关注这个专栏的其他相关笔记：[内网安全] 内网渗透 - 学习手册-CSDN博客

0x01：问题导入

在前面几章中，笔者介绍了几种搭建内网隧道的方式，让我们的扫描器通过内网隧道能直接将攻击流量转入目标内网中，实验结果是欣喜的，我们能成功访问目标内网机器的指定服务。

但是，现在来了一个问题，你能访问目标内网机器（或者说你能用工具对目标内网机器发起扫描），但是你怎么上线一个纯内网（不出网）的机器呢？ 下面是一个配套的拓扑图：

具体一点，比如上图，你首先通过钓鱼拿下了机器 B，然后通过漏洞横向拿到了机器 C，此时发现了一个内网的核心机器 D，你要咋让它上线 VPS？机器 D 是纯内网机器，是不出网的，所以无法通过反向连接让它上线，那还有啥办法呢？这就是我们后面几章要学习的内容了，如何上线内网不出网机器！

0x02：问题分析

在解决上面这个问题前，我们先来解释几个名词：

• “上线”： 这里的上线是指把目标机器的控制权移交到 MSF 或者 CobaltStrike 上。

• ”不出网“： 不出网指不能访问互联网环境，一般分为两个情况

  • 情况一：纯内网环境，任何端口都不出网。

  • 情况二：只有特定的端口可以出网

• ”出网“： 这里的出网就是指能访问互联网环境，一般也分为两个情况

  • 情况一：所有端口（0 - 65535）都可以出网，比如我们个人机器。

  • 情况二：只有特定端口可以出网，比如阿里云的服务器。

• ”跳板机、中转机“： 指既能访问内网，又能访问公网的机器。

然后再解决几个疑问：

一台电脑是如何实现既能访问内网又能访问公网的呢？（跳板机、中转机）

一般是通过多网卡技术，一台机器中安装两张以上的网卡，一张用于访问内网，一张用于访问公网。我们后续上线内网不出网机器全靠这跳板机来助力。

如何寻找内网多网卡机器？（如何寻找跳板机？）

假设现在你通过内网扫描，扫描出了十几台机器，你如何从这几台机器里面找到带有多张网卡的机器？一台台拿下后通过 ipconfig 一个个看？不现实，哪有那么容易拿下那么多机器。

常见的方法是通过 RPC 协议，在未授权的情况下调用 oxid 接口，从而实现对内网多网卡机器的探测。（背着吧，笔者也不知道具体是啥，后面学了会补充在这里的）

本章的职责到此就结束了，引出一个问题 ”什么叫内网不出网机器”，同时对问题进行了一些简单的分析，那么从下一章开始，我们就要使用多种手法解决这个问题啦！