内网渗透-多级代理

在一次HW中，遇到一个需要通过多级代理访问核心网的问题，学习顺便记录一下。

图1-1 网络草图

在打点和内网横向时，整理了如上资料，图1-1通过WEB服务的RCE获取到边界网访问权限。做frp代理进入边界网，也就是10和20这个段。

图1-2  边界FRP的配置

在该网络环境下，需要保证服务器是能够出网的，否则就只能走http隧道，并且如果服务器为Liunx，需要给FRP添加执行权限，才可以运行FRPC，同时应该保证公网的隧道端口和连接端口都是开放的。

然后使用Proxifier进行连接即可，如下图所示

图1-3 Proxifier连接图

连接之后可以访问10网段和20网段，通过内网横向，就可以到达服务器B，获取B的WEBshell权限，检查到服务器B出网，所以又开了一个FRP的代理到VPS的9001端口。配置和图1-2一样，只是端口变为9000和9001。

图1-4 服务器B的一级代理

通过B横向到C，发现C是双网卡，扫描到40网段存在漏洞，需要进行访问，此时就需要做二级代理来进行测试，这个过程不需要关闭VPS的代理，只需要在服务器B和C进行配置即可。

图1-5 二级隧道

在这里有一个坑就是应该先运行B的frps和C的frpc，两个成功建立隧道之后在修改服务器B的frpc，不然服务器B的隧道会断，就没办法在服务器C执行命令。路径如下：

图1-6 二级隧道流程

然后使用Proxifier连接VPS的9001端口即可，不过连接后就无法访问10和20网段，只能访问30和40。

同理如果三层内网的话，删掉C的socks5配置，挪用B和C的思路即可。

经过了两个小时的学习，终于进入核心网段，并且拿下了几台服务器，到此就交差写报告了。

原文始发于微信公众号（一个小白帽的成长之路）：内网渗透-多级代理