¬ ááááºá á¬ááẠ192.168.430 ááŒáá·áº á áááºáá«áá ááá¯á·áá±á¬áẠá€ááááºá á¬áá«ááá·áº á¡áááºážá¡ááŒá áºááᯠVPN á¡ááœááºážááŸá ááŸá¬ááœá±ááẠááá¯á¡ááºáááº
á¡áá¯á¡ááŒá±á¡áá±á áá¯á¶ááŸááºáá®ážáá«ážááŒá áºáá±áá«ááŒá®á áá®ážáá«ážá ááᯠáááºááẠHabr ááá¯á· ááœá¬ážááá¯ááºááŒá®áž ip ááŒáá·áº áá¯ááºáááºážááœááºáž áááºážááŒá áºááá¯á· ááœá¬ážááá¯ááºáá±á¬áºáááºáž áááºá¹áá±áá¡áááºááŒáá·áº áá¯ááºáááºážááœááºáž á¡áááºážá¡ááŒá áºááá¯á· ááẠáááœá¬ážááá¯ááºáá«á host áá»á¬ážááœáẠáááºá¹áá±áá¡áááºááŸáá·áº ááááºá á¬á¡ááŒá¬áž ááá¯ááºáá®ááŸá¯áá áºáá¯ááᯠáááºááŸááºáá«áá á¡áá¬á¡á¬ážáá¯á¶ážááẠá¡áá¯ááºááŒá áºááá·áºáááºá ip ááŒá±á¬ááºážáá²áááºá¡áá á¡áá¯ááºáá¯ááºáá«á ááá¯á¡áá« Linux ááẠIP áá±á«áºáá°áááºá á¡ááºáá¬ááẠááá¯á·ááá¯áẠá¡ááºááá¬áááºááᯠáááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááá¯ááºááŒá®ááŒá áºáááºá ááá¯á·áá±á¬áº ááááºá á¬ááᯠáá¯á¶ážááŒááºááẠáá±á¬áºááá¯ááááºááá¯ááºáá±á¬ DNS ááᯠá¡áá¯á¶ážááŒá¯áá²ááŒá áºáááºá
ááŒá¿áá¬ááẠá€áá¯á¶á á¶ááŒáá·áºáááºáž áááºááŸá¬ážááá¯ááºááẠ- áá¯ááºáááºážááœááºááœáẠá¡áá¬á¡á¬ážáá¯á¶áž á¡áááºááŒá±áá±á¬áºáááºáž á¡áááºááœáẠáááºááẠááŒááºááœááºážáá±á¬áºááá¯ááááºáááºážááŒá áºáá»á¬ážááᯠIP ááŸáá áºááá·áºáᬠáááºáá±á¬ááºááá¯ááºáááºá á¡áááºááŒá±á¬áá·áºááá¯áá±á¬áº áááºááẠáá±á¬áºááá¯áááẠWi-Fi ááŸáá·áº áá»áááºáááºáá±á¬á¡áá«ááœááºá áá±á¬áºááá¯áááẠDNS ááá¯áááºáž á¡áá¯á¶ážááŒá¯áá¬ážááŒá®áž VPN á០áááºá¹áá±áááááºá á¬áá»á¬ážááᯠVPN ááá¯á¶ážáá² ááá¯ááááºá á¬ááá¯á·ááœá¬ážááẠáááŒá áºááá¯ááºáá±ážáá±á¬áºáááºáž áááºážááœáẠááŒá±ááŸááºážáá±ážáá«áááºá
hosts ááá¯ááºááᯠá¡ááá¯á¡áá»á±á¬áẠááŒá¯ááŒááºááœááºážáá¶ááŒááºážá
á¡áááºá vpn-slice ááᯠáááºáá»á±ážá áœá¬áá±ážáá«áá VPN ááá¯ááŒáŸáá·áºáááºááŒá®ážáá±á¬ááºá áááºážááẠáááºážá DNS ááá¯á·ááœá¬ážááá¯ááºááŒá®ážá áááºážááá¯á·ááááºá¹áá±áá¡áááºáá»á¬ážááŒáá·áº ááá¯á¡ááºáá±á¬á¡áááºážá¡ááŒá áºáá»á¬ážá IP ááááºá á¬áá»á¬ážááᯠááá¯áá±áá¬áááŸá¬ááœá±ááŒá®áž áááºážááá¯á·ááᯠhost áá»á¬ážááœááºááá·áºááá¯ááºáááºá VPN ááá¯ááááºááŒá®ážáá±á¬ááºá á€ááááºá á¬áá»á¬ážááᯠhost áá»á¬ážá០áááºááŸá¬ážáá«áááºá áááºážááá¯áá¯ááºáá±á¬ááºáááºá á¡ááŒá±á¬ááºážááŒáá»ááºáá»á¬ážá¡ááŒá Ạvpn-slice ááá¯á· áááºá¹áá±áá¡áááºáá»á¬ážáá±ážááá¯á·ááẠááá¯á¡ááºáááºá áá®ááá¯áá»áá¯ážá
echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com
á¡áá¯áá±á¬á· áá¯á¶ážááŸá¬áá±á¬ áááºážááŒá±ááŸá¬áá±á¬ á¡á¬ážáá¯á¶ážá á¡áá¯ááºáá¯ááºááá·áºáááºá
VPN ááŸáá±ážáá±á¬ DNS ááŸá ááá¯ááááºážááœá²áá»á¬ážá¡á¬ážáá¯á¶ážá ááááºá á¬áá»á¬ážááᯠááŸá¬ááœá±áá«á
ááœááºáááºá¡ááœááºáž ááááºá á¬á¡áááºážáááºááŸááá«áá hosts ááá¯ááºááᯠá¡ááá¯á¡áá»á±á¬ááºááœááºážáá¶ááŒááºážáááºážáááºážááẠáá±á¬ááºážááœááºá áœá¬á¡áá¯ááºáá¯ááºáá«áááºá ááá¯á·áá±á¬áº ááœááºáááºáá±á«áºááœáẠá¡áááºážá¡ááŒá áºáá»á¬ážá áœá¬ááŸááá±áá«áá zoidberg.test.evilcorp.com áá²á·ááá¯á·áá±á¬ ááá¯ááºážáá»á¬ážááᯠscript zoidberg ááẠá ááºážáááºáá¯á¶áá»á¬ážáá²á០áá áºáá¯áá¡áááºááá¯á· á¡áááºáááŒááºááá·áºááẠááá¯á¡ááºáááºááŒá áºáááºá
áá«áá±ááá·áº á¡áá¯áá»áááºááŸá¬áá±á¬á· áá®ááá¯á¡ááºáá»ááºááᯠáá¬ááŒá±á¬áá·áº áááºááŸá¬ážááá¯ááºáááºááá¯áᬠáááºážáááºážáá¬ážáááºáá¬áá«ááŒá®á
VPN ááá¯ááŒáŸáá·áºáááºááŒá®ážáá±á¬ááºá áááºááẠ/etc/hosts ááœááºááŒáá·áºááŸá¯áá«áá á€á á¬ááŒá±á¬ááºážááᯠáááºááŒááºááá¯ááºáááºá
192.168.430.534 dns0.tun0 # vpn-slice-tun0 á¡ááá¯á¡áá»á±á¬ááºáááºáá®ážáá²á·áááº
ááŸáá·áº resolv.conf ááœáẠá á¬ááŒá±á¬ááºážá¡áá áºáá áºáá¯ááᯠáá±á«ááºážááá·áºáá²á·áááºá á¡ááá¯áá»á¯ááºááŒá±á¬ááá»áŸáẠvpn-slice ááẠvpn á¡ááœáẠdns server áááºáá±áá¬ááᯠáá áºáááºážáááºážááŒáá·áº áá¯á¶ážááŒááºáááºá
ááᯠáá»áœááºá¯ááºááá¯á·ááẠevilcorp.com ááœááºá¡áá¯á¶ážáááºáá±á¬ááá¯ááááºážá¡áááºáá áºáá¯á IP ááááºá á¬ááá¯ááŸá¬ááœá±áááºá¡ááœááºá Linux ááẠáá±á¬áºááá¯áááẠDNS ááá¯á·ááœá¬ážáᬠá¡ááŒá¬ážáá áºáá¯áá¯ááá¯á¡ááºáá«áá ááá¯á·áá±á¬áẠáá°áááºážáá áºáá¯ááá¯á·ááœá¬ážááŒá±á¬ááºáž áá±áá»á¬á á±áááºááá¯á¡ááºáá«áááºá
á¡áá»áááºá¡áá±á¬áºááŒá¬á¡á±á¬áẠáá»áœááºáá±á¬áº Google áá¯ááºááŒá®áž á¡á²á·áá®áá¯ááºáá±á¬ááºáá»ááºááᯠUbuntu ááŸá¬ áááá¯ááºáááºááá¯áá¬ááᯠááœá±á·ááŸááá²á·áá«áááºá áááºážááẠá¡áááºáá»á¬ážááᯠááŒá±ááŸááºážááẠáá±áááœááºáž DNS áá¬áᬠdnsmasq ááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºá áœááºážááᯠááá¯ááá¯áááºá
ááá¯ááá¯áááºááŸá¬á Linux ááẠIP ááááºá á¬áá»á¬ážá¡ááœáẠáá±ááá¹áá DNS áá¬áá¬ááá¯á· á¡ááŒá²ááœá¬ážáá±á á±áá¬áá° áááºážááẠááá¯ááááºážá¡áááºáá±á«áº áá°áááºá áááºááá¯ááºáᬠááŒááºá DNS áá¬áá¬ááŸá IP ááᯠââááŸá¬ááœá±áááá·áºáááºááŒá áºááŒá±á¬ááºáž áá±áá»á¬á á±ááá¯ááºáá«áááºá
ááœááºáááºáá»á¬ážááŸáá·áº ááœááºáááºáá»áááºáááºááŸá¯áá»á¬ážááŸáá·áº áááºááá¯ááºááá·áºá¡áá¬á¡á¬ážáá¯á¶ážááᯠá á®áá¶ááá·áºááœá²áááºá¡ááœáẠUbuntu ááẠNetworkManager ááá¯á¡áá¯á¶ážááŒá¯ááŒá®áž ááœá±ážáá»ááºáááºá¡ááœáẠgraphical interface ááᯠá¥ááá¬á¡áá±ááŒáá·áºá Wi-Fi áá»áááºáááºááŸá¯áá»á¬ážááẠáááºážá¡ááœáẠááŸá±á·áá¯á¶ážáá áºáá¯áá¬ááŒá áºáááºá
áááºážáááœá²á·á ááºážáá¯á¶ááœáẠáá»áœááºá¯ááºááá¯á·áááºááẠááá¯á¡ááºáááºááŒá áºáááºá
- /etc/NetworkManager/dnsmasq.d/evilcorp ááœáẠááá¯ááºáá áºáá¯áááºáá®ážáá«á
ááááºá á¬=/.evilcorp.com/192.168.430.534
ááá±á¬ááºážááŸá¯áá±á¬áºááá¯áá±ážááŸááºážáááŸá±á·ááŸá±á¬ááºáá¡áá»ááºááá¯á¡á¬áá¯á¶á áá¯ááºáá«á áááºážááẠevilcorp.com áááœá²ááá¯ááááºážá¡á¬ážáá¯á¶ážááᯠáá±á¬áºááá¯áááẠdns ááœáẠááŸá¬ááœá±ááá·áºáááºáᯠdnsmasq á á¡áá»ááºááŒáááºá
- á¡áááºááŒááºáááºááŒááºáá¬ážááŸá¯á¡ááœáẠdnsmasq ááá¯á¡áá¯á¶ážááŒá¯ááẠNetworkManager ááá¯ááŒá±á¬áá«á
ááœááºáááºáááºáá±áá»á¬ ááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááẠ/etc/NetworkManager/NetworkManager.conf ááœáẠáááºááŸáááŒá®áž áááºááẠááá¯áá±áá¬ááœáẠááá·áºááœááºážááẠááá¯á¡ááºáááº-
[áááºá] dns=dnsmasq
- NetworkManager ááᯠááŒááºáááºá áááºáá«á
service network-manager restart
ááá¯á openconnect ááŸáá·áº vpn-slice ááᯠá¡áá¯á¶ážááŒá¯á VPN ááá¯á· áá»áááºáááºááŒá®ážáá±á¬ááºá áááºááẠvpnslice ááœáẠáááºá¹áá±áááááºá á¬áá»á¬áž áááá·áºáá«áá ip ááᯠáá¯á¶ááŸááºá¡ááá¯ááºáž áá¯á¶ážááŒááºáá«áááºá
VPN ááŸáááá·áº áá áºáŠážáá»ááºáž áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáááºáá±á¬ááºáááºáž
VPN ááá¯á· áá»áááºáááºááá¯ááºááŒá®ážáá±á¬áẠááŸá áºáááºáᬠá¡ááœááºáá»á±á¬áºááœáŸááºáá²á·áááŒá®áž áá¯á¶ážááœááºáááºááŒááºáá០VPN ááá¯á· áá»áááºáááºáá«á áá±ážáẠá¡áá¯ááºááá¯ááºáá±á¬á·ááŒá±á¬ááºáž ááœááºáá±á«áºáá¬áá²á·áááºá ááá¹ááá¬á áááºážááŸá®ážááŒá®ážáá¬ážáá² ááá¯ááºáá¬áž á
áá»áœááºá¯ááºááá¯á·ááá±ážááºááẠmail.publicevilcorp.com ááœááºáááºááŸáááŒá®áž ááá¯ááá¯áááºááŸá¬ áááºážááẠdnsmasq ááœáẠá ááºážáááºážáááá¯ááºáá¬áá² áá±ážááºáá¬áá¬ááááºá á¬ááᯠá¡áá»á¬ážáá°ááŸá¬ DNS ááŸáá áºááá·áº ááŸá¬ááœá±áá«áááºá
áá±á¬ááºážááŒá®á áá¯á¶ážááẠá€ááááºá á¬áá«ááŸááá±á¬ DNS ááᯠá¡áá¯á¶ážááŒá¯áá²ááŒá áºáááºá áá«áá²áááºáá²á·áá¬á ááááºáá±á¬á· dnsmasq ááŸá¬ ááá¯ááºážááá·áºááŒá®ážáá±á¬ááº
ááááºá á¬=/mail.publicevilcorp.com/192.168.430.534
á¡ááŒá±á¡áá± áá¯á¶ážááááŒá±á¬ááºážáá°ážá ip ááá±á¬á· áá®á¡ááá¯ááºážáá«áá²á á¡áá¯ááºááœá¬ážááááºá
áá±á¬ááºááá¯ááºážááŸá¬áá±á¬á· á¡ááŒá±á¡áá±ááᯠáá±ážáá±ážáááºáááºáá±á·áá¬ááŒá®áž ááŒá¿áá¬ááᯠáááºážáááºážáá¬ážáááºáá¬áá²á·á¡áá« áá¬ááºáá±á¬ááºážáá²á·áá°áá áºáá±á¬ááºá áááºááá¯ááŒá±ááŸááºážáááá²ááá¯áá¬ááᯠááŒá±á¬ááŒáá²á·áá«áááºá ááá¯áá²á·ááá¯á·ááá¯ááºáá² VPN ááŸáááá·áº áá±ážááºáá¬áá¬ááá¯á· áá»áááºáááºááẠááá¯á¡ááºáá«áááºá
áá»áœááºá¯ááºááẠ192.168.430 ááŒáá·áºá áááºááá·áºááááºá á¬áá»á¬ážááá¯á· VPN ááá¯ááŒááºáá»á±á¬áºááẠvpn-slice ááá¯á¡áá¯á¶ážááŒá¯áá«áááºá áá±ážááºáá¬áá¬ááœáẠevilcorp á subdomain áá áºáá¯ááá¯ááºááá·áº áááºá¹áá±áááááºá á¬áá áºáá¯áá¬ááá áááºážááœáẠ192.168.430 ááŒáá·áº á áááºááá·áº IP ááááºá á¬áááºáž áááŸááá«á áá¯ááºáá«ááẠáá°á á¡ááœá±ááœá±ááœááºáááºá áááºáá°á·ááá¯á០áá°á·áá®áá¬ááœáá·áºááá±ážáá°ážá
Linux ááẠVPN ááŸáááá·áºááŸáá·áº mail server ááá¯á·ááœá¬ážááá¯ááºáááºá áááºážááᯠvpn-slice ááœááºáááºáž ááá·áºáááºááá¯á¡ááºáá«áááºá á á¬ááá¯á·áá°áááááºá á¬ááẠ555.555.555.555 ááá¯ááŒáá«á áá¯á·á
echo "fixedPassword567987" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 555.555.555.555 192.168.430.0/24" vpn.evilcorp.com
á¡ááŒááºážá¡áá¯á¶áá áºáá¯ááŒáá·áº VPN ááá¯ááŒáŸáá·áºáááºáááºá¡ááœáẠScript
áá«ááœá±á¡á¬ážáá¯á¶ážá ááááºá¡áááºááŒá±áá¬áá±á¬á· ááá¯ááºáá«áá°ážá áá¯ááºáá«áááºá áááºááẠá á¬áá¬ážááᯠááá¯ááºáá áºáá¯ááœáẠááááºážáááºážááŒá®áž áááºážááᯠáááºááŒáá·áºááá¯ááºááá·áºá¡á á¬áž ááœááºááá¯ážááºááœáẠáá°ážááá·áºááá¯ááºáá±á¬áºáááºáž áááºážááẠá¡ááœááºáá¬áá¬áááºááá¯ááºáá±ážáá«á áá¯ááºáááºážá ááºááá¯ááá¯ááœááºáá°á á±áááºá áááºááẠPATH ááœááºáááºááŸáááá·áº script áá áºáá¯ááœáẠcommand ááá¯ááŒá¯á¶ááá¯ááºáááºá ááá¯á·áá±á¬áẠáááºááẠGoogle Authenticator ááŸáááŸááá±á¬áá¯ááºááᯠááá·áºááœááºážáááºáᬠááá¯á¡ááºáááºááŒá áºáááºá
#!/bin/sh
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444 --user poxvuibr --passwd-on-stdin
--script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com
script ááᯠconnect~evilcorp~ ááŸá¬áá¬ážááẠconsole ááŸá¬ ááá¯ážááá¯ážáá±ážááá¯á·ááá«áááºá
connect_evil_corp 567987
ááá¯á·áá±á¬áº ááá¯á¡áá«ááœáẠá¡ááŒá±á¬ááºážáá áºáá¯áá¯ááŒá±á¬áá·áº openconnect ááœáá·áºáá±ááá·áº console ááᯠáááºáááºáá¬ážááŸáááẠááá¯á¡ááºáá±áá±ážáááºá
áá±á¬ááºáá¶ááœáẠopenconnect ááᯠáá¯ááºáá±á¬ááºáá±áááºá
áá¶áá±á¬ááºážáá±á¬ááºáá áœá¬á openconnect ááá±ážáá¬ážáá°áá»á¬ážáááºáá»áœááºá¯ááºááá¯á·ááá¯ááá¯á áá¯ááºááŒá®ážáááá¯ááááº-background ááá¯á·á¡áá°ážáá±á¬á·áá áºáá¯áááºááá·áºáááºá áááºážáááºáááá¯ááááºááá¯á áááºááŒá®ážáá±á¬ááºáá±á¬ááºáá¶ááœááºá¡áá¯ááºáá¯ááºá á±áááºá áááºá€áá²á·ááá¯á·áá¯ááºáá±á¬ááºáá«áá á áááºááŒá®ážáá±á¬áẠconsole ááá¯ááááºááá¯ááºáááºá
#!/bin/sh
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
--user poxvuibr
--passwd-on-stdin
--background
--script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com
á¡áá¯á áá áºáá¯á¶ážááœá± áááºáá±á¬ááºááœá¬ážááŸááºáž áááááá±ážáá°ážá áá±áá°áá»á¡á¬ážááŒáá·áºá áá»áœááºá¯ááºááá¯á·ááẠááŸááºáááºážáá»á¬áž á¡ááŸááºááááºáááá¯á¡ááºáá±á¬áºáááºáž áááºáááºáá±á¬á·á០ááááá«á openconnect ááẠáááºážááá¯á·ááᯠáá±ážáááºážáá¯á¶ááŒá¯á¶á áœá¬ ááááºážááááºážáá¬ážááá·áº syslog ááá¯á· ááŒááºááœáŸááºážááá¯ááºáááºá command ááœáẠ-syslog switch ááá¯ááá·áºáááºááá¯á¡ááºáááºá
#!/bin/sh
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
--user poxvuibr
--passwd-on-stdin
--background
--syslog
--script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com
ááá¯á·ááŒá±á¬áá·áºá openconnect ááẠáá±á¬ááºáá¶áá áºáá±áá¬á á¡áá¯ááºáá¯ááºáá±ááŒá®áž áááºáá°á·ááá¯áá»áŸ á¡ááŸá±á¬ááºá¡ááŸááºáááŒá áºá á±áá±á¬áºáááºáž áááºážááᯠáááºááá¯á·áááºááá·áºááááºááᯠáááŸááºážáááºážááŒá±á¬ááºáž ááœá±á·ááŸáááááºá ááá¯ááá¯áááºááŸá¬á áááºááẠgrep ááá¯á¡áá¯á¶ážááŒá¯á ps output ááá¯á á áºáá¯ááºááŒá®áž openconnect áá«ááŸááá±á¬á¡áááºááŸááá±á¬áá¯ááºáááºážá ááºááá¯ááŸá¬ááœá±ááá¯ááºáááºá ááá¯á·áá±á¬áºáááºážáááºáá áºáááºážáááºážááŒáá·áºáá»ááºážá áá¬áá±á¬ááºážáááºá áá®á¡ááŒá±á¬ááºážááᯠá ááºážá á¬ážáá±ážáá²á· á á¬áá±ážááá¬ááœá±ááá¯áááºáž áá»á±ážáá°ážáááºáá«áááºá Openconnect ááœáẠáááºážá áá¯ááºáááºážá áẠidentifier ááᯠááá¯ááºáá áºáá¯ááá¯á· áá±ážáá¬ážááẠopenconnect ááᯠááœáŸááºááŒá¬ážááá¯ááºááá·áº áá±á¬á·-pid-ááá¯ááºáá áºáᯠááŸááááºá
#!/bin/sh
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
--user poxvuibr
--passwd-on-stdin
--background
--syslog
--script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com
--pid-file ~/vpn-pid
ááá¯áááºááẠcommand ááŒáá·áº process áá áºáá¯ááᯠá¡ááŒá²áááºážáááºááá¯ááºáá«ááŒá®á
kill $(cat ~/vpn-pid)
áá¯ááºáááºážá ááºáááŸáááẠáááºáá áºááẠáá»áááºá á¬ááá¯ááºáá±ááá·áº á¡ááŸá¬ážááá»áá«áá°ážá ááá¯ááºáááŸááá«áá áááºááá·áºá¡áá¬á០ááá¯ážááœá¬ážáá¬áááºááá¯ááºáá±á¬ááŒá±á¬áá·áº Script á áááá á¬ááŒá±á¬ááºážááœáẠáá¯ááºáááºážá ááºááᯠáá±ážáááºážá áœá¬ áááºáá áºááá¯ááºáá«áááºá
kill $(cat ~/vpn-pid)
#!/bin/sh
echo "fixedPassword$1" | openconnect --servercert sha256:4444444444444444444444444444444444444444444444444444444444444444
--user poxvuibr
--passwd-on-stdin
--background
--syslog
--script "./bin/vpn-slice 192.168.430.0/24 jira.vpn.evilcorp.com git.vpn.evilcorp.com " vpn.evilcorp.com
--pid-file ~/vpn-pid
ááᯠáááºááẠááá·áºááœááºááŒá°áá¬ááᯠááœáá·áºááá¯ááºáááºá ááœááºááá¯ážááºááá¯ááœáá·áºáᬠááœááºáááºážááá¯ááœáá·áºáᬠáááºážááᯠGoogle Authenticator ááŸáá¯ááºááᯠááŒááºáááºážááá¯ááºááŒá®ááŒá áºáááºá ááá¯á·áá±á¬áẠááœááºááá¯ážááºááᯠááŒáá¯áá»ááá¯ááºáááºá
VPN-á¡áá»ááºááá«áá²á áá±á¬ááºá áá¬ážáá áºáá¯á¡á á¬áž
VPN-slice ááá«áá² áááºááá¯á·áá±ááá¯ááºááááºááᯠáá¬ážáááºááẠá¡ááœááºáááºáá²ááœá¬ážáá«áááºá google ááŸá¬ á¡áá»á¬ážááŒá®ážáááºáá²á·ááááºá áá¶áá±á¬ááºážáá±á¬ááºáá áœá¬á ááŒá¿áá¬áá áºáá¯ááŸáá·áºá¡áá»áááºááŒá¯ááºážááŒá®ážáá±á¬ááºá áááºážááá¬ááá¯ááºáá¬áááºá áœá²á á¬á¡á¯ááºáá»á¬ážááŸáá·áºáá°áá¬áž openconnect ááá¯áááºá áááºááŸá¯ááºááŸá¬ážááœááºááá¹áá¯áá»á¬ážáá²á·ááá¯á·áááºáá²á·áááºá
ááááºá¡áá±ááŒáá·áºá áá°áááºáž script áá²á·ááá¯á· vpn-slice ááẠrouting table ááᯠáá®ážááŒá¬áž networks áá»á¬ážááá¯á· ááœááºážáá¶áá¬ážáááºááᯠááœá±á·ááŸááá²á·áááºá
áááºážááŒá±á¬ááºážááá¬áž
ááá¯ážááá¯ážááŸááºážááŸááºážááŒá±á¬ááá»áŸáẠá€ááááºá á¬ááŸá¬ Linux ááŒááºáááºážááá¯ááá·áº ááááºá á¬ááᯠá áááºááá·áºááá·áº ááááá±á¬áºáá¶ááŸá ááá¬ážáá áºáá¯ááŒá áºááŒá®áž áá¯ááááá±á¬áºáá¶ááœáẠá€ááááºá á¬ááœáẠáááºááá·áºááœááºááẠadapter ááŒááºáááºážááááºááᯠáá«ááŸááááºá ááááºáá±á¬á·á ááá¯á áá®áá¬ááœá±ááŸááá±ááá·áº áá«á á¡ááŸá áºáá¬áááᯠáááŒá±á¬ááºážáá²áá«áá°ážá
routing table ááá¯ááŒáá·áºááŸá¯áááºá¡ááœáẠip route command ááᯠrun áááºááá¯á¡ááºáááºá
default via 192.168.1.1 dev wlp3s0 proto dhcp metric 600
192.168.430.0/24 dev tun0 scope link
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.534 metric 600
192.168.430.534 dev tun0 scope link
á€ááœááºá á¡áá»áá¯á·áá±á¬ááááºá á¬ááá¯á· áááºáá±á·áá»áºáá±ážááá¯á·áááºá¡ááœáẠáááºááœá¬ážááá¯ááá·áºáá±áá¬á¡ááœáẠá á¬ááŒá±á¬ááºážáá áºááŒá±á¬ááºážá á®ááœáẠáá¬áááºááŸááá«áááºá áááá¡áá»ááºááŸá¬ ááááºá á¬ááᯠáááºááá·áºáá±áá¬ááœáẠá áááºááááºááᯠáá±á¬áºááŒáá»ááºááŒá áºáááºá 192.168.0.0/16 ááá¯áááºááŸá¬ ááááºá á¬ááẠ192.168 ááŒáá·áº á áááºááá·áºáááºáᯠáááºáá²á·ááá¯á· áá¯á¶ážááŒááºááááºááᯠáá¬ážáááºáááºá¡ááœáẠIP address mask ááẠgoogle á០ááá¯á¡ááºáá«áááºá dev ááŒá®ážáá±á¬áẠáááºáá±á·áá»áºááá¯á·ááá·áºááá·áº adapter áá¡ááẠááŸááá«áááºá
VPN á¡ááœááºá Linux ááẠvirtual adapter - tun0 ááᯠááŒá¯áá¯ááºáá²á·áááºá 192.168 á០á áááºááá·áº ááááºá á¬á¡á¬ážáá¯á¶ážá¡ááœáẠáááºážááŒá±á¬ááºážááẠáááºážááᯠááŒááºáááºážááœá¬ážááŒá±á¬ááºáž ááá¯ááºážá áá±áá»á¬á á±áááºá
192.168.0.0/16 dev tun0 scope link
command ááᯠá¡áá¯á¶ážááŒá¯á routing table á áááºááŸáá¡ááŒá±á¡áá±ááá¯áááºáž ááŒáá·áºááŸá¯ááá¯ááºáááºá áááºážááŒá±á¬ááºáž -n (IP ááááºá á¬áá»á¬ážááᯠáááá¹áá¬áá«ážáááºá áœá¬ á¡áááºááŸááºáá¬ážáá«áááº) á€á¡áááá·áºááẠááá°áá®áá±á¬áá¯á¶á á¶ááŒáá·áº ááááºáá»á¬ážááᯠáá¯ááºáá±ážááŒá®áž áá±áá¯áá»á¡á¬ážááŒáá·áº ááŒááºážááá¯áá¬ážáá±á¬áºáááºáž áááºážá output ááᯠá¡ááºáá¬áááºáá±á«áºááŸá áááºá áœá²á á¬á¡á¯ááºáá»á¬ážááœáẠáááŒá¬ááááœá±á·ááŸááááŒá®áž áááºážááᯠáááºáááºááŸá¯ááá¯ááºáááºááá¯á¡ááºáááºá
áááºážááŒá±á¬ááºážáá áºáá¯á¡ááœáẠIP ááááºá á¬ááᯠá áááºááá·áºááá·áºáá±áá¬ááœáẠDestination ááŸáá·áº Genmask áá±á¬áºáá¶áá»á¬áž áá±á«ááºážá ááºááŒááºážááŒáá·áº áá¬ážáááºááá¯ááºáá«áááºá Genmask ááŸá áá¶áá«áẠ255 ááŸáá·áº ááá¯ááºáá®áá±á¬ IP ááááºá á¬á á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠááá·áºááœááºážá ááºážá á¬ážáá±á¬áºáááºáž 0 ááŸáááá·áº á¡ááá¯ááºážáá»á¬ážááᯠááá·áºááœááºážá ááºážá á¬ážáááºááá¯ááºáá«á ááá¯ááá¯áááºááŸá¬ Destination 192.168.0.0 ááŸáá·áº Genmask 255.255.255.0 ááá¯á·á áá±á«ááºážá ááºááŸá¯ááẠááááºá á¬ááẠ192.168.0 ááŒáá·áº á áááºáá«áá áááºážáá¶ááá¯á· áá±á¬ááºážááá¯áá»ááºááẠá€áááºážááŒá±á¬ááºážá¡ááá¯ááºáž ááœá¬ážáááºááŒá áºáááºá á¡áááºá Destination 192.168.0.0 á០Genmask 255.255.0.0 ááŒá áºáá«á 192.168 ááŸáá·áº á áááºááá·áº ááááºá á¬áá»á¬ážááá¯á· áá±á¬ááºážááá¯áá»ááºáá»á¬ážááẠá€áááºážááŒá±á¬ááºážá¡ááá¯ááºážááœá¬ážáá«áááºá
vpn-slice á¡ááŸááºáááẠáá¬áá¯ááºááá² ááá¯áá¬ááᯠá¡ááŒá±ááŸá¬ááá¯ááºááá¯á·á ááŸá±á·áá²á· á¡ááŒá®ážááŸá¬ ááá¬ážááœá±áá²á· á¡ááŒá±á¡áá±ááœá±ááᯠááŒáá·áºááá¯á· áá¯á¶ážááŒááºáá²á·áááºá
VPN áááœáá·áºáááºá áá®ááá¯áá»áá¯ážáá«á
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 222.222.222.1 0.0.0.0 UG 600 0 0 wlp3s0
222.222.222.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp3s0
333.333.333.333 222.222.222.1 255.255.255.255 UGH 0 0 0 wlp3s0
vpn-slice ááá«áá² openconnect ááá¯áá±á«áºááá¯ááŒá®ážáá±á¬ááºá€áá²á·ááá¯á·ááŒá áºáá¬áááºá
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tun0
0.0.0.0 222.222.222.1 0.0.0.0 UG 600 0 0 wlp3s0
222.222.222.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp3s0
333.333.333.333 222.222.222.1 255.255.255.255 UGH 0 0 0 wlp3s0
192.168.430.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.430.534 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
á€áá²á·ááá¯á·áá±á¬ vpn-slice ááŸáá·áºáá±á«ááºážá ááºáá¬ážáá±á¬ openconnect ááá¯áá±á«áºááá¯ááŒá®ážáá±á¬ááº
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 222.222.222.1 0.0.0.0 UG 600 0 0 wlp3s0
222.222.222.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp3s0
333.333.333.333 222.222.222.1 255.255.255.255 UGH 0 0 0 wlp3s0
192.168.430.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.430.534 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
á¡áááºá áááºááẠvpn-slice ááá¯á¡áá¯á¶ážáááŒá¯áá«áá á¡áá°ážááŒá¯áá±á¬áºááŒáá¬ážááá·áºá¡áá¬áá»á¬ážááŸááœá²á ááááºá á¬áá»á¬ážá¡á¬ážáá¯á¶ážááẠvpn ááŸáááá·áºáááºáá±á¬ááºááááºáᯠopenconnect ááœáẠá¡ááá¡áááºážáá±ážáá¬ážáááºááá¯ááœá±á·ááŒááºááá¯ááºáááºá
á€áá±áá¬ááœááº-
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tun0
áááºážááá±ážááœááºá á¡ááŒá¬ážáááºážááŒá±á¬ááºážáá áºáá¯ááá¯áá»ááºáá»ááºážááœáŸááºááŒáááºá áááºážááẠLinux ááŒááºááœá¬ážáá±á¬ááááºá á¬áááºááá¬ážááŸáááºááá·áºáá»ááºááŸá¬áá¯á¶ážááŸáá·áºáááá¯ááºáá®áá«áá¡áá¯á¶ážááŒá¯ááááºááŒá áºáá«áááºá
0.0.0.0 222.222.222.1 0.0.0.0 UG 600 0 0 wlp3s0
á€ááá á¹á ááœáẠáááºááẠstandard Wi-Fi adapter ááá¯á¡áá¯á¶ážááŒá¯ááẠááá¯á¡ááºááŒá±á¬ááºáž á€áá±áá¬ááœáẠáá±ážáá¬ážáá¬ážááŒá®ážááŒá áºáááºá
áááºážááŒá±á¬ááºážááá¬ážááŸá ááááá¯á¶ážáá áºáá¯ááŒá áºáá±á¬ááŒá±á¬áá·áº VPN áááºážááŒá±á¬ááºážááᯠá¡áá¯á¶ážááŒá¯áááºáᯠáá»áœááºáá±á¬áºáá¯á¶ááŒááºáá«áááºá
áá®á¡áá¯áá®á¡áá áááºááẠá€áá°ááááºážááŒá±á¬ááºážááᯠrouting table ááŸáááºááŸá¬ážáá«áá ááá¯á·áá±á¬áẠdnsmasq openconnect ááŸáá·áºááœá²áááºá áá¯á¶ááŸááºáááºáááºááŸá¯ááá¯áá±áá»á¬á á±ááá·áºáááºá
áá»áœááºáá±á¬áºááŒáá¯ážá á¬ážáááº
route del default
ááŒá®ážáá±á¬á· á¡áá¬á¡á¬ážáá¯á¶áž ááŒá®ážááœá¬ážáááºá
vpn-slice ááá«áá² áá±ážááºáá¬áá¬ááá¯á· áááºážááŒá±á¬ááºážáá±á¬ááºážááá¯ááŸá¯áá»á¬áž
ááá¯á·áá±á¬áº áá»áœááºá¯ááºááœáẠVPN ááŸáá áºááá·áº áááºáá±á¬ááºááẠááá¯á¡ááºááá·áº ááááºá ᬠ555.555.555.555 áá«áá±á¬ áá±ážááºáá¬áá¬áá áºáá¯áááºáž ááŸááá«áááºá áááºážááá¯á·ááœá¬ážááá·áºáááºážááŒá±á¬ááºážááá¯áááºáž ááá¯ááºááá¯ááºááá·áºááœááºážááẠááá¯á¡ááºáá«áááºá
ip route add 555.555.555.555 via dev tun0
ááá¯áááºáž á¡á¬ážáá¯á¶ážá¡áááºááŒá±ááœá¬ážáá«ááŒá®á ááá¯á·ááŒá±á¬áá·áº áááºááẠvpn-slice ááá«áá² áá¯ááºáá±á¬ááºááá¯ááºáá±á¬áºáááºáž áááºáá¬áá¯ááºáá±áááºááᯠáá±á¬ááºážá áœá¬ááááẠááá¯á¡ááºáááºá ááᯠáá»áœááºá¯ááºááẠáá°ááááºážááŒá±á¬ááºážááᯠáááºááŸá¬ážááŒááºážááŸáá·áº vpn ááŸáá·áº áá»áááºáááºááŒá®ážáá±á¬áẠá á¬ááá¯á·áá°á¡ááœáẠáááºážááŒá±á¬ááºážáá áºáᯠááá·áºááẠáá°á openconnect script á áá±á¬ááºáá¯á¶ážá á¬ááŒá±á¬ááºážááá¯á· áá±á«ááºážááá·áºááẠá ááºážá á¬ážáá±áá«áááºá ááá¯á·ááŸáᬠáá»áœááºá¯ááºáá ááºáá®ážááœáẠááœá±á·áá»á¬ážáá±áá±á¬ á¡á áááºá¡ááá¯ááºážáá»á¬áž á¡áááºážáááºáᬠááŸááá±á¬á·áááºááŒá áºáááºá
ááŒá áºááá¯ááºáááºááŸá¬á á€á áá¬ážá á¯ááẠVPN áá áºáá¯ááᯠáááºááá¯á·áááºááŸááºááááºááᯠáá áºá á¯á¶áá áºáŠážáá¬ážáááºááẠáá¯á¶áá±á¬ááºáá±áááá·áºáááºá áá«áá±ááá·áº áá»áœááºáá±á¬áº áá¬áá¯ááºáááá²ááá¯áᬠáá¬ážáááºááá¯á· ááŒáá¯ážá á¬ážáá±áá»áááºááŸá¬ á á¬áá±ážáá°á¡ááœáẠá¡áá¯ááºááŒá áºááá·áº áááºážááœáŸááºáá»ááºááœá± á¡áá»á¬ážááŒá®ážááᯠáááºáá²á·ááá±ááá·áº á¡ááŒá±á¬ááºážáá áºáá¯áá¯ááŒá±á¬áá·áº áá»áœááºáá±á¬á·áºá¡ááœáẠá¡áá¯ááºáááŒá áºáá¬ááŒá±á¬áá·áº áá»áœááºáá±á¬áºááœá±á·áá²á·ááá²á· á¡ááá¯ááºážá¡á¬ážáá¯á¶ážááᯠáá®áá±áá¬ááŸá¬ áááºááá·áºááá¯á· áá¯á¶ážááŒááºáá²á·áá«áááºá áá®ááá¯áá»áá¯áž áá áºáá¯áá¯á¡ááœáẠá¡áááºážáá»á±á¬áºáá±áááá·áºáááºá
source: www.habr.com