0x00 前言

实际项目中，因为nat技术和防火墙的存在，经常需要利用工具才能把攻击流量代理进入目标内网。

之前写过一篇文章介绍了nps代理工具：《工具 | nps轻量级内网穿透服务器》。

随着网络安全技术的不断发展，越来越多的目标在内网中利用 ACL、vlan、网闸 等技术或设备进行网络分段、隔离。将核心数据隐藏在“内网中的内网”，甚至“内网中的内网中的内网”（无限套娃），极大的增加了攻击难度。

基于此背景，这篇文章将讲述如何在这种复杂网络环境下代理攻击流量，即多级代理的使用指南。

0x01 使用说明

先提前介绍一下使用说明，避免看不懂后面的内容。

1、角色介绍

（1）攻击者：属于攻击者的用于发动攻击的电脑。

（2）公网vps：属于攻击者的具有公网ip的服务器。

（3）肉鸡：在目标内网中，攻击者已获得权限可以在上面安装客户端的机器。

（4）攻击目标：攻击者尚未获得权限，需要能访问并对其攻击。

2、流量方向

线条方向代表建立连接的请求（谁向谁发送请求），不代表流量方向，流量方向始终是从上到下。

3、端口标注

任何通信都需要通过端口，本文标有端口字样的是指需要人为指定监听的端口，其余没标的就是系统随机的端口。

4、必要条件

必要条件中没提的条件不重要，能不能通都行。

5、模拟场景

文字描述太抽象，于是模拟一个实战场景，虽然不能面面俱到，但便于大家理解。

0x02 一级正向代理

（1）简要描述：肉鸡开放端口主动为连接的攻击者代理流量。

（2）核心需求：攻击者利用肉鸡去访问攻击目标。

（3）必要条件：攻击者能通肉鸡，肉鸡能通攻击目标。

（4）模拟场景：攻击者在外网打下某企业门户网站服务器（肉鸡），以此为代理进入内网，攻击企业内网的核心数据库服务器（攻击目标）。

0x03 一级反向代理

（1）简要描述：利用公网vps开启端口A、B，vps内部将A口流量转发到B，攻击者连接端口A发送流量，肉鸡连接端口B获取流量，即可让肉鸡为攻击者代理流量。

（2）核心需求：攻击者利用肉鸡去访问攻击目标。

（3）必要条件：攻击者能通vps，肉鸡能通vps，肉鸡能通攻击目标。

（4）模拟场景：攻击者通过钓鱼直接拿下某企业内网一名员工的个人机（肉鸡），但因为个人机没有公网ip，攻击者无法直接连接其端口，遂自行搭建一个公网vps作为中转。利用肉鸡代理进入内网，去攻击目标内网的服务器（攻击目标）。

0x04 二级正向代理

（1）简要描述：肉鸡A开放端口为攻击者转发流量到肉鸡B，肉鸡B开放端口接收并代理来自肉鸡A的流量。

（2）核心需求：攻击者利用肉鸡A访问肉鸡B，利用肉鸡B访问攻击目标。

（3）必要条件：攻击者能通肉鸡A，肉鸡A能通肉鸡B，肉鸡B能通攻击目标。

（4）模拟场景：

攻击者在外网打下某医院邮件服务器（肉鸡A），代理进入医院内网办公区，办公区不能通向核心数据库所在的核心网段。

攻击者又在办公区打下一台运维使用的跳板机（肉鸡B），跳板机可以通核心网段但不能出网。攻击者利用肉鸡AB搭建二级代理攻击核心网段的重要系统（攻击目标）。

0x05 二级反向代理

（1）简要描述：公网vps开放端口A、B，vps内部将A口流量转发到B，肉鸡A主动连接vpsB口获取流量转发到肉鸡B监听的某端口，攻击者向vps的A口发送流量，肉鸡B即可收到并代理来自vps和肉鸡A中转之后的流量。

（2）核心需求：攻击者利用肉鸡A访问肉鸡B，利用肉鸡B访问攻击目标。

（3）必要条件：攻击者能通vps，肉鸡A能通vps，肉鸡A能通肉鸡B，肉鸡B能通攻击目标。

（4）模拟场景：

攻击者通过钓鱼直接拿下某医院内网一名员工的个人机（肉鸡A），但因为个人机没有公网ip无法直接连接其端口，攻击者遂自行搭建一个公网vps作为中转，利用肉鸡A代理进入医院内网办公区，办公区不能通向核心数据库所在的核心网段。

攻击者又在办公区打下一台运维使用的跳板机（肉鸡B），跳板机可以通核心网段但不能出网。攻击者利用肉鸡AB搭建二级代理攻击核心网段的重要系统（攻击目标）。

0x06 三级正向代理

重重复复的操作，文字就不写了，大家直接看图吧。

0x07 三级反向代理

重重复复的操作，文字就不写了，大家直接看图吧。‍

0x08 后记

挖个坑：不出意外的话，下周更新一篇文章演示如何利用工具实现多级代理的具体操作。

出意外的话就更新点别的……

END.

---

随机推荐：

笔记 | Getshell后常用的一些linux命令

渗透实战 | SQL注入的“格局”

本文始发于微信公众号（小黑的安全笔记）：内网渗透 | 多级代理示意图