实验环境:
攻击机：kali 192.168.144.217
靶 机:
外网机： 外网网卡：192.168.144.147 内网网卡：192.168.52.143
域控：192.168.52.138
内网机win7：192.168.52.99

Metasploit内网代理

路由转发

普通转发

使用模块

可以使用post/multi/manage/autoroute模块进行路由转发

socks+proxychains

使用路由转发，只能代理metasploit的流量，即只能使用metasloit的命令。若要设置攻击机全局代理，使用kali所有的工具，可以使用socks+proxychains的方式。
proxychains负责指定哪些命令通过指定的端口发出，socks负责监听该端口，使得该端口流量中去往内网网段的流量走设定路由。
查看公网靶机存在的其他网段：

添加路由。注意在meterpreter和metasploit中添加路由的命令有区别。
获取目标内网相关信息
run get_local_subnets
–>获取被攻击目标内网地址网段
run autoroute -s 192.168.1.0/24
–>扫描有效网卡的整个C段的信息
run autoroute -p
–>查看域环境
use incognito
–>调用劫持域管理模块
list_tokens -u
添加去往目标网段的转发路由
run autoroute –s <目标内网地址网段>
查看路由添加情况
run autoroute -p

使用auxiliary/server/socks4a模块，设置监听端口，通过该端口的去往192.168.52.0/24网段的流量会走Session 1路由。
socks4与socks5的异同：socks4和socks5都基于sock5协议。socks4代理只支持TCP应用，而socks5支持TCP、UDP两种应用，以及身份验证机制、服务器端域名解析等。

kali一般自带proxychains,若没有，可以使用sudo apt install proxychains命令进行安装。之后 vim /etc/proxychains.conf 修改配置文件，在[ProxyList]中添加socks4 攻击机IP 代理端口。

使用proxychains+命令，指定命令通过代理端口发出。如图，metasploit之外的命令也可以访问到内网主机。

NPS内网代理

在攻击机上启动NPS服务器端，新建一个客户端。新建完成后会获得一个命令。将NPS客户端文件传至靶机，并执行命令（windows系统去掉命令前的“./”）。查看客户端状态，变为“在线”。

新增一个“TCP”隧道。客户端ID填写新建客户端的ID,服务器端口填写攻击机任意未占用端口，目标填写“内网主机IP:内网主机开放服务的端口”。

访问攻击机IP及攻击机代理端口，即可访问对应的内网机服务。