1.8 使用SocksCap进行内网突破

端口映射功能用于将一台主机的“假”IP地址（内网IP地址）映射成一个“真”IP地址（外网独立IP地址），当用户访问提供映射的主机的某个端口时，服务器会将请求转到局域网中某台提供这种特定服务的主机上。利用端口映射功能，还可以将一台“真”IP地址计算机的多个端口映射成内部不同计算机上的不同端口。此外，端口映射功能可以完成一些特定的代理功能，例如代理FTP、POP、SMTP、Telnet等协议。一台主机理论上可以提供超过6万个端口用于映射。

端口映射分为动态和静态端口映射。静态端口映射就是在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网某个IP地址和端口，不管有没有连接，这个映射关系会一直存在。因此，可以让公网主机主动访问内网的一台计算机，NAT网关可以是交换机、路由器或其他拥有独立IP地址的计算机。动态端口映射是指当内网中的一台计算机要访问一个网站（例如新浪网）时，会向NAT网关发送数据包，包头中包括对方（就是新浪网）IP地址、端口和本机IP地址、端口，NAT网关会把本机IP地址、端口分别替换成自己的公网IP地址、一个未使用的端口，并记下这个映射关系，供以后转发数据包使用。然后，把数据发给对方，对方收到数据后作出反应，发送数据到NAT网关的那个未使用的端口，NAT网关将数据转发给内网中的那台计算机，实现内网和公网的通信。当连接关闭时，NAT网关会释放分配给这个连接的端口，以便以后的连接继续使用。动态端口映射其实就是NAT网关的工作方式。

目前，很多木马及专业软件都具有Socks代理功能。在肉机（具有外网独立IP地址的计算机）上安装木马或者这些软件后，肉机便具有代理功能了。使用SocksCap等代理软件可以很方便地突破内网，通过肉机访问内网中的计算机。

1.8.1 安装并运行SocksCap

本例使用的是sc32r238汉化版，其早期版本已经过期，不能使用。安装SocksCap后，会给出一个许可协议，在窗口中单击“接受”按钮即可接受该许可。

1.8.2 设置SocksCap

运行SocksCap，单击“文件”→“设置”选项，打开“SocksCap设置”窗口，在“SOCKS服务器”文本框中输入IP地址和端口，然后选中“SOCKS版本5”单选按钮，在“域名解析”设置区选中“先尝试由本地端再由远端解析”单选按钮，如图1-71所示，最后单击“确定”或者“应用”按钮完成设置。

图1-71 SocksCap设置

1.8.3 建立应用程序标识项

在SocksCap主窗口中单击“新建”图标，打开“新建应用程序标识项”窗口，在“标识项名称”文本框中输入一个标识名称，例如本例中的“3389”，然后选择一个应用程序，如图1-72所示，最后单击“确定”按钮，完成应用程序标识项的设置。

图1-72 建立应用程序标识项

说明

·建立应用程序标识项的目的就是在运行SocksCap后可以快速打开应用程序。新建应用程序标识项后，会将建立的“命令行”程序的图标自动添加到SocksCap的主窗口中，如图1-73所示。

图1-73 自动整理应用程序标识项

应用程序标识项中的“命令行”（应用程序）都是由SocksCap代理的，即“命令行”（应用程序）可以使用Socks代理。

1.8.4 运行“命令行”代理

单击“3389”应用程序标识项，打开远程终端连接界面，输入登录IP地址“192.168.80.129”后单击“连接”按钮，进行3389登录。在出现3389登录窗口后，输入用户名和密码，进入远程终端桌面，如图1-74所示。在该远程终端桌面打开命令提示符界面，输入“netstat-an”命令，可以看到该计算机的3389远程终端连接是该IP地址本身。

图1-74 使用SocksCap代理登录远程终端

1.8.5 总结与思考

借助SocksCap可以方便地进行内网的渗透。使用SocksCap的关键就是在肉机上搭建Socks服务器，如果未能在内网入口处搭建Socks代理服务器，仅通过使用一些Socks代理搜索软件搜索的Socks代理服务器的IP地址和端口是很难进入内网的。不过，好在目前很多木马程序都提供了Socks代理服务器功能，仅需在进行木马初始配置时设置Socks代理的端口和密码，在肉机上运行木马程序后，该肉机就成为Socks代理服务器了。