frp内网穿透工具的使用

最新推荐文章于 2024-06-25 21:11:00 发布

想冲大厂的癞蛤蟆

最新推荐文章于 2024-06-25 21:11:00 发布

阅读量1.3k

点赞数 1

分类专栏：内网渗透文章标签：网络

本文链接：https://blog.csdn.net/zlirving_/article/details/114662751

版权

内网渗透专栏收录该内容

14 篇文章 2 订阅

订阅专栏

为什么需要内网穿透？
我们的物理机、服务器可能处于路由器后或者处于内网之中。如果我们想直接访问到内网设备的服务，一般来说要通过一些转发或者P2P(端到端)组网软件的帮助。
对于FRP穿透工具来说，它具有端口转发及以外的功能，端口转发是只会进行单个端口的流量转发，但是这在渗透中往往是不行的，FRP可以进行内网的全流量的数据代理。
frp介绍
frp 是一个可用于内网穿透的高性能的反向代理应用，支持TCP、UDP协议，为HTTP和HTTPS应用协议提供了额外的能力，且尝试性支持了点对点穿透。对于内网渗透来讲，这款工具恰好能够满足我们进行内网渗透的流量转发。FRP最大的一个特点是使用SOCKS代理，而SOCKS是加密通信的，类似于做了一个加密的隧道，可以把外网的流量，通过加密隧道穿透到内网。

frp工具原理

frp实现原理
frp 主要由客户端（frpc）和服务端（frps）组成，服务端通常部署在具有公网 IP 的机器上（攻击机），客户端通常部署在需要穿透的内网服务所在的机器上（目标机）。内网服务由于没有公网 IP，不能被非局域网内的其他用户访问。隐藏用户通过访问服务端的 frps，由 frp 负责根据请求的端口或其他信息将请求路由到对应的内网机器，从而实现通信。
frp工作原理
(1): 首先启动frpc，frpc启动后会向frps注册，也就是内网WEB服务器会向VPS请求注册。
(2): 客户端请求frps，也就是当我们的攻击机去访问frps。
(3): frps告知frpc有新请求，需要建立连接，也就是VPS告知内网WEB服务器，需要建立连接。
(4): frps收到frpc的请求，建立新的连接，也就是VPS接收到了内网WEB服务器的请求，建立了新的连接。
(5): frps吧frpc和攻击机的流量互相转发，将frps服务器当成流量中转站，也就是VPS将攻击机的流量转发给内网WEB服务器，把内网WEB服务器的流量转发给攻击机。

frp配置文件

在这里插入图片描述

默认的frps.ini

在这里插入图片描述
bind_port是自己设定的frp服务端端口，用于和frp服务器端进行通信。
可自行补充完整的参数，例：

# [common] 是必需的
[common]
# ipv6的文本地址或主机名必须括在方括号中
# 如"[::1]:80", "[ipv6-host]:http" 或 "[ipv6-host%zone]:80"
bind_addr = 0.0.0.0
bind_port = 7000

# udp nat 穿透端口
bind_udp_port = 7001

# 用于 kcp 协议 的 udp 端口，可以与 "bind_port" 相同
# 如果此项不配置, 服务端的 kcp 将不会启用 
kcp_bind_port = 7000

# 指定代理将侦听哪个地址，默认值与 bind_addr 相同
# proxy_bind_addr = 127.0.0.1
# 如果要支持虚拟主机，必须设置用于侦听的 http 端口（非必需项）
# 提示：http端口和https端口可以与 bind_port 相同
vhost_http_port = 80
vhost_https_port = 443

# 虚拟 http 服务器的响应头超时时间（秒），默认值为60s
# vhost_http_timeout = 60

# 设置 dashboard_addr 和 dashboard_port 用于查看 frps 仪表盘
# dashboard_addr 默认值与 bind_addr 相同
# 只有 dashboard_port 被设定，仪表盘才能生效
dashboard_addr = 0.0.0.0
dashboard_port = 7500

# 设置仪表盘用户密码，用于基础认证保护，默认为 admin/admin
dashboard_user = admin
dashboard_pwd = admin

# 仪表板资产目录(仅用于 debug 模式下)
# assets_dir = ./static
# 控制台或真实日志文件路径，如./frps.log
log_file = ./frps.log

# 日志级别，分为trace（跟踪）、debug（调试）、info（信息）、warn（警告）、error（错误） 
log_level = info

# 最大日志记录天数
log_max_days = 3

# 认证 token
# 如果不使用token，那么所有人都可以连上，建大家在使用的时候还是把token加上
token = 12345678

# 心跳配置, 不建议对默认值进行修改# heartbeat_timeout 默认值为 90
# heartbeat_timeout = 90

# 允许 frpc(客户端) 绑定的端口，不设置的情况下没有限制
allow_ports = 2000-3000,3001,3003,4000-50000

# 如果超过最大值，每个代理中的 pool_count 将更改为 max_pool_count
max_pool_count = 5

# 每个客户端可以使用最大端口数，默认值为0，表示没有限制
max_ports_per_client = 0

# 如果 subdomain_host 不为空, 可以在客户端配置文件中设置 子域名类型为 http 还是 https
# 当子域名为 test 时, 用于路由的主机为 test.frps.com
subdomain_host = frps.com

# 是否使用 tcp 流多路复用，默认值为 
truetcp_mux = true

# 对 http 请求设置自定义 404 页面
# custom_404_page = /path/to/404.html

默认的frpc.ini

server addr是VPS的IP
server port是用来和frp客户端通信的端口，必须和frp服务器端端口一致，默认是7000
[ssh]可以修改成任意名称
local ip是本地的IP
local port是本地进行监听的端口
remote port是VPS访问时需要使用的端口，也就是说访问到这个remote port端口时才能访问到内网。
可自行补充完整的参数，例：

# [common] 是必需的
[common]
# ipv6的文本地址或主机名必须括在方括号中
# 如"[::1]:80", "[ipv6-host]:http" 或 "[ipv6-host%zone]:80"
server_addr = 0.0.0.0
server_port = 7000

# 如果要通过 http 代理或 socks5 代理连接 frps
# 可以在此处或全局代理中设置 http_proxy
# 只支持 tcp协议
# http_proxy = http://user:passwd@192.168.1.128:8080
# http_proxy = socks5://user:passwd@192.168.1.128:1080

# 控制台或真实日志文件路径，如./frps.log
log_file = ./frpc.log

# 日志级别，分为trace（跟踪）、debug（调试）、info（信息）、warn（警告）、error（错误）
log_level = info

# 最大日志记录天数
log_max_days = 3

# 认证 token
token = 12345678

# 设置能够通过 http api 控制客户端操作的管理地址
admin_addr = 127.0.0.1
admin_port = 7400
admin_user = admin
admin_pwd = admin

# 将提前建立连接，默认值为 0
pool_count = 5

# 是否使用 tcp 流多路复用，默认值为 true，必需与服务端相同
tcp_mux = true

# 在此处设置用户名后，代理名称将设置为  {用户名}.{代理名}
user = your_name

# 决定第一次登录失败时是否退出程序，否则继续重新登录到 frps
# 默认为 true
login_fail_exit = true

# 用于连接到服务器的通信协议
# 目前支持 tcp/kcp/websocket, 默认 tcp
protocol = tcp

# 如果 tls_enable 为 true, frpc 将会通过 tls 连接 
frpstls_enable = true

# 指定 DNS 服务器
# dns_server = 8.8.8.8

# 代理名, 使用 ',' 分隔
# 默认为空, 表示全部代理
# start = ssh,dns

# 心跳配置, 不建议对默认值进行修改
# heartbeat_interval 默认为 10 heartbeat_timeout 默认为 90
# heartbeat_interval = 30
# heartbeat_timeout = 90

# 'ssh' 是一个特殊代理名称[ssh]# 协议 tcp | udp | http | https | stcp | xtcp, 默认 tcptype = tcp
local_ip = 127.0.0.1
local_port = 22

# 是否加密, 默认为 false
use_encryption = false

# 是否压缩
use_compression = false

# 服务端访问端口
remote_port = 6001

# frps 将为同一组中的代理进行负载平衡连接
group = test_group

# 组应该有相同的组密钥
group_key = 123456

# 为后端服务开启健康检查, 目前支持 'tcp' 和 'http'
# frpc 将连接本地服务的端口以检测其健康状态
health_check_type = tcp

# 健康检查连接超时
health_check_timeout_s = 3

# 连续 3 次失败, 代理将会从服务端中被移除
health_check_max_failed = 3

# 健康检查时间间隔
health_check_interval_s = 10

[ssh_random]
type = tcp
local_ip = 127.0.0.1
local_port = 22

# 如果 remote_port 为 0 ,frps 将为您分配一个随机端口
remote_port = 0

# 如果要暴露多个端口, 在区块名称前添加 'range:' 前缀
# frpc 将会生成多个代理，如 'tcp_port_6010', 'tcp_port_6011'
[range:tcp_port]
type = tcplocal_ip = 127.0.0.1
local_port = 6010-6020,6022,6024-6028
remote_port = 6010-6020,6022,6024-6028
use_encryption = false
use_compression = false

[dns]
type = udp
local_ip = 114.114.114.114
local_port = 53
remote_port = 6002
use_encryption = false
use_compression = false

[range:udp_port]
type = udp
local_ip = 127.0.0.1
local_port = 6010-6020
remote_port = 6010-6020
use_encryption = false
use_compression = false

# 将域名解析到 [server_addr] 可以使用 http://web01.yourdomain.com 访问 web01
[web01]
type = http
local_ip = 127.0.0.1
local_port = 80
use_encryption = false
use_compression = true

# http 协议认证
http_user = admin
http_pwd = admin

# 如果服务端域名为 frps.com, 可以通过 http://test.frps.com 来访问 
[web01] 
subdomain = web01
custom_domains = web02.yourdomain.com

# locations 仅可用于HTTP类型
locations = /,/pic
host_header_rewrite = example.com
# params with prefix "header_" will be used to update http request headers
header_X-From-Where = frp
health_check_type = http

# frpc 将会发送一个 GET http 请求 '/status' 来定位http服务
# http 服务返回 2xx 状态码时即为存活
health_check_url = /status
health_check_interval_s = 10
health_check_max_failed = 3
health_check_timeout_s = 3

[web02]
type = https
local_ip = 127.0.0.1
local_port = 8000
use_encryption = false
use_compression = false
subdomain = web01
custom_domains = web02.yourdomain.com
# v1 或 v2 或 空
proxy_protocol_version = v2

[plugin_unix_domain_socket]
type = tcp
remote_port = 6003
plugin = unix_domain_socket
plugin_unix_path = /var/run/docker.sock

[plugin_http_proxy]
type = tcp
remote_port = 6004
plugin = http_proxy
plugin_http_user = abc
plugin_http_passwd = abc

[plugin_socks5]
type = tcp
remote_port = 6005
plugin = socks5
plugin_user = abc
plugin_passwd = abc

[plugin_static_file]
type = tcp
remote_port = 6006
plugin = static_file
plugin_local_path = /var/www/blog
plugin_strip_prefix = static
plugin_http_user = abc
plugin_http_passwd = abc

[plugin_https2http]
type = https
custom_domains = test.yourdomain.com
plugin = https2http
plugin_local_addr = 127.0.0.1:80
plugin_crt_path = ./server.crt
plugin_key_path = ./server.key
plugin_host_header_rewrite = 127.0.0.1

[secret_tcp]
# 如果类型为 secret tcp, remote_port 将失效
type = stcp
# sk 用来进行访客认证
sk = abcdefg
local_ip = 127.0.0.1
local_port = 22
use_encryption = false
use_compression = false

# 访客端及服务端的用户名应该相同
[secret_tcp_visitor]
# frpc role visitor -> frps -> frpc role server
role = visitor
type = stcp
# 要访问的服务器名称
server_name = secret_tcp
sk = abcdefg
# 将此地址连接到访客 stcp 服务器
bind_addr = 127.0.0.1
bind_port = 9000
use_encryption = false
use_compression = false

[p2p_tcp]
type = xtcp
sk = abcdefg
local_ip = 127.0.0.1
local_port = 22
use_encryption = false
use_compression = false

[p2p_tcp_visitor]
role = visitor
type = xtcp
server_name = p2p_tcp
sk = abcdefg
bind_addr = 127.0.0.1
bind_port = 9001
use_encryption = false
use_compression = false

frp下载安装与使用

原项目地址：https://github.com/fatedier/frp/releases
改造后的frp（不需要配置文件）：https://github.com/uknowsec/frpModify

端口转发服务

实验环境
#frps服务端
kali：192.168.101.129
#frpc客户端
win7：192.168.101.134，10.10.10.250

frps服务端设置
配置frps.ini文件

[common]
# 客户端和服务端连接的端口
bind_port = 7000
# 客户端和服务端连接的口令
token = 123

运行开启监听
./frps -c ./frps.ini
也可以使用nohup命令将其运行在后台 —— nohup ./frps -c frps.ini &
在这里插入图片描述
frpc客户端设置
服务端监听成功之后，目标内网设备执行frp进行主动连接。编辑frpc.ini，修改配置

[common]
#服务端IP
server_addr = 192.168.101.129 
#服务端端口
server_port = 7000          
#token值
token = 123

[rdp]
type = tcp
local_ip = 127.0.0.1
local_port = 3389  //客户端3389端口服务映射到服务端6000端口
remote_port = 6000

运行连接
frpc.exe -c frpc.ini
在这里插入图片描述
建立连接

通过配置已经将内网的3389端口转发到vps的6000端口。此时远程连接vps的6000即可远程连接内网的3389主机

内网穿透服务

实验环境
#frps服务端
kali：192.168.101.129
#frpc客户端
win7：192.168.101.134，10.10.10.250
win2012：10.10.10.253

frps服务端设置
配置frps.ini文件

[common]
# 客户端和服务端连接的端口
bind_port = 7000
# 客户端和服务端连接的口令
token = 123

运行开启监听
./frps -c ./frps.ini
也可以使用nohup命令将其运行在后台 —— nohup ./frps -c frps.ini &
在这里插入图片描述
frpc客户端设置
服务端监听成功之后，目标内网设备执行frp进行主动连接，编辑frpc.ini，修改配置

[common]
#服务端IP
server_addr = 192.168.101.129 
#服务端端口
server_port = 7000          
#token值
token = 123

[plugin_socks5]
type = tcp
remote_port = 6000
plugin = socks5 //sokcs5代理

运行连接
frpc.exe -c frpc.ini
在这里插入图片描述
建立连接之后，利用proxychians对内网域控进行tcp扫描，也可以使用proxifier或sockscap64走代理对内网的服务应用进行访问

以上既是frp基本功能，工具较强大，慢慢琢磨~
参考文章：
frp工具详解：https://mp.weixin.qq.com/s/ai8IFbSlr7gkLRj8xNaESg
frp多层socket代理：https://blog.csdn.net/weixin_45447309/article/details/106697369

GOT IT！

******************************************************
具体利用方式需根据具体实践场景~

想冲大厂的癞蛤蟆

关注

1
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
frp内网穿透工具的使用

目录frp工具介绍frp工具原理frp配置文件默认的frps.ini默认的frpc.inifrp下载安装与使用端口转发服务内网穿透服务FRP官方文档frp工具介绍为什么需要内网穿透？我们的物理机、服务器可能处于路由器后或者处于内网之中。如果我们想直接访问到内网设备的服务，一般来说要通过一些转发或者P2P(端到端)组网软件的帮助。对于FRP穿透工具来说，它具有端口转发及以外的功能，端口转发是只会进行单个端口的流量转发，但是这在渗透中往往是不行的，FRP可以进行内网的全流量的数据代理。frp介绍
复制链接

扫一扫