当前位置 > 谷歌浏览器> 正文

基于FRP反向代理工具实现内网穿透

2023-10-01 15:00:58 谷歌浏览器 / 反向代理 / frp / frp内网穿透 / 端口转发 / 代理模式 /

前言

当我们拿下目标单位的一台外网服务器后，我们需要利用该外网服务器作为跳板机进行内网渗透。这时候谷歌浏览器如何安装内网，在跳板机上设立代理就很有必要了。上一篇文章中通过实际案例介绍了两种代理方式：

管理工具——直接设置HTTP隧道代理实现内网穿透：2021强网杯全国网络安全挑战赛；

建立代理实现内网穿透：内网穿透神器入门教程。

以上两种代理方式虽然都能达到内网穿透的目的，但代理质量相对不稳定，难以满足内网穿透的需求。本文将介绍一款专注于内网渗透的高性能反向代理应用——FRP。支持TCP、UDP、HTTP、HTTPS等多种协议，可以安全便捷地通过公网传递内网服务。网络IP节点的中转暴露于公网。

FRP反向代理

您可以在FRP官方中文文档中了解其功能和使用方法。

总之，FRP通过将frp服务器部署在具有公网IP地址的节点上，可以轻松地将内网服务渗透到公网，同时提供了很多专业的功能，包括：

1. 客户端与服务器通信支持TCP、KCP等协议。

2、使用TCP连接流式复用，在单个连接之间承载更多的请求，节省连接建立时间。

3.代理组之间的负载均衡。

4.端口复用，多个服务通过同一个服务器端口暴露。

5、原生支持多个客户端插件（静态文件查看、HTTP、SOCK5代理等），方便独立使用frp客户端完成某些任务。

6、高度可扩展的服务器端插件系统，方便您根据自身需求进行功能扩展。

7. 服务器和客户端 UI 页面。

内网环境搭建

本文将使用如下靶场环境，进行使用FRP工具进行内网渗透的实验演示：

基于FRP反向代理工具实现内网穿透-第1张图片-网盾网络安全培训

是的，以上环境是基于红日安全内网范围的环境。详情请参考红太阳安全内网域名渗透范围实战一。

https://bwshen.blog.csdn.net/article/details/118353886

1、由于虚拟机默认可以以host-only模式连接到物理机，因此在域控主机上，防火墙创建了以下入站规则，拒绝访问Win10物理机（禁止的IP为物理机的host-only IP）模式网卡网关192.168.52.1）：

基于FRP反向代理工具实现内网穿透-第2张图片-网盾网络安全培训

2、此时Win7跳板机访问80端口Web服务正常：

基于FRP反向代理工具实现内网穿透-第3张图片-网盾网络安全培训

3、但“外网”角色的Win10物理机无法正常访问Web服务：

基于FRP反向代理工具实现内网穿透-第4张图片-网盾网络安全培训

4. 同一个虚拟机与物理机有仅主机网络连接。由于没有防火墙策略，Win10物理机可以直接连接：

基于FRP反向代理工具实现内网穿透-第5张图片-网盾网络安全培训

以上是本次实验的演示环境。我的下一个目标是利用FRP反向代理工具让Win10物理机通过Win7跳板机的代理成功访问内网Web服务！

服务器配置

FRP代理工具可以直接下载：

https://github.com/fatedier/frp

基于FRP反向代理工具实现内网穿透-第6张图片-网盾网络安全培训

从下面的frp架构图可以看到frp的工作流程——在服务器上部署frps，在要访问的内网机器（或跳板机）上部署frpc，实现服务器对主机的反向代理，然后就可以实现通过访问服务器远程访问内网主机（或者使用跳板访问内网）：

基于FRP反向代理工具实现内网穿透-第7张图片-网盾网络安全培训

1、下载frp_0.37..tar.gz传输到VPS服务器并解压得到如下文件：

基于FRP反向代理工具实现内网穿透-第8张图片-网盾网络安全培训

关键文件如下：

├── frpc          #frp客户端执行程序├── frpc_full.ini ├── frpc.ini      #frp客户端配置文件├── frps          #frp服务端执行程序├── frps_full.ini├── frps.ini      #frp服务端配置文件└── LICENSE

2、frp服务默认不设置连接密码，frps.ini文件默认只设置端口：

基于FRP反向代理工具实现内网穿透-第9张图片-网盾网络安全培训

我们可以修改服务器配置文件frps.ini来配置代理连接密码，如下图：

基于FRP反向代理工具实现内网穿透-第10张图片-网盾网络安全培训

3、执行命令./frps -c ./frps.ini开始运行FRP服务：

基于FRP反向代理工具实现内网穿透-第11张图片-网盾网络安全培训

客户端配置

1、下载对应版本的FRP工具到Win7跳板机并解压。客户端配置文件frpc.ini初始参数如下：

基于FRP反向代理工具实现内网穿透-第12张图片-网盾网络安全培训

2、同样修改FRP客户端配置文件frpc.ini，设置服务器的IP地址、端口、连接密码：

基于FRP反向代理工具实现内网穿透-第13张图片-网盾网络安全培训

参数解释：

[common]server_addr = 104.168.***.*** #VPS服务器的 IPserver_port = 7000            #VPS服务器上设置的 FRP 服务绑定端口token = ftp1234               #VPS服务端设置的 FRP 服务连接密码
[socks5]      #这个是反向代理的名称，可以随意设置type = tcp    #socks5 是 TCP 协议的remote_port = 6666   #指定建立的反向代理的连接端口plugin = socks5      #指定建立 socks5 代理隧道use_encryption = trueuse_compression = true

3、接下来执行命令frpc.exe -c frpc.ini启动客户端：

基于FRP反向代理工具实现内网穿透-第14张图片-网盾网络安全培训

4、此时检查VPS服务器监听的7000端口是否已成功与客户端连接。同时，6666端口已开放，代理通道已建立：

基于FRP反向代理工具实现内网穿透-第15张图片-网盾网络安全培训

玻璃钢内网穿透

配置完FRP服务器和客户端并建立隧道后，我们就来见证如何使用FRP代理隧道穿透内网吧！

1、在Win10物理机的浏览器上设置如下代理：

基于FRP反向代理工具实现内网穿透-第16张图片-网盾网络安全培训

2、然后让Win10的谷歌浏览器的流量经过VPS建立的FRP代理访问内网域控主机的Web服务谷歌浏览器如何安装内网，成功实现内网穿透！

基于FRP反向代理工具实现内网穿透-第17张图片-网盾网络安全培训

返回VPS，还可以查看对应的流量转发信息：

基于FRP反向代理工具实现内网穿透-第18张图片-网盾网络安全培训

3、除了上面在浏览器中直接连接frp代理外，为了在实际渗透过程中将抓包测试与内网Web系统结合起来，还可以在浏览器中连接代理并设置流量通过frp服务器的代理。是的，如下图：

基于FRP反向代理工具实现内网穿透-第19张图片-网盾网络安全培训

4、此时上挂的代理就可以访问内网服务了：

基于FRP反向代理工具实现内网穿透-第20张图片-网盾网络安全培训

同时还可以捕获内网服务的数据包：

基于FRP反向代理工具实现内网穿透-第21张图片-网盾网络安全培训

至此，我们已经成功使用frp搭建代理隧道，实现内网穿透！

玻璃钢的先进用途

上面搭建的隧道用于将公网主机（本文指Win10物理机）的请求流量通过Win7跳板机直接转发到内网服务器，从而达到内网穿透的目的。

FRP反向代理还可以将内网主机的22、3389等端口转发到公网主机的指定端口，从而达到远程连接内网服务器的目的，如下图所示：

基于FRP反向代理工具实现内网穿透-第22张图片-网盾网络安全培训

相关使用请参考上文提到的FRP中文官方文档：，这里不再演示。

fscan内网神器

这里讲一些与本文标题无关的题外话……。在一次攻防演习中，看到同事使用fscan扫描内网服务。顺便结合靶场环境记录一下这个工具的使用方法。

Fscan工具的项目地址：，使用说明：

基于FRP反向代理工具实现内网穿透-第23张图片-网盾网络安全培训

可以直接下载：

基于FRP反向代理工具实现内网穿透-第24张图片-网盾网络安全培训

简单用法：

基于FRP反向代理工具实现内网穿透-第25张图片-网盾网络安全培训

让我们尝试一下这个工具，看看它是如何工作的！

1、获取Win7 的Shell：

基于FRP反向代理工具实现内网穿透-第26张图片-网盾网络安全培训

2.将.exe文件上传到机器：

基于FRP反向代理工具实现内网穿透-第27张图片-网盾网络安全培训

3、打开命令终端，执行命令.exe -h 192.168.52.0/24 -o .txt，检测内网信息：

基于FRP反向代理工具实现内网穿透-第28张图片-网盾网络安全培训

4.下载并打开程序执行结果.txt。您可以看到收集到的综合内网信息如下：

基于FRP反向代理工具实现内网穿透-第29张图片-网盾网络安全培训

附上所有结果：

192.168.52.138:445 open192.168.52.143:139 open192.168.52.138:88 open192.168.52.141:7001 open192.168.52.143:3306 open192.168.52.141:445 open192.168.52.143:445 open192.168.52.141:139 open192.168.52.138:139 open192.168.52.143:135 open192.168.52.141:135 open192.168.52.141:21 open192.168.52.143:80 open192.168.52.138:80 open192.168.52.141:8099 open192.168.52.141:7002 open192.168.52.138:135 open192.168.52.141:8098 openNetInfo:[*]192.168.52.143   [->]stu1   [->]192.168.52.143   [->]169.254.129.186   [->]192.168.92.130NetInfo:[*]192.168.52.138   [->]owa   [->]192.168.52.138[*] 192.168.52.143       __MSBROWSE__\STU1              Windows 7 Professional 7601 Service Pack 1[+] 192.168.52.143  MS17-010  (Windows 7 Professional 7601 Service Pack 1)NetInfo:[*]192.168.52.141   [->]root-tvi862ubeh   [->]192.168.52.141[*] WebTitle:http://192.168.52.141:7002 code:200 len:2632   title:Sentinel Keys License Monitor[*] 192.168.52.141       GOD\SNTL_ROOT-TVI86   [+] 192.168.52.138  MS17-010  (Windows Server 2008 R2 Datacenter 7601 Service Pack 1)[*] 192.168.52.138 [+]DC GOD\OWA               Windows Server 2008 R2 Datacenter 7601 Service Pack 1[+] 192.168.52.141  MS17-010  (Windows Server 2003 3790)[*] WebTitle:http://192.168.52.138     code:200 len:4      title:IIS7[*] WebTitle:http://192.168.52.141:8099 code:403 len:1409   title:The page must be viewed over a secure channel[*] WebTitle:http://192.168.52.143     code:200 len:21     title:phpStudy 探针 2014[+] ftp://192.168.52.141:21:anonymous

可以看到，扫描结果包括几大类信息：

1、扫描到的内网段中存活的主机IP和开放端口；

2、扫描到的内网段主机名称、MS17-010永恒之蓝等漏洞扫描结果（两台主机均存在该漏洞）；

3、扫描到的内网网段主机打开的Web服务的标题和端口地址！

这里我们验证扫描到的几个内网Web服务是否真实存在：

基于FRP反向代理工具实现内网穿透-第30张图片-网盾网络安全培训