lcx流量分析

环境搭建

本机 ：192.168.0.52
win7 ： 192.168.0.247 10.0.0.3
win10： 10.0.0.10

win7

Lcx.exe -listen 7777 4444

win10

Lcx.exe -slave 10.0.0.3 7777 127.0.0.1 3389

然后使用远程软件连接
连的是192.168.0.247的4444 端口

到达内网（内网：10.0.0.10）

抓流量分析

中间的win7 无法使用wireshark，就不抓包了，分别抓主机和被控端。

内网靶机流量分析

会有两个ip，其中有两个端口 ，端口转发的端口和系统自动获取的端口

除了传输数据的网络包，还有大量的心跳包




存在大量tcp windows update包

攻击机流量分析

访问的是4444端口

拓扑图：

总结：流量过程是攻击者使用跳板机，把靶机上的3389端口映射到代理机上的7777端口，然后再把代理机的的7777端口映射到代理机的4444端口，就像击鼓传花，这一直接攻击者访问可以控制的内网的3389端口，这就是端口转发的魅力。

iptables 流量分析

环境搭建

将本机的端口转发到其他服务器
客户机：192.168.153.52 172.20.0.2
服务器：192.168.153.245 10.0.0.2 172.18.0.2
真正的内网服务器：10.0.0.3 172.16.0.10
192.168.20.100
把服务器的6666端口转发到内网服务器上的80端口。

[root@client 桌面]# iptables -t nat -A PREROUTING -p tcp --dport 6666 -j DNAT --to-destination 10.0.0.3:80
iptables -t nat -A PREROUTING -p tcp --dport 6666 -j DNAT --to-destination 192.168.20.100
[root@client 桌面]# 
[root@client 桌面]# iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.3 --dport 80 -j SNAT --to-source 10.0.0.2

流量分析

访问192.168.0.245:6666 转发到10.0.0.3:80，实际上也是访问到内网的80端口

rinetd流量分析

环境搭建

下载地址：
wget http://www.rinetd.com/download/rinetd.tar.gz

网络拓扑
本机：192.168.0.187
kali：192.168.0.52 10.0.0.2
内网win10： 10.0.0.10

kali上操作

wget http://www.rinetd.com/download/rinetd.tar.gz
tar -zvxf rinetd.tar.gz
#下载解压
ls
cd rinetd
ls
make
ls
#编译安装后会出现一个rinetd可执行脚本

vim rinetd.conf    #新建一个需要的配置文件
cat rinetd.conf
0.0.0.0 3389 10.0.0.10 3389

./rinetd -c rinetd.conf
netstat -anpt |grep 3389   #看看脚本是否正常运行


ifconfig

远程连接内网服务器

通过端口转发跳板机远程连接内网服务



最后一个流量分析忘记了，使用wireshark，跟踪对应的ip和端口很快就能找出关系了。