内网渗透-代理篇

最近参与内网渗透比较多，认知到自己在会话维持上过于依赖web服务，web服务一旦关闭，便失去了唯一的入口点。

本次以远程桌面连接来进行说明，介绍几种常用的连接方式。

本次目标主机ip为：172.16.86.153

使用条件：服务器通外网，拥有自己的公网ip

msf是我进行内网渗透中用的最多的工具，它内置了很多强大的功能，用起来相当方便。

msf的meterpreter内置了端口转发功能，可以把内网的端口转发到本地。

转发目标主机的3389远程桌面服务端口到本地的8888，使用linux中的rdesktop连接本地的8888端口。

msf内置了socks模块，在session但基础上配置路由，调用即可使用，但是速度和稳定性都很差，不做详细介绍。

使用条件：服务器通外网，拥有自己的公网ip

lcx是一个经典的端口转发工具，直接把3389转发到公网的vps上。

通过大马上传lcx.exe,执行系统命令，其中1.1.1.1是vps的公网ip。

因为我公网vps使用的是linux的系统，lcx对应linux的工具为portmap 。

p1为监听的端口，p2为转发到的端口。

成功监听到转发出的3389端口。

直接使用远程桌面服务连接1.1.1.1:33889

基于web服务的socks5隧道的优点是，在内网服务器不通外网的情况下也能正常使用。

常用的工具有：reGeorg，reDuh，Tunna和Proxifier。

本次只介绍reGeorg的具体用法。

选择对应脚本的tunnel上传到服务器。

访问上传文件，显示如下表示成功。

打开Proxifier，更改为脚本指定的端口。

本地电脑成功通过socks5带进了目标主机的内网。（若失败，可能是某些防护检测到了异常流量，可采用reDuh）

本地电脑直接远程连接目标主机的内网ip。

使用条件:目标主机通外网，拥有自己的公网ip

选择对应主机 *** 作系统的执行文件。

目标主机为windows系统，选择上传ew_for_Win.exe文件。

公网vps使用ew_for_linux64文件。

首先在公网vps上执行：

-l为Proxifier连接的端口，-e为目标主机和vps的通信端口。

然后在目标主机中执行:

socks5隧道建立成功，成功把自己的主机带进目标内网。

使用Proxifier，配置ip和连接端口。

连接远程桌面成功。

传送门

使用条件:目标主机通外网，拥有自己的公网ip

首先需要在公网服务器搭建服务端，搭建方法参考: 传送门

要注意的是，客户端和服务端的版本号要一致，否则无法正常使用。

对frpc.ini进行配置，为了保证搭建的隧道不对他人恶意利用，加入账户密码进行验证。

上传frpc.exe和frpc.ini到目标服务器上,直接运行frpc.exe（在实战中可能会提示找不到配置文件，需要使用-c参数指定配置文件的路径frpc.exe -c 文件路径）

公网vps主机上运行frps。

隧道建立成功，连接远程桌面。

类似的工具还有：sSocks，Termite等，不需要每种都掌握，有自己用的顺手的就行。

一般在网站服务的web服务关闭后，服务器重启后，大部门后门都会失效，这时需要用到系统服务封装工具。

以NSSM来进行示例，封装frpc为系统服务，建立持久的socks5隧道。

启动nssm图形化界面。

选择想要组册服务的exe应用。

设置服务的名字。直接点击install service，如下表示注册服务成功。

状态设置为启动，重启电脑进行测试，重启后frpc.exe自动运行，成功和frps连接。

本次列举了一些常用的工具，还有很多工具没有列举到，

功能原理都是大同小异，有那么几个用的顺手就好。

需要有路由器管理权,然后在转发规则中设置DMZ主机为本机,或者端口影射本机.都需要有路由器管理权.

如何设置代理服务器可以用ROXY

这里讲的是CentOS5环境下的架设方法，其他Linux版本以此类推

首先到http://ss5.sourceforge.net/software.htm去下载最新的for linux版本

目前是:ss5-3.6.4-3.tar.gz

# tar xvf ss5-3.6.4-3.tar.gz

# cd ss5-3.6.4

# ./configure

结果可能看到错误, 因为我就碰到了

checking security/pam_misc.h usability... no

checking security/pam_misc.h presence... no

checking for security/pam_misc.h... no

configure: error: *** Some of the headers weren't found ***

缺某些库文件, 我看到和pam有关的, 是pam-devel包

# yum -y install pam-devel

# make

# make install

make install之后没有任何显示, 这其实已经安装完毕了, 不必疑惑

修改配置文件:

/etc/opt/ss5/ss5.conf

修改这行:

auth 0.0.0.0/0 - -

改成:

auth 0.0.0.0/0 - u

然后在/etc/opt/ss5/ss5.passwd中, 一行一个用户+密码

# cat ss5.passwd

hao32 123456

# /etc/rc.d/init.d/ss5 start

报错

/etc/rc.d/init.d/ss5: line 41: syntax error near unexpected token `'

/etc/rc.d/init.d/ss5: line 41: ` '

vi下看看41行, 在之前少了结束fi

38 /usr/local/sbin/ss5 -t

39 fi

40 echo "done"

41 fi

42

继续# /etc/rc.d/init.d/ss5 start

38行又报错... 说没有这个目录或者文件:/usr/local/sbin/ss5

手动 把/usr/local/sbin/ss5换成了/usr/sbin/ss5

# /etc/rc.d/init.d/ss5 start

doneting ss5... [ OK ]

再重启下看看:

# /etc/rc.d/init.d/ss5 restart

Restarting ss5... Shutting down ss5...

done [ OK ]

doneting ss5... [ OK ]

看来没啥问题, 过了, 现在你就可以使用服务器的IP, 端口1080, 用户hao32, 密码123456来测试你的socks5服务器了, 更多高级应用, 就参加ss5.conf, 里面有详细的说明。

. 采用Danted最新稳定版本 1.4.0 编译安装。

2. 自动识别系统IP（默认排除192.168.0.*， 

10.0.0.*,127.0.0.*）,检测多Ip时，进行交互式选择Ip配置（直接回车则全部配置）。

3. 

采用Pam用户认证，认证不需要添加系统用户（默认添加进程用户sock），删除、添加用户方便，安全。

4. sock5 运行状态查看。

5. 

系统启动后自动加载。

6. 认证方式可选： 无用户名密码，系统用户名密码，Pam用户名密码

7. 

完美支持Centos/Debian,自动识别系统进行安装配置。

8. 

自定义对连接客户端认证方式，支持设置某些IP/IP段无需认证即可连接。

******安装用说明

1. 下载

wget --no-check-certificate 

https://raw.github.com/Lozy/danted/master/install.sh -O 

install.sh

2. [可选] 修改 

默认参数，DEFAULT_PORT 为默认端口，DEFAULT_USER PAM用户名，DEFAULT_PAWD PAM用户对应密码 MASTER_IP 

为免认证白名单（域名，IP可选： 如默认的buyvm.info 或者具体Ip 8.8.8.8/32 ）

3. 修改后，执行

bash install.sh

4. 若运行结束后显示 Dante Server 

Install Successfuly! 则表明成功。

若显示 Dante Server Install Failed! 

则表明安装失败，求留言反馈 *** 作系统+具体问题。

******安装后使用说明

1. 命令参数 /etc/init.d/danted 

{start|stop|restart|status|add|del}

2. 重启sock5 /etc/init.d/danted restart 或者 

service danted restart

3. 关闭sock5 /etc/init.d/danted stop 或者 service danted 

stop

4. 开启sock5 /etc/init.d/danted start 或者 service danted start

5. 

查看sock5状态 /etc/init.d/danted status 或者 service danted status

6. 添加SOCK5 

PAM用户/修改密码 /etc/init.d/danted add 用户名 密码

7. 删除SOCK5 PAM用户 /etc/init.d/danted 

del 用户名

8. 配置文件路径/etc/danted/conf/

9. 日志记录路径 /var/log/danted.*.log

10. 

danted 帮助命令 danted --help

******使用注意事项

1. 

绝大部分浏览器（除了Opera）都不支持带密码认证的Socks5，所以使用电脑需要安装proxifier/proxycap 等软件做验证处理。

2. 

如果是固定IP/Ip 段 可以修改配置文件，设置白名单访问。

进入 /etc/danted/conf/ 找到配置文件

修改 第一个client 

pass {} 模块下的 from: Master_IP/32 to: 0.0.0.0/0 . 把 Master_IP/32 

修改为需要使用代理的Ip段/IP地址 如 114.114.114.0/24 或者 5.5.5.5/32 . 多个访问源，请复制多个 client pass {} 

模块。重启Danted 进程 service danted restart

更详细WIKI说明 

https://github.com/Lozy/danted/blob/master/README.md

项目托管地址 

https://github.com/Lozy/danted

说明下，这个支持TCP及UDP的代理服务器，一键安装，简单方便……

---