lcx iptables rinetd 三個埠轉發流量分析

martinding發表於2022-11-17

lcx iptables rinetd 三個埠轉發流量分析

 

lcx

環境搭建

本機 :192.168.0.52
win7 : 192.168.0.247 10.0.0.3
win10: 10.0.0.10

命令以及操作

win7

1
Lcx.exe   -listen   7777  4444

圖片描述

 

 

 

win10

1
Lcx.exe  -slave  10.0.0.3  7777  127.0.0.1  3389

圖片描述

 

 

最後使用遠端控制軟體連線

連的是192.168.0.247的4444 埠
圖片描述
圖片描述
 
圖片描述
 
圖片描述
實際是內網的10.0.0.10

 

 

抓流量分析

中間的win7 無法使用wireshark,就不抓包了,分別抓主機和被控端。
圖片描述
 

內網靶機流量分析

會有兩個ip,其中有兩個埠 ,埠轉發的埠和系統自動獲取的埠
圖片描述
圖片描述
圖片描述
圖片描述

 

存在大量tcp windows update包
 
圖片描述

 

 

攻擊機流量分析

圖片描述
訪問的是4444埠
圖片描述
 
流量過程是攻擊者使用跳板機,把靶機上的3389埠對映到代理機上的7777埠,然後再把代理機的的7777埠對映到代理機的4444埠,就像擊鼓傳花,這一直接攻擊者訪問可以控制的內網的3389埠。

 

 
圖片描述

 

 
 

iptables

 

環境搭建

 
將本機的埠轉發到其他伺服器

 

客戶機:192.168.153.52 172.20.0.2
伺服器:192.168.153.245 10.0.0.2 172.18.0.2
真正的內網伺服器:10.0.0.3 172.16.0.10
192.168.20.100
把伺服器的6666埠轉發到內網伺服器上的80埠。

 

 
圖片描述
 

1
2
3
4
5
6
7
8
[root@client 桌面]# iptables -t nat -A PREROUTING -p tcp --dport 6666 -j DNAT --to-destination 10.0.0.3:80
 
//具體命令
iptables -t nat -A PREROUTING -p tcp --dport 6666 -j DNAT --to-destination 192.168.20.100
 
[root@client 桌面]# iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.3 --dport 80  -j SNAT --to-source 10.0.0.2
//具體命令
iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.3 --dport 80  -j SNAT --to-source 10.0.0.2

 
圖片描述

 

 

流量分析

圖片描述
 
圖片描述

 

 
 

rinetd

 

環境配置

 
wget http://www.rinetd.com/download/rinetd.tar.gz
本機:192.168.0.187
kali:192.168.0.52 10.0.0.2
內網win10: 10.0.0.10

 

 

操作及命令

kali上操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
wget http://www.rinetd.com/download/rinetd.tar.gz
tar -zvxf rinetd.tar.gz
#下載解壓
ls
cd rinetd
ls
make
ls
#編譯安裝後會出現一個rinetd可執行指令碼
 
vim rinetd.conf                #新建一個需要的配置檔案
cat rinetd.conf
0.0.0.0 3389 10.0.0.10 3389
 
./rinetd -c rinetd.conf
netstat -anpt |grep 3389            #看看指令碼是否正常執行
 
 
ifconfig

 
圖片描述
 
圖片描述
 
圖片描述
 
 

實驗結果

 
圖片描述
 
圖片描述
 
圖片描述

流量分析

最後一個流量分析忘記了,使用wireshark,跟蹤對應的ip和埠很快就能找出關係了。

相關文章