关于PortBenderPortBender是一个强大的TCP端口重定向工具,允许红队研究人员或渗透测试人员重定向一个TCP端口(例如445/TCP),将入站流量重定向到另一个TCP端口(例如8445/TCP)。PortBender项目包括一个渗透测试脚本,可帮助研究人员将该工具与CobaltStrike集成。然而,由于该工具是基于反射DLL实现的,因此它可以与任何支持通过“ReflectiveLoader”接口加载模块的C2框架集成。除此之外,该工具还允许研究人员模拟Duqu2.0恶意软件中“PortServ.sys”功能所利用的后门/持久性机制。工具机制PortBender使用WinDivert库来拦截网络流量,这也涉及到WindowsFilteringPlatform(WFP)。PortBender的设计深受DivertCpconn实用程序的启发,其功能是基于WinDivert库实现的。该工具使用PortBender提供两种运行模式,第一种是“重定向模式”,第二种是“后门模式”。在“重定向模式”下,任何指向目的端口(如445/TCP)的连接都会被重定向到我们指定的端口(如8445/TCP)。在“后门模式”下,我们只会将渗透测试人员发送的特定格式的TCP数据包转发到目标端口(例如443/TCP)。接下来,PortBender会将客户端IP地址添加到后门客户端列表中,并将发送到目标设备的所有网络流量重定向到其他端口(例如3389/TCP)。研究人员可以利用该机制模拟Duqu2.0恶意软件入侵卡巴斯基网络环境时使用的持久化技术。要执行PortBender,我们首先要在CobaltStrike中导入“PortBender.cna”脚本,将WinDivert32.sys或WinDivert64.sys文件导入“PortBender.zip”并上传到目标主机。PortBender使用示例和帮助菜单如下:beacon>helpPortBenderRedirectUsage:PortBenderredirectFakeDstPortRedirectedPortBackdoorUsage:PortBenderbackdoorFakeDstPortRedirectedPortPasswordExamples:PortBenderredirect4458445PortBenderbackdoor4433389praetorian.Antihacker工具使用示例来自一个“利用示例1重定向模式”,我们可能想使用对WindowsSMB中继系统进行攻击为此,我们可以指示PortBender将所有发往端口445/TCP的流量重定向到端口8445/TCP,这是渗透测试人员的SMB服务运行的地方。在下面的例子中,我们将运行以下命令来完成这个目标:PortBenderredirect4458445运行结果如下:例子2在下面的例子中,我们要在IISWeb服务器上部署一个隐藏的持久化机制。此时,我们将运行以下命令并通过控制后门服务将目标主机上任何IP(由“praetorian.antihacker”关键字定义的IP)的任何流量重定向到端口443/TCP到3389/TCP:PortBenderbackdoor4433389praetorian.antihacker命令结果如下:项目地址PortBender:[GitHubPortal]
