PortBender:一款功能强大的TCP端口重定向工具
发布时间:2025-09-24 点击:6
关于portbenderportbender是一款功能强大的tcp端口重定向工具,该工具允许红队研究人员或渗透测试人员将一个tcp端口(例如445/tcp)的入站流量重定向到另一个tcp端口(例如8445/tcp)。portbender项目包含了一个渗透测试脚本,可以帮助研究人员将该工具与cobalt strike进行集成。但是,由于该工具是基于一个反射型dll实现的,因此它可以通过“reflectiveloader”接口与支持加载模块的任何c2框架进行集成。除此之外,该工具还允许研究人员模拟duqu 2.0恶意软件中“portserv.sys”功能所利用的一个后门/持久化机制。
工具机制portbender利用了windivert库来拦截网络流量,其中还涉及到了windows filtering平台(wfp)。portbender的设计深受divertcpconn实用程序的启发,并且基于windivert库实现其功能。
工具使用portbender提供了两种操作模式,第一种为“重定向模式”,第二种为“后门模式”。在“重定向模式中”,任意指向目的端口(例如445/tcp)的连接都会被重定向至我们指定的端口(例如8445/tcp)。在“后门模式”下,我们只会将渗透测试人员发送的特定格式的tcp数据包转发至目标端口(例如443/tcp)。接下来,portbender会将该客户端ip地址添加进后门客户端列表中,并将所有发送给目标设备的网络流量重定向至其他的端口(例如3389/tcp)。研究人员可以利用这种机制来模拟duqu 2.0恶意软件在入侵卡巴斯基网络环境时所使用的持久化技术。
如需执行portbender,我们首先得在cobalt strike中引入“portbender.cna”脚本,并将windivert32.sys或windivert64.sys文件引入至“portbender.zip”然后上传至目标主机。portbender的使用样例和帮助菜单如下所示:
beacon>helpportbender redirectusage:portbenderredirectfakedstportredirectedport backdoorusage:portbenderbackdoorfakedstportredirectedportpassword examples: portbenderredirect4458445 portbenderbackdoor4433389praetorian.antihacker 工具使用样例 使用样例1比如说,我们可能希望以“重定向模式”来从一台被渗透的windows系统中执行smb中继攻击。为了实现这个目标,我们可以控制portbender将所有流向445/tcp端口的流量重定向到8445/tcp端口,而这个端口则运行的是渗透测试人员的smb服务。在下面这个例子中,我们将会运行如下所示的命令来完成这个目标:
portbenderredirect4458445运行结果如下所示:
使用样例2在下面这个例子中,我们希望在一台接入外网的部署iis web服务器上部署隐蔽持久化机制。此时,我们将运行下列命令,并通过控制后门服务来将目标主机上来源于任意ip(“praetorian.antihacker”关键字定义的ip)的任何流向443/tcp端口的流量重定向到3389/tcp:
portbenderbackdoor4433389praetorian.antihacker命令运行结果如下所示:
项目地址portbender:【github传送门】
原文地址:https://www.freebuf.com/articles/network/305106.html
APP开发行业的水有多深?
做网站费用都是由什么项目组成的
企业主页制作有哪些原则?该如何抓住用户的注意力?
SEO的垃圾链接的流言蜚语
网站建设公司:如何设计404页面
网站建设该如何进行策划,从哪些方面开始做起
负面SEO是什么?
想提高网站排名,收录问题很重要
工具机制portbender利用了windivert库来拦截网络流量,其中还涉及到了windows filtering平台(wfp)。portbender的设计深受divertcpconn实用程序的启发,并且基于windivert库实现其功能。
工具使用portbender提供了两种操作模式,第一种为“重定向模式”,第二种为“后门模式”。在“重定向模式中”,任意指向目的端口(例如445/tcp)的连接都会被重定向至我们指定的端口(例如8445/tcp)。在“后门模式”下,我们只会将渗透测试人员发送的特定格式的tcp数据包转发至目标端口(例如443/tcp)。接下来,portbender会将该客户端ip地址添加进后门客户端列表中,并将所有发送给目标设备的网络流量重定向至其他的端口(例如3389/tcp)。研究人员可以利用这种机制来模拟duqu 2.0恶意软件在入侵卡巴斯基网络环境时所使用的持久化技术。
如需执行portbender,我们首先得在cobalt strike中引入“portbender.cna”脚本,并将windivert32.sys或windivert64.sys文件引入至“portbender.zip”然后上传至目标主机。portbender的使用样例和帮助菜单如下所示:
beacon>helpportbender redirectusage:portbenderredirectfakedstportredirectedport backdoorusage:portbenderbackdoorfakedstportredirectedportpassword examples: portbenderredirect4458445 portbenderbackdoor4433389praetorian.antihacker 工具使用样例 使用样例1比如说,我们可能希望以“重定向模式”来从一台被渗透的windows系统中执行smb中继攻击。为了实现这个目标,我们可以控制portbender将所有流向445/tcp端口的流量重定向到8445/tcp端口,而这个端口则运行的是渗透测试人员的smb服务。在下面这个例子中,我们将会运行如下所示的命令来完成这个目标:
portbenderredirect4458445运行结果如下所示:
使用样例2在下面这个例子中,我们希望在一台接入外网的部署iis web服务器上部署隐蔽持久化机制。此时,我们将运行下列命令,并通过控制后门服务来将目标主机上来源于任意ip(“praetorian.antihacker”关键字定义的ip)的任何流向443/tcp端口的流量重定向到3389/tcp:
portbenderbackdoor4433389praetorian.antihacker命令运行结果如下所示:
项目地址portbender:【github传送门】
原文地址:https://www.freebuf.com/articles/network/305106.html
APP开发行业的水有多深?
做网站费用都是由什么项目组成的
企业主页制作有哪些原则?该如何抓住用户的注意力?
SEO的垃圾链接的流言蜚语
网站建设公司:如何设计404页面
网站建设该如何进行策划,从哪些方面开始做起
负面SEO是什么?
想提高网站排名,收录问题很重要
上一篇:如何提高网站的点击率?
下一篇:好的SEO标题怎么写?