多层网络渗透与隧道搭建。当需要从 DMZ 跳转到内网、跨网段渗透、或目标在多层防火墙/网络分区后面时使用。覆盖代理搭建(frp/chisel/SSH)、多跳隧道链、端口转发、SOCKS 代理。从边界突破到域控的完整多层攻击路径
获取 DMZ 主机 Shell 后,立即收集网络信息:
ip addr && ip route && arp -a && cat /etc/hosts # Linux
ipconfig /all && route print && arp -a # Windows
关键判断:
for i in $(seq 1 254); do ping -c 1 -W 1 10.0.0.$i &>/dev/null && echo "10.0.0.$i alive"; done
fscan -h 10.0.0.0/24 -nopoc
目标出网情况?
├─ 可出网(有外网访问)
│ ├─ 有 SSH 凭据?→ SSH -D 1080(零部署,最简单)
│ ├─ 需要长期稳定?→ frp(断线重连)
│ └─ 快速部署?→ chisel(单二进制)
├─ 仅 HTTP 出网 → Neo-reGeorg HTTP 隧道
└─ 完全不出网 → SSH 反向隧道 / 在跳板上中转
所有工具的详细配置命令见 → references/tunnel-tools.md
| 场景 | 推荐工具 | 原因 |
|---|---|---|
| 有 SSH 凭据 | SSH 隧道 | 零部署,最简单 |
| 目标出网 + 长期使用 | frp | 最稳定,支持断线重连 |
| 目标出网 + 快速部署 | chisel | 单二进制,无配置文件 |
| 仅 HTTP 出网 | Neo-reGeorg | HTTP 隧道穿越防火墙 |
| 高性能需求 | ligolo-ng | TUN 接口,接近原生性能 |
通过代理进入内网后,按优先级:
internal-recon 技能ad-domain-attack 技能cred-spray 技能lateral-movement 技能-Pn -sT)proxychains curl 测试连通性再做大范围扫描autossh 或 frp 断线重连保持稳定