突破边界:PortBender - TCP端口重定向利器
PortBenderTCP Port Redirection Utility项目地址:https://gitcode.com/gh_mirrors/po/PortBender
项目介绍
在红队行动中,PortBender是一个高效且灵活的TCP端口重定向工具,它允许操作员将流入特定端口(如445/TCP)的流量重定向到另一个端口(如8445/TCP)。这款工具特别为Cobalt Strike设计了一个侵略者脚本,但其实现方式为反射DLL,因此可以轻松地与任何支持“ReflectiveLoader”接口的C2框架集成。不仅如此,PortBender还提供了一种模拟Duqu 2.0威胁演员所使用的“PortServ.sys”后门持久化机制的方法。
技术分析
PortBender借助WinDivert库,利用Windows Filtering Platform (WFP)来拦截网络流量。其设计灵感源自DivertTCPConn工具,后者同样依赖于WinDivert库。通过这种方式,PortBender可以在不引起怀疑的情况下,透明地操纵网络通信流。
应用场景
-
重定向模式:在渗透测试中,你可以利用PortBender进行端口转发,例如将SMB流量(445/TCP)引导至一个监听恶意服务的端口(8445/TCP),这在实施SMB接力攻击时非常有用。
-
后门模式:模仿Duqu 2.0的后门行为,当接收到预设密码的特殊TCP包时,PortBender会将目标端口(如443/TCP)的所有连接重定向至另一个端口(如3389/TCP)。这对于创建隐蔽的持久化通道尤其有效,尤其是在互联网面对的IIS web服务器上。
项目特点
- 多功能性:PortBender提供了两种工作模式,适用于多种红队行动场景。
- 兼容性:不仅与Cobalt Strike无缝集成,还能与其他C2框架配合使用。
- 安全性:利用WFP进行流量捕获和重定向,以保持操作隐秘性。
- 可定制性:可以通过设置不同的目标端口和重定向端口,以及特殊的触发关键字,实现高度定制的重定向策略。
示例演示
PortBender的命令行界面清晰易懂,例如:
PortBender redirect 445 8445
:用于将所有流向445端口的请求转至8445端口。PortBender backdoor 443 3389 praetorian.antihacker
:创建一个后门,只有输入特定密钥的客户端才能触发从443端口到3389端口的重定向。
PortBender结合了创新的设计理念和实用的功能,是红队操作和渗透测试的得力助手,值得每一位安全专家深入了解和使用。
想要了解更多详情并获取PortBender,请参考以下链接:
加入PortBender的世界,让您的红队操作更加游刃有余!
PortBenderTCP Port Redirection Utility项目地址:https://gitcode.com/gh_mirrors/po/PortBender