lcx iptables rinetd 三个端口转发流量分析

发布者:martinding
发布于:2022-11-17 11:28

lcx iptables rinetd 三个端口转发流量分析

 

lcx

环境搭建

本机 :192.168.0.52
win7 : 192.168.0.247 10.0.0.3
win10: 10.0.0.10

命令以及操作

win7

1
Lcx.exe   -listen   7777  4444

图片描述

 

 

 

win10

1
Lcx.exe  -slave  10.0.0.3  7777  127.0.0.1  3389

图片描述

 

 

最后使用远程控制软件连接

连的是192.168.0.247的4444 端口
图片描述
图片描述
 
图片描述
 
图片描述
实际是内网的10.0.0.10

 

 

抓流量分析

中间的win7 无法使用wireshark,就不抓包了,分别抓主机和被控端。
图片描述
 

内网靶机流量分析

会有两个ip,其中有两个端口 ,端口转发的端口和系统自动获取的端口
图片描述
图片描述
图片描述
图片描述

 

存在大量tcp windows update包
 
图片描述

 

 

攻击机流量分析

图片描述
访问的是4444端口
图片描述
 
流量过程是攻击者使用跳板机,把靶机上的3389端口映射到代理机上的7777端口,然后再把代理机的的7777端口映射到代理机的4444端口,就像击鼓传花,这一直接攻击者访问可以控制的内网的3389端口。

 

 
图片描述

 

 
 

iptables

 

环境搭建

 
将本机的端口转发到其他服务器

 

客户机:192.168.153.52 172.20.0.2
服务器:192.168.153.245 10.0.0.2 172.18.0.2
真正的内网服务器:10.0.0.3 172.16.0.10
192.168.20.100
把服务器的6666端口转发到内网服务器上的80端口。

 

 
图片描述
 

1
2
3
4
5
6
7
8
[root@client 桌面]# iptables -t nat -A PREROUTING -p tcp --dport 6666 -j DNAT --to-destination 10.0.0.3:80
 
//具体命令
iptables -t nat -A PREROUTING -p tcp --dport 6666 -j DNAT --to-destination 192.168.20.100
 
[root@client 桌面]# iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.3 --dport 80  -j SNAT --to-source 10.0.0.2
//具体命令
iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.3 --dport 80  -j SNAT --to-source 10.0.0.2

 
图片描述

 

 

流量分析

图片描述
 
图片描述

 

 
 

rinetd

 

环境配置

 
wget http://www.rinetd.com/download/rinetd.tar.gz
本机:192.168.0.187
kali:192.168.0.52 10.0.0.2
内网win10: 10.0.0.10

 

 

操作及命令

kali上操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
wget http://www.rinetd.com/download/rinetd.tar.gz
tar -zvxf rinetd.tar.gz
#下载解压
ls
cd rinetd
ls
make
ls
#编译安装后会出现一个rinetd可执行脚本
 
vim rinetd.conf                #新建一个需要的配置文件
cat rinetd.conf
0.0.0.0 3389 10.0.0.10 3389
 
./rinetd -c rinetd.conf
netstat -anpt |grep 3389            #看看脚本是否正常运行
 
 
ifconfig

 
图片描述
 
图片描述
 
图片描述
 
 

实验结果

 
图片描述
 
图片描述
 
图片描述

流量分析

最后一个流量分析忘记了,使用wireshark,跟踪对应的ip和端口很快就能找出关系了。

累积更新 安全研究 基础知识 网络安全
声明:该文观点仅代表作者本人,转载请注明来自看雪