web滲透，獲取到了服務(wù)器的webshell權(quán)限，但是還有沒(méi)有其他的操作呢？

是，或者，否呢？

一、交代場(chǎng)景

記得在上大學(xué)那會(huì)就接觸了黑客技術(shù)，仗著初生牛犢不怕虎的無(wú)知精神，給很多網(wǎng)站上傳了很多菜刀小馬，玩的很開(kāi)心.

msf一套走，那會(huì)以為只有獲取到了webshell，我就有了服務(wù)器的權(quán)限，回想起來(lái)，只能說(shuō)一句，太年輕了。

那會(huì)并沒(méi)有意識(shí)到這個(gè)嚴(yán)肅的問(wèn)題，只是獲取到了這個(gè)web站點(diǎn)的權(quán)限，后面有人問(wèn)，3389可以使用嗎？

處于內(nèi)網(wǎng)的機(jī)器，也就是這臺(tái)掛載有網(wǎng)站站點(diǎn)的服務(wù)器能不能遠(yuǎn)程呢？

當(dāng)然了，答案是肯定的，lcx內(nèi)網(wǎng)轉(zhuǎn)發(fā)。

二、LCX

我們先來(lái)了解一個(gè)問(wèn)題，NAT映射，這個(gè)有點(diǎn)頭疼，對(duì)于做網(wǎng)絡(luò)的工程師來(lái)說(shuō)，倒是很常見(jiàn)。

先來(lái)看下面這段。

NAT:Network Address Translation,翻譯過(guò)來(lái)就是網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議。

什么意思呢？

來(lái)看一個(gè)操作。

·       打開(kāi)你的命令行輸入ipconfig查詢(xún)你的Ip地址

·       打開(kāi)百度，輸入Ip查詢(xún)，查詢(xún)你的ip地址

ipconfig：

瀏覽器：

朋友們，看見(jiàn)沒(méi)有，地址不一樣哎。

發(fā)現(xiàn)了吧！同一臺(tái)機(jī)器居然呈現(xiàn)出兩個(gè)不一樣的地址，但是眾所周知，每個(gè)主機(jī)一般只有一個(gè)地址，不要抬杠，我知道服務(wù)器可以配置多個(gè)IP地址，電腦可以配置多個(gè)IP地址。

反正不是這個(gè)意思，就是我要表達(dá)的那個(gè)意思，只有一個(gè)地址，懂了吧！

網(wǎng)絡(luò)被分為私網(wǎng)和公網(wǎng)兩個(gè)部分，NAT網(wǎng)關(guān)設(shè)置在私網(wǎng)到公網(wǎng)的路由出口位置，雙向流量必須都要經(jīng)過(guò)NAT網(wǎng)關(guān)。

這個(gè)就要提到公網(wǎng)IP和私網(wǎng)IP地址了，公網(wǎng)IP地址是Internet連接使用,私網(wǎng)IP地址一般不會(huì)對(duì)外傳播，所以相對(duì)是安全的。

說(shuō)這么多，就想表達(dá)一個(gè)意思，你在公網(wǎng)看到的域名地址是做過(guò)nat轉(zhuǎn)換的，所以你看到的web站點(diǎn)是被映射以后的地址.

你通過(guò)滲透獲取到了webshell，但是你并不能開(kāi)啟遠(yuǎn)程3389端口，所以這時(shí)候就需要上傳一個(gè)LCX，端口轉(zhuǎn)發(fā)，把內(nèi)網(wǎng)服務(wù)器的3389端口映射到外網(wǎng)，這樣就可以開(kāi)啟3389遠(yuǎn)程登錄了。

三、實(shí)驗(yàn)

前提：已經(jīng)獲取到了服務(wù)器的webshell。

LCX命令解析

Lcx -Listen <監(jiān)聽(tīng)slave請(qǐng)求的端口(對(duì)應(yīng)slave的第二個(gè)參數(shù))> <等待連接的端口>

Lcx -slave <你的ip> <監(jiān)聽(tīng)端口(對(duì)應(yīng)listen的第一個(gè)參數(shù))> <目標(biāo)ip> <目標(biāo)端口>

所以既然我們只需要連接那臺(tái)服務(wù)器，我們只需要設(shè)置目標(biāo)ip參數(shù)為127.0.0.1就好了(127.0.0.1 Localhost即本機(jī))因?yàn)閯e忘了slave是在對(duì)面服務(wù)器執(zhí)行的。

當(dāng)然了這里補(bǔ)充一點(diǎn)目標(biāo)端口號(hào)是可以換的比如3306這樣你就可以連接對(duì)面的MySQL數(shù)據(jù)庫(kù)了。

有些人肯定要問(wèn)了如果把這個(gè)127.0.0.1換成其他的ip會(huì)怎么樣，如果你嘗試過(guò)了那么恭喜你發(fā)現(xiàn)了新功能，你可以訪(fǎng)問(wèn)更多的3389。

LCX實(shí)驗(yàn)流程

上傳一個(gè)lcx.exe到肉雞上，在終端輸入

這里意思就是將內(nèi)網(wǎng)192.168.10.3的3389端口轉(zhuǎn)發(fā)到外網(wǎng)113.47.x.x的51端口

然后再本機(jī)上（注意這里本機(jī)需要外網(wǎng)ip，否則會(huì)失敗）的終端輸入

這里意思是在本機(jī)上監(jiān)聽(tīng)51端口并連接到10000端口（可以用別的端口）

最后win+R，輸入mstsc打開(kāi)遠(yuǎn)程桌面，輸入127.0.0.1:10000就可以連接到肉雞了。

四、總結(jié)

端口轉(zhuǎn)發(fā)的時(shí)候需要一臺(tái)公網(wǎng)服務(wù)器，lcx是一款輕便的端口轉(zhuǎn)發(fā)工具，Lcx程序多用于被控制計(jì)算機(jī)處于內(nèi)網(wǎng)的時(shí)候，被控制機(jī)可能中了木馬程序。

雖然能夠進(jìn)行控制，但還是沒(méi)有使用遠(yuǎn)程終端登錄到本機(jī)進(jìn)行管理方便，因此在很多情況下，都會(huì)想方設(shè)法在被控制計(jì)算機(jī)上開(kāi)啟3389端口.

然后通過(guò)lcx等進(jìn)行端口轉(zhuǎn)發(fā)，進(jìn)而在本地連接到被控制計(jì)算機(jī)的遠(yuǎn)程終端并進(jìn)行管理和使用。

在沒(méi)有端口轉(zhuǎn)發(fā)的情況下外網(wǎng)主機(jī)是不能直接連接內(nèi)網(wǎng)主機(jī)的，但是lcx工具可以將內(nèi)網(wǎng)主機(jī)（出入內(nèi)網(wǎng)主機(jī)的需要能夠ping通互聯(lián)網(wǎng)）的某個(gè)端口抓發(fā)到外網(wǎng)的某個(gè)端口上面。

這樣的話(huà)處于外網(wǎng)的主機(jī)可以將映射到外網(wǎng)的端口再反彈到另一個(gè)外網(wǎng)的端口上面（用的最多的是3389），這樣我們就可以直接遠(yuǎn)程連接反彈的端口就可以與內(nèi)網(wǎng)主機(jī)進(jìn)行通信。

故內(nèi)網(wǎng)已經(jīng)打通，說(shuō)實(shí)話(huà)lcx的工具如同在路由器上面做了端口轉(zhuǎn)發(fā)。