2.6 隧道工冥

隧道工具是渗透测试中常用的工具，常见的隧道工具有基于Webshell的Socks5 代理工具、TCP端口转发工具、ICMP协议、DNS协议，在面对各种安全设备的“围追堵截”状况下可以灵活组合使用。下面重点介绍基于Webshell的代理工具：Suo5、Frp、Nps、Neo-reGeorg等。

1）Suo5

Suo5 采用Go语言编写，源代码发布到了Github开源平台（https://github.com/zema1/suo5）上，且作者编译了二进制文件放到Release中，只需下载相应系统版本的客户端即可执行，图2 8 显示了Suo5的用法及参数选项所表示的功能。

Suo5的服务端文件，如图2-9所示，包含“README.md”使用说明等。

2）Frp

Frp同样也是使用Go语言编写的代理软件（https://github.com/fatedier/frp），不过和Suo5 不同的地方在于Frp有自己的客户端，将客户端和配置文件放到目标主机上并执行，目标主机会根据配置文件连接到Frp的控制端并形成隧道链路，而攻击者只需连接到Frp服务端的指定端口即可通过服务端的转发形成网络隧道链路，Frp文件夹如图2-10所示，文件夹的内容包括一些客户端、服务端文件、编译文件等。

服务端和客户端都在“cmd”文件夹中，如图2-11所示，文件夹“frpc”中是客户端文件，文件夹“frps”中是服务端文件。

进入服务端“frps”文件夹使用“go build.”命令进行编译，得到如图2-12所示的二进制可执行文件“frps”。

执行“frps”的二进制程序，如图2-13所示，其使用默认配置，监听7000 端口。

客户端的配置相同，如图2-14所示，编译生成“frpc”可执行文件。

执行“./frpc”后，程序报错，如图2-15所示，提示需要配置文件，添加参数“-h”查看帮助信息。

配置文件可在开发者所提供的网站上找到，如图2-16所示，显示了“frpc.toml”文件的配置示例。

3）Nps

Nps代理工具同样采用Go语言编写（https://github.com/ehang-io/nps），相较于Frp其使用率并不高，但在可用隧道方式上Nps不输于其他工具。将源代码克隆到本地后，如图2-17所示，同样包含客户端（npc）和服务端（nps）的两个文件夹。

可进入“nps”目录，使用“go build.”编译“Web服务端”，如图2-18所示，初次编译Go程序会根据项目所需要的依赖自行下载。

如图2-19所示，编译完成后生成了新的二进制文件，可直接在命令行执行。

将编译好的二进制文件移动到上两层目录即“../../”后，在终端中同样进入上两级目录，然后执行二进制文件，如图2-20所示，可以看到在主机启用了http和https的监听，而Web管理端的界面在8080 端口。

配置文件详情请参考“conf”目录下的后缀为“.conf”的文件，如图2-21所示，可以看到“nps”服务端账号密码在配置文件中写入。

登录后的Nps服务端Web页面如图2-22所示，包括一些可视化图标等。

4）Neo-reGeorgNeo-reGeorg是一款比较稳定的Sock5 开源代理软件（https://github.com/Lcodes/Neo-reGeorg），该工具软件具有小巧、轻便、稳定性强的特点，在渗透进内网环境时被大量使用，如图2-23所示是其工具目录，包含各种环境的脚本文件。

使用时需先生成服务端文件，如图2 24所示，设置密码并生成脚本文件。然后根据目标能够执行的脚本语言将“neoreg servers”文件夹对应的脚本文件上传到目标服务器，使用“python neoreg.py -k密码-u连接地址url”进行连接即可。

上述工具在内网渗透中均被大量使用，且工具稳定性极佳，对近源渗透后期的内部打点具有重要作用。但是这些工具也存在一些缺点，例如Suo5 截至目前尚不支持PHP环境的代理，且在装有EDR终端管控软件的机器上执行Frp和Nps可能会被监控到，因为在国护行动和地市的护网行动中此类工具已经被安全厂商通过流量、行为等特征标记，要想更好地使用工具需要自行“魔改”二次开发。 DpZOOs7+Ai/MYzqxIZYg/RLhiGoV/TdMe8yovbnKc3Ei97U98bHdTUwD95dfkhjq