
PortBender实战解析5个关键场景下的TCP端口重定向应用技巧【免费下载链接】PortBenderTCP Port Redirection Utility项目地址: https://gitcode.com/gh_mirrors/po/PortBenderPortBender是一款强大的TCP端口重定向工具能够帮助红队操作员将入站流量从一个TCP端口如445/TCP重定向到另一个TCP端口如8445/TCP。它包含一个aggressor脚本可与Cobalt Strike集成由于采用反射DLL实现还能与任何支持通过ReflectiveLoader接口加载模块的C2框架配合使用。该工具利用WinDivert库和Windows过滤平台WFP拦截网络流量设计深受同样使用WinDivert库的DivertTCPConn工具影响。一、了解PortBender的两种核心工作模式PortBender主要有两种工作模式分别适用于不同的场景需求掌握它们的区别是灵活运用的基础。1.1 重定向模式Redirect Mode在重定向模式下任何连接到目标目的端口例如445/TCP的流量都会被重定向到另一个端口例如8445/TCP。这种模式操作简单直接适合需要将特定端口流量全部转移的场景。使用命令格式为PortBender redirect FakeDstPort RedirectedPort例如PortBender redirect 445 8445此命令会将所有发往445端口的流量重定向到8445端口。1.2 后门模式Backdoor Mode后门模式相对更具隐蔽性只有当攻击者向目标端口例如443/TCP发送经过特殊格式化的TCP数据包时流量才会被重定向。PortBender会将发送该特殊数据包的客户端IP地址添加到后门客户端列表中之后来自该IP地址到目标端口的所有流量都会被重定向到另一个端口例如3389/TCP。这种模式可用于模拟Duqu 2.0威胁 actor 使用的PortServ.sys持久化机制。使用命令格式为PortBender backdoor FakeDstPort RedirectedPort Password例如PortBender backdoor 443 3389 praetorian.antihacker只有提供了指定密码praetorian.antihacker的客户端IP地址其发往443端口的流量才会被重定向到3389端口。二、PortBender的快速上手与基础配置在使用PortBender之前需要完成一些必要的准备工作和基础配置以确保工具能够正常运行。2.1 环境准备步骤首先必须将PortBender.cna脚本导入Cobalt Strike。然后根据目标主机的操作系统架构将PortBender.zip中包含的WinDivert32.sys或WinDivert64.sys二进制文件上传到目标主机。这些驱动文件是PortBender实现流量拦截和重定向功能的关键组件。2.2 命令参数详解通过在beacon中输入help PortBender可以查看帮助菜单了解详细的命令使用方法。重定向模式的参数说明FakeDstPort要被监听并进行流量重定向的目标端口。RedirectedPort流量最终要被重定向到的端口。后门模式的参数说明FakeDstPort目标端口只有接收到特殊数据包才会触发重定向。RedirectedPort流量重定向的目标端口。Password用于验证客户端身份的密码只有提供正确密码的客户端才能触发重定向。三、5个关键场景下的实战应用技巧3.1 SMB中继攻击场景在进行SMB中继攻击时可以利用PortBender的重定向模式。例如从受感染的Windows系统执行SMB中继攻击可指示PortBender将所有发往445/TCP的流量重定向到运行攻击者SMB服务的8445/TCP端口。执行命令PortBender redirect 445 8445即可实现这样就能将目标系统的SMB流量引导至攻击者控制的服务为后续攻击创造条件。3.2 隐蔽持久化机制部署场景在受感染的面向互联网的IIS Web服务器上部署隐蔽持久化机制时后门模式是理想选择。运行命令PortBender backdoor 443 3389 praetorian.antihacker指示后门服务将来自提供指定关键词praetorian.antihacker的任何IP地址到443/TCP的连接重定向到受感染主机上的3389/TCP端口。这种方式能在不引起注意的情况下为攻击者提供长期的访问通道。3.3 规避端口过滤场景当目标系统存在端口过滤机制只允许特定端口的流量通过时可以使用PortBender将攻击流量重定向到允许通过的端口。例如若目标只开放了80端口可将攻击流量重定向到80端口从而绕过端口过滤限制。3.4 服务端口复用场景在某些情况下为了避免开放过多端口引起怀疑可以利用PortBender实现服务端口复用。比如将RDP服务3389端口的流量重定向到常用的443端口这样攻击者就可以通过443端口访问RDP服务降低被检测到的风险。3.5 复杂网络环境下的流量引导场景在复杂的网络环境中可能需要将特定来源或特定类型的流量引导至不同的处理端口。通过PortBender的灵活配置可以实现更精细的流量控制满足不同攻击场景的需求。四、PortBender的核心技术实现与优势PortBender的核心技术在于对WinDivert库的应用通过Windows过滤平台WFP拦截网络流量。在代码实现上其主函数根据不同的模式参数redirect或backdoor初始化不同的PortBender实例并启动。在处理数据包时会判断是否需要重定向对于后门模式还会验证密码等条件然后调用ProcessPacket函数进行数据包的处理和重定向操作。相比其他端口重定向工具PortBender具有以下优势支持两种工作模式适应不同场景需求。采用反射DLL实现可与多种C2框架集成。基于WinDivert库能高效地进行流量拦截和处理。五、使用注意事项与最佳实践在使用PortBender时需要注意以下几点确保上传与目标系统架构匹配的WinDivert驱动文件WinDivert32.sys或WinDivert64.sys。在使用后门模式时选择足够复杂的密码防止被未授权者利用。合理选择重定向的端口避免与系统现有服务端口冲突。使用过程中注意监控工具的运行状态及时发现并解决可能出现的问题。通过掌握以上内容你可以在不同的场景下灵活运用PortBender进行TCP端口重定向提升红队操作的效率和隐蔽性。无论是进行攻击测试还是安全研究PortBender都是一款值得深入学习和使用的工具。【免费下载链接】PortBenderTCP Port Redirection Utility项目地址: https://gitcode.com/gh_mirrors/po/PortBender创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考