文章目录
一、环境准备：
二、工具：
三、概念：
四、学习目的：
五、SSH代理转发介绍：
六、SSH代理转发使用说明：
七、SSH代理转发：
1. 正向动态转发隧道：
1.1 场景：
1.2 网络拓扑图：
1.3 说明：
1.4 实验过程：
一、环境准备：
  准备一台CentOS主机，并为CentOS主机添加一张网卡，并为它配置为处于内网环境。以下是网上配置过程：

1、添加网卡：

2、查看新添加的网卡mac地址:

3、找到新添加的网卡mac地址对应的是哪张网卡：

4、配置网卡：
命令：

cd /etc/sysconfig/network-scripts
su root # 切换root权限，后面复制文件和修改配置文件需要管理员用户
cp ifcfg-eth0 ifcfg-eth1 # 为了方便修改，直接复制ifcfg-eth0并重命名为ifcfg-eth1，直接修改里面的内容即可。
vim ifcfg-eth # 修改配置文件内容
1
2
3
4

切换root权限，后面复制文件和修改配置文件需要管理员用户：

DEVICE=eth1 # 这里为新添加的网卡的名称
TYPE=Ethernet
UUID=17f53bde-1a65-4f3d-aa20-73c78aba6728
ONBOOT=yes # yes为启用网卡
BOOTPROTO=static # static为获取IP的方式为静态IP
HWADDR=00:0C:29:ED:75:76 # 新添加的网卡的MAC地址
IPADDR=172.16.10.12 # 设置新添加网卡的静态IP
PREFIX=24 # 设置子网掩码，24为255.255.255.0
1
2
3
4
5
6
7
8

5、重启网卡：
命令：

重启网卡命令，以下两个命令都可以重启网卡服务：

service network restart
/etc/init.d/network restart
1
2
3

可以看到，配置已经修改成功：

二、工具：
SSH远程管理客户端（finalshell/Xshell）
proxifier代理工具客户端
CMD命令行

三、概念：
  内网渗透不光只是反弹一个shell，反弹一个端口，我们更需要对内网进行更深一步的扫描和渗透，这时候就需要找到一个代理服务器，充当外网和内网数据转发的节点，通过这个被我们控制的服务器，把所在网段的流量转发到公网(互联网)。
  所以出现了反弹代理,也叫反弹socket。

四、学习目的：
  在我们进行渗透测试过程中，获得了目标服务器的getshell权限后，要对内网其它服务器或者主机进一步渗透；这样的话，需要对其他主机进行信息收集，端口、服务探测及漏洞扫描等操作。
  进行这样操作，只进行反弹shell和端口转发已经不能满足需求，需要进一步进行反弹代理，通过我们控制的目标服务器，把目标服务器作为代理服务器，充当外网和内网数据转发的节点，把所在内网网段的流量引出到公网，这样的话，就方便我们对目标服务器所在内网网段的其他主机进行探测及漏洞利用了。

五、SSH代理转发介绍：
  (1)在内网中几乎所有得Linux/Unix服务器或个人机器都支持SSH协议，在使用的过程中可直接使用内网主机自带的SSH服务，不必再重新上传其他软件或者依赖，减少了被管理员发现的几率。
  (2)一般情况下SSH协议是被允许通过防火墙和边界设备的，同时SSH的协议传输过程是加密的，防火墙以及其他的安防设备很难区分正常的SSH会话与非法的SSH会话。因此可利用SSH可以突破防火墙的限制，建立之前一些无法建立的TCP连接。

六、SSH代理转发使用说明：
-C:压缩传输，提高传输速度。
-f:将SSH传输转入后台执行，不占用当前shell
-N:建立静默连接（建立了连接但看不到具体会话）
-g:允许远程主机连接本地用于转发的端口。
-L:本地端口转发
-R:远程端口转发
-D：动态转发（SOCKS代理）
-P:指定SSH端口
1
2
3
4
5
6
7
8
七、SSH代理转发：
1. 正向动态转发隧道：
1.1 场景：
  在我们做测试过程中，获得对方了的ssh用户名密码，我们可以通过ssh进行代理转发。

1.2 网络拓扑图：
角色 系统 网卡 IP(网段)
攻击机 windows10虚拟机 NAT 192.168.100.170
被控主机1 CentOS6.5虚拟机 NAT
VMnet1 192.168.100.172
172.16.10.12
内网主机 windows03虚拟机 VMnet1 10.1.1.2

1.3 说明：
  正向代理是服务器开放监听端口，客户端(攻击者)主动连接服务器的端口。
  适用于被控服务器拥有一个公网IP。

1.4 实验过程：
1、使用动态转发的方式主动连接【被控主机】SSH，在攻击者本地监听7000端口用于接收【被控主机】的代理流量：
命令：

ssh -CfNg -D 7000 root@192.168.100.172
-C:压缩传输，提高传输速度。
-f:将SSH传输转入后台执行，不占用当前shell
-N:建立静默连接（建立了连接但看不到具体会话）
-g:允许远程主机连接本地用于转发的端口。
-D：动态转发（SOCKS代理）
1
2
3
4
5
6

2、使用proxifier代理工具客户端连接本地监听的7000端口，这里是通过ssh代理的方式，连接到远程主机，然后将远程主机的流量转发到本地的7000端口：

3、在攻击机上面连接第二级内网被控主机所在内网段的内网主机172.16.11：

文章知识点与官方知识档案匹配，可进一步学习相关知识
————————————————

                        版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

原文链接：https://blog.csdn.net/weixin_45588247/article/details/120412324