深入解析Socks5代理隧道

0x00 前言

在内网渗透中，攻击者通常通过控制内网主机，以跳板的形式进一步横向扩大攻击面。本文通过实际工具推荐与思路分享，旨在为初学者提供指引。

0x01 设置代理

首先，建立内网穿透代理隧道，将目标内网流量代理到本地，暂时成为目标内网的一部分。

1. 使用 frp 进行内网穿透，通过 socks5 代理实现流量代理。
2. 使用 Neo-reGeorg 或 reGeorg-master 生成代理脚本上传至 web 端，执行命令建立代理。

连接建立好的代理后，可使用 Proxifier 连接本地代理，实现对内网流量的访问。

0x02 横向移动

一. 常用方法

现代自动化横向移动工具提供了自动化爆破、指纹识别、网段存活检测、杀软绕过、目录扫描、提权等功能。

1. 使用 InScan 进行目录扫描、爆破、字典生成和指纹识别。
2. 使用 Viper 集成杀软绕过、内网隧道、文件管理等基础功能，具备自带的 Metasploit 模块。
3. 使用 fscan 进行主机存活探测、端口扫描、常见服务爆破、漏洞扫描等功能。

二. 信息收集

进行信息收集，包括本机信息和域内信息，通过探测、扫描和查询获得目标网络的详细信息。

判断是否存在域：

<code>ipconfig /all # 查询本地网络信息 systeminfo # 查询本机信息 net config workstation # 查询当前登录域</code>

• 域内存活主机探测：

1. 使用 netbios 快速探测内网。
2. 使用 nbtscan.exe 进行 netbios 探测。
3. 利用 arp、icmp 和 scanline 工具进行内网探测。

• 域内端口扫描：

1. 获取端口的 banner 信息。
2. 识别端口上运行的服务。
3. 使用 telnet 进行主机端口探测。

0x03 横向移动之凭证窃取

凭证窃取技巧

攻击者通过凭证窃取技巧实现内网横向移动，获取目标权限。

Mimikatz： 利用 Mimikatz 从 lsass.exe 进程中获取明文密码。

<code>mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"</code>

Procdump： 使用 Procdump 转储 lsass.exe 进程到本地，再使用 Mimikatz 抓取 hash。

<code>procdump64.exe -accepteula -ma lsass.exe lsass.dmp</code>

Getpass： 使用 Getpass 工具获取明文密码。

Powershell 脚本抓取： 利用 Powershell 脚本抓取密码，可使用 Get-PassHashes.ps1。

Sam 破解： 使用注册表离线导出 Hash，再使用 Mimikatz 或 impacket 解密。

进行内网横向移动时，要重点关注提权和权限维持，如组策略首选项提权、UAC 提权、计划任务提权等。

注意： 操作过程中应特别小心，确保符合法规和道德规范。遵循合法授权，仅在合法环境下测试和学习。