前言
之前写了一篇搭建http隧道的文章,用来总结在不出网的情况下如何内网渗透。所以这里就再总结一下在出网的情况下用来内网穿透的好用工具。
frp
frp 简介
frp 使用go语言开发,是一款高性能的反向代理应用,可以轻松地进行内网穿透,对外网提供服务。frp支持 TCP、UDP、KCP、HTTP、HTTPS等协议类型。
frp 下载
https://github.com/fatedier/frp/releases?after=v0.31.0 下载amd文件,测试使用0.28.2版本
frp 配置文件
下载好后,先看一下frp的相关文件
服务段frps.ini
[common]
# 通用设置
bind_addr = 0.0.0.0
bind_port = 7000
# frp 监听地址
bind_udp_port = 7001
# 配置udp端口
kcp_bind_port = 7000
# 用于kcp协议的udp端口,如果未设置,则在frps中禁用kcp
proxy_bind_addr = 127.0.0.1
# 代理服务器绑定地址
vhost_http_port = 80
vhost_https_port = 443
# 配置http与https端口
dashboard_addr = 0.0.0.0
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = admin
# 配置dashboard以查看仪表盘与登陆信息
enable_prometheus = true
# 普罗米修斯运维服务
log_file = ./frps.log
# 日志路径
log_level = info
log_max_days = 3
# 日志信息和日志记录最大时间
disable_log_color = false
# 禁用日志颜色,默认值为false
detailed_errors_to_client = true
# 是否将错误信息发送到frpc。默认情况下true。
authentication_method = token
# 授权验证方式
authenticate_heartbeats = false
# 是否在发送到frp的心跳中包含身份验证令牌,默认false
authenticate_new_work_conns = false
# 是否在发送到frp的新工作连接中包含身份验证令牌。默认false
token = 12345678
# 秘钥
oidc_client_id =
# 用于在OIDC身份验证中获取令牌的客户端ID
oidc_client_secret =
# 用于在OIDC身份验证中获取令牌的客户端密码
oidc_audience =
# 指定OIDC身份验证中令牌的访问群体
oidc_token_endpoint_url =
# 如果AuthenticationMethod =="oidc",它将用于获取OIDC令牌
allow_ports = 2000-3000,3001,3003,4000-50000
# 允许的端口
max_pool_count = 5
# 仅允许frpc绑定您列出的端口
max_ports_per_client = 0
# pool_count的最大值
tls_only = false
# tlsonly指定是否仅接受TLS加密连接,默认false
subdomain_host = frps.com
# 当测试子域时,路由使用的主机
tcp_mux = true
# 使用tcp流多路复用,默认为true
[plugin.user-manager]
addr = 127.0.0.1:9000
path = /handler
ops = Login
# 插件管理
[plugin.port-manager]
addr = 127.0.0.1:9001
path = /handler
ops = NewProxy
# 插件管理
客户端frpc.ini
[common]
# 通用设置
server_addr = 0.0.0.0
server_port = 7000
# 服务端配置
http_proxy = http://user:passwd@192.168.1.128:8080
# 通过http代理或socks5代理连接frps
log_file = ./frps.log
# 日志路径
log_level = info
log_max_days = 3
# 日志信息和日志记录最大时间
disable_log_color = false
# 禁用日志颜色,默认值为false
token = 12345678
# 用于身份验证
admin_addr = 127.0.0.1
admin_port = 7400
admin_user = admin
admin_pwd = admin
# 通过api设置frpc控制台
pool_count = 5
# 连接将提前建立,默认值为零
tcp_mux = true
# 使用tcp流多路复用,默认为"true"
user = your_name
# 更改代理名称
login_fail_exit = true
# 第一次登录失败时是否退出程序,默认true
protocol = TCP
# 用于连接服务器的通信协议,支持tcp,kcp,websocket。默认tcp协议。
tls_enable = true
# 如果tls_enable为true,则frpc将通过tls连接frps
dns_server = 8.8.8.8
# 指定一个dns服务器,因此frpc将使用此服务器代替默认服务器
meta_var1 = 123
meta_var2 = 234
# 客户端的其他元信息
[ssh]
# 支持 tcp | udp | http | https | stcp | xtcp,默认为tcp
type = tcp
local_ip = 127.0.0.1
local_port = 22
# 限制此代理的带宽
use_encryption = false
# 对frps和frpc之间的消息进行加密,默认为false
use_compression = false
# 是否压缩,默认fasle
remote_port = 6001
# 设置远程监听端口
group = test_group
# 设置组
group_key = 123456
# 设置组密码
health_check_type = TCP
# frpc连接本地服务的端口以检测其健康状态
health_check_timeout_s = 3
# 设置检查连接超时时间
health_check_max_failed = 3
# 设置连续3次失败,则代理将从frps中删除
health_check_interval_s = 10
# 设置每10秒进行一次健康检查
meta_var1 = 123
meta_var2 = 234
# 每个代理的其他元信息
以下就是一些实例:
[ssh_random]
[range:tcp_port]
[DNS]
[range:udp_port]
[web01]
[web02]
frp使用
搭建socks5隧道
frps.ini
[common]
bind_addr = 0.0.0.0
# 绑定的ip,为本机
bind_port = 7000
# 绑定的端口
dashboard_addr = 0.0.0.0
# 管理地址
dashboard_port = 4000
# 管理端口
dashboard_user = root
# 管理的用户名
dashboard_pwd = 1qaz2wsx
# 管理用户的密码
token = 1qaz2wsx
# 客户端服务端连接的密码
heartbeat_timeout = 90
# 心跳超时时间
max_pool_count = 5
# 最大同时连接数
服务端运行命令
./frps -c frps.ini
image.png
frpc.ini
[common]
server_addr = 106.53.97.7
server_port = 7000
# 服务器绑定的端口
token = 1qaz2wsx
# 连接的密码
tls_enable = true
# 启用tls
pool_count = 5
protocol = tcp
# 协议类型
health_check_type = tcp
health_check_interval_s = 100
# 设置健康检查时间
[test]
remote_port = 2333
# 代理的端口
plugin = socks5
# 使用的协议
use_encryption = true
# 是否加密
use_compression = true
# 是否压缩
先对流量加密,再用TLS加密,保障传输安全。
客户端运行
./frpc -c frpc.ini
image.png
对应上面test设置的socks5代理。
image.png
使用SocksCap64设置firefox浏览内网网页。
image.png
这里的socks5代理没有设置用户名、密码。
如果设置,需要增加两个配置项。
plugin_user = cseroad
plugin_passwd = cseroad123
再推荐几个配置项
tls_enable = true # 从0.25.0版本开始 frp 支持通过 TLS 协议加密传输
use_encryption = true # 通信内容加密传输
use_compression = true # 是否压缩
wireshark抓取未配置这几项之前的通信流量。
image.png
可以显而易见看到来源地址,目的地址,通信的端口,以及正在访问的网页。
添加上面几项后,再次抓取数据包,可以看到通信内容已经加密。
image.png
防护手法:可以在流量设备上禁止gryphon协议,因为frp每次连接都会有gryphon协议的包去认证frp服务器。
搭建tcp隧道
frps.ini
[common]
bind_addr = 0.0.0.0
# 绑定的ip,为本机
bind_port = 7000
# 绑定的端口
dashboard_addr = 0.0.0.0
# 管理地址
dashboard_port = 4000
# 管理端口
dashboard_user = root
# 管理的用户名
dashboard_pwd = 1qaz2wsx
# 管理用户的密码
token = 1qaz2wsx
# 客户端服务端连接的密码
heartbeat_timeout = 90
# 心跳超时时间
max_pool_count = 5
# 最大同时连接数
frpc.ini
[common]
server_addr = 109.xxx.xxx.9
server_port = 7000
token = 1qaz2wsx
tls_enable = true
[test]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port = 33389
use_encryption = true
use_compression = true
访问公网的33389即可访问客户端的3389端口,完美实现端口转发。
image.png
补充:
linux后台运行
nohup ./frps -c frps.ini >/dev/null 2>&1 &
停止方式
ps -aux|grep frp| grep -v grep # 找到进程
kill -9 进程号 # 杀死进程
frp 的缺点是需要落地配置文件。
当然,uknowsec 大佬改造出了配置文件不落地的方案。https://github.com/uknowsec/frpModify
nps
nps简介
nps也是go语言编写,是一款强大的内网穿透工具。同样支持tcp、udp流量转发、内网http代理、内网socks5代理、p2p等,并带有强大的web管理端。比frp更强大。
nps下载
https://github.com/ehang-io/nps/releases/tag/v0.25.1 下载amd文件
nps配置
下载后查看一下文件目录。
server端
image.png
在nps目录下有一个nps可执行文件、conf配置目录和web网页目录,我们使用的时候只需要修改conf/nps.conf即可。
以下表格来源 官方文档
| 名称 | 含义 |
|---|---|
| web_port | web管理端口 |
| web_password | web界面管理密码 |
| web_username | web界面管理账号 |
| web_base_url | web管理主路径,用于将web管理置于代理子路径后面 |
| bridge_port | 服务端客户端通信端口 |
| https_proxy_port | 域名代理https代理监听端口 |
| http_proxy_port | 域名代理http代理监听端口 |
| auth_key | web api密钥 |
| bridge_type | 客户端与服务端连接方式kcp或tcp |
| public_vkey | 客户端以配置文件模式启动时的密钥,设置为空表示关闭客户端配置文件连接模式 |
| ip_limit | 是否限制ip访问,true或false或忽略 |
| flow_store_interval | 服务端流量数据持久化间隔,单位分钟,忽略表示不持久化 |
| log_level | 日志输出级别 |
| auth_crypt_key | 获取服务端authKey时的aes加密密钥,16位 |
| p2p_ip | 服务端Ip,使用p2p模式必填 |
| p2p_port | p2p模式开启的udp端口 |
| pprof_ip | debug pprof 服务端ip |
| pprof_port | debug pprof 端口 |
| disconnect_timeout | 客户端连接超时,单位 5s,默认值 60 |
client端
image.png
首先客户端有多个使用方式。
- 可以直接无配置文件使用
./npc -server=ip:port -vkey=web界面中显示的密钥
- 也可以注册到系统服务进行使用
如linux下
sudo ./npc install 其他参数(例如-server=xx -vkey=xx或者-config=xxx) 注册
sudo npc start 启动
sudo npc stop 停止
sudo npc uninstall 卸载
- 也可以配置文件进行是使用,这就类似frp了。
./npc -config=npc配置文件路径
查看npc.conf配置文件
| 名称 | 含义 |
|---|---|
| server_addr | 服务端ip/域名:port |
| conn_type | 与服务端通信模式(tcp或kcp) |
| vkey | 服务端配置文件中的密钥(非web) |
| username | socks5或http(s)密码保护用户名(可忽略) |
| password | socks5或http(s)密码保护密码(可忽略) |
| compress | 是否压缩传输(true或false或忽略) |
| crypt | 是否加密传输(true或false或忽略) |
| rate_limit | 速度限制,可忽略 |
| flow_limit | 流量限制,可忽略 |
再往下示具体模式进行配置。
具体参考官方文档
nps使用
server端启用nps
编辑nps.conf配置文件
appname = nps
#Boot mode(dev|pro)
runmode = dev
##bridge
#底层通信协议,默认tcp,可选用kcp协议
bridge_type=tcp
#底层通信端口,默认8024,如已被占用请指定其他端口
bridge_port=8024
bridge_ip=0.0.0.0
#当客户端以配置文件模式启动时会用到的验证密钥,可自行设置
public_vkey=cseroad
#web 控制台
web_host=10.xx.xx.7
web_username=cseroad
web_password=cseroad.com
web_port=18080
web_ip=0.0.0.0
启动nps
./nps start
image.png
访问18080端口,输入控制台用户密码,即可登录
image.png
搭建socks5隧道
新增一条客户端。
image.png
设置"不以配置文件运行",且压缩加密。
image.png
客户端运行web控制台给出的命令。
image.png
可以在无配置文件的情况下,上线成功。运行成功后status状态变为"online"
这时候就可以增加socks5代理。
image.png
这时候就可以使用SocksCap64 设置端口,以及basic权限认证的用户名密码。访问内网。
image.png
当然也可以选择加载npc.conf配置文件来运行npc,注意也要设置相对应的basic权限认证。
搭建tcp隧道
同样创建tcp隧道。
image.png
用mac的microsoft remote desktop 远程连接公网的33389即可。完美实现端口转发。
image.png
metasploit
metasploit作为红队神器,本身也有内网穿透的功能。
在获取session之后,可进行端口转发以及创建socks5隧道。
转发端口
portfwd用来转发单个端口
portfwd add -l 33389 –p 3389 -r 10.211.55.19
# 添加转发
portfwd delete -l 33389 –p 3389 -r 10.211.55.19
# 删除转发
portfwd list
# 列出当前转发的列表
portfwd flush
# 移除所有转发端口
创建socks5隧道
在有session基础上,先添加路由
run get_local_subnets
# 获取路由
run autoroute -s 10.211.55.0/24
# 添加路由
run autoroute -p
# 显示路由
image.png
再创建socks5隧道
use auxiliary/server/socks5
set srvhost 127.0.0.1
set srvport 1080
run
没有设置用户名和密码。
image.png
metasploit同时具有socks4和socks5两个模块。socks4只支持TCP协议,socks5支持TCP和UDP。
再使用proxychains命令进行代理访问
image.png
cobalt strike
cobalt strike也一样具有内网穿透的能力。同样首先需要一个beacon
image.png
端口转发
beacon自带了一个端口转发的命令rportfwd
rportfwd 本机端口 目标ip 目标端口
创建socks4隧道
选择SOCKS Server
image.png
image.png
可用来创建socks4隧道。
对应的代理也需要设置为socks4协议
image.png
可成功访问。
image.png
在创建成功后,可以使用"Proxy Pivots"代理metasploit走内网。
image.png
复制该命令到metasploit配置里。该设置为全局设置,一次设置,metasploit各个模块全部可用。
比如使用smb_login模块
setg Proxies socks4:172.16.252.11:1080 设置本地的msf走cs的socks4代理
setg ReverseAllowProxy true 建立双向通道
use auxiliary/scanner/smb/smb_version 探测smb版本
image.png
其余内网穿透工具,如ew、ngork因为实际应用、免杀性就不多记录了。
总结
- 实战时注意将通信流量进行加密、压缩
- 注意将socks5代理设置为认证状态
- 在使用tcp协议上进行加密、压缩还不行的情况下,不妨试一下kcp协议
参考资料
https://blog.arey.fun/archives/8/
https://whoamianony.top/2020/07/07/shen-tou-ce-shi/nei-wang-chuan-tou-gong-ju-frp-de-shi-yong/#toc-heading-5
网友评论