Open in app

Sign in

Write

Sign in

Hide C2 Server With Http Forwarders RedTeam

laluwan_w
2 min readNov 27, 2022

DISCLAIMER

Semua informasi yang tersedia di situs ini adalah untuk tujuan pendidikan saja bukan untuk berbuat kejahatan. Kami tidak bertanggung jawab atas penyalahgunaan informasi apapun. Kami tidak bertanggung jawab atas kerusakan langsung atau tidak langsung yang disebabkan karena penggunaan informasi yang disediakan di situs ini.

INTRODUCTION

Re-director atau traffic forwarder pada dasarnya adalah proksi antara server tim merah (katakanlah yang mengirim email phishing atau C2) dan korban — victim <> re-director <> team server

Mengaburkan server tim merah dengan menyembunyikan alamat IP-nya. Dengan kata lain — korban akan melihat lalu lintas yang berasal dari host re-director daripada server tim

Jika penanggap insiden mendeteksi aktivitas mencurigakan yang berasal dari redirector, itu dapat “dengan mudah” dinonaktifkan dan diganti dengan yang lain, yang “lebih mudah” daripada membangun kembali server tim.

Skenario : server C2 dengan ip 192.168.63.12 dan satu server yang akan di jadikan http forwarders dengan ip 192.168.63.14 dan target di sini dengan ip 192.168.63.2

GET STARTED

buat aturan di server dengan iptebles seperti di bawah..

iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.63.12:80
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -I FORWARD -j ACCEPT
iptables -P FORWARD ACCEPT
sysctl net.ipv4.ip_forward=1

=> server c2 akan mendengarkan di port 192.168.63.12:80 => redirector mendengarkan juga di port 192.168.63.14:80 => tuan rumah target dengan ip 192.168.63.2

Mari simulasikan shell terbalik yang disederhanakan dari sistem korban 192.168.63.2 ke sistem penyerang 192.168.63.12 menggunakan sistem redirector 192.168.63.14 kami sebagai proxy dan periksa lalu lintas yang melintasi kabel — jika redirector dipasang dengan benar, kita akan melihat bahwa sistem 192.168.63.2 dan 192.168.63.12 tidak akan berkomunikasi secara langsung — semua lalu lintas akan mengalir melalui kotak pada 192.168.63.14 dan 192.168.63.12 (sistem penyerang) tidak akan terlihat oleh korban 192.168.63.2 vidio seperti di bawah

ip 63.12(C2) tidak akan pernah berbicara dengan ip 63.2 (korban) sangat bagus di oprasikan untuk RedTeam

Pentesting
Hacker
Red Team
Metasploit Framework
Wireshark

--

--

laluwan_w

Written by laluwan_w

11 Followers

Tidak mempunyai latar belakang.

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams