ssh隧道的通讯过程是加密的，在内网渗透中，可以在一定程度上保护自己不被安全设备发现，以下介绍ssh隧道的3种工作模式。

1. 动态端口转发

本地监听一个端口，作为socks代理服务器传送流量。

image.png

• 环境：通过win7访问2003的web服务。
  2003，仅主机模式，192.168.10.134
  kali，桥接模式，10.32.17.237
  centos，桥接模式+仅主机模式，10.32.17.238+192.168.10.133
  win7，桥接模式，10.32.17.234
• kali上执行

ssh -CfNg -D 1080 coler@10.32.17.238 -p 22

image.png

• win7上配置socks代理：kali的ip/1080端口

image.png

• 此时win7可以访问2003的web服务了。

image.png

2. 本地端口转发

将一个远端机器能够访问到的地址和端口，映射为一个本地的端口。
本机侦听端口，访问转发到远程主机的指定端口。

image.png

• 环境：通过win7访问2003的web服务。
  2003，仅主机模式，192.168.10.134
  kali，桥接模式，10.32.17.237
  centos，桥接模式+仅主机模式，10.32.17.238+192.168.10.133
  win7，桥接模式，10.32.17.234
• 在kali上运行以下命令：

ssh -fCNg -L <listen port>:<remote ip>:<remote port> user@<ssh server> -p <ssh server port>
ssh -fCNg -L 4444:192.168.10.134:80 coler@10.32.17.238 -p 22

image.png

• 此时，在win7上访问kali的4444端口，相当于访问2003的80端口。

image.png

3. 远程端口转发

远程侦听端口，访问转发到本地主机的指定端口。

image.png

• 环境：通过2003访问win7的web服务。
  2003，仅主机模式，192.168.10.134
  kali，桥接模式，10.32.17.237
  centos，桥接模式+仅主机模式，10.32.17.238+192.168.10.133
  win7，桥接模式，10.32.17.234
• 在kali上执行：

ssh -fCNg -R <listen port>:<remote ip>:<remote port> user@<SSH server> -p <ssh server port>
ssh -fCNg -R 8080:10.32.17.234:80 coler@10.32.17.238 -p 22
注意需要配置centos的GatewayPorts yes

• 此时，在2003上访问centos的ip/8080端口，相当于访问win7的web服务。

image.png