Remote Port Forwarding

리모트 포트 포워딩은 내부망에 있는 비콘이 진단자 로컬로 접근해야 하는 상황에서 사용할 수 있는 포워딩 방식입니다.

그림에서 나오듯 내부망은 외부와 단절되어 있기 때문에 직접적인 통신으로는 접근이 불가능한 경우가 많습니다. 하지만 DMZ에 위치한 호스트를 거친다면 통신이 가능하기 때문에 피벗 호스트를 먼저 장악한 뒤 리모트 포트 포워딩을 통해 내부망의 트래픽을 로컬로 가져올 수 있습니다.

Windows 방화벽이 활성화되어 있을 때 허용되지 않는 포트에서 리스닝을 시도하는 것은 사용자에게 경고 메시지가 전달될 수 있습니다. 때문에 리모트 포트 포워딩 전 방화벽 허용 규칙을 생성한 뒤 실행하는 것이 좋습니다.

# 방화벽 허용
beacon> powershell New-NetFirewallRule -DisplayName "8080-In" -Direction Inbound -Protocol TCP -Action Allow -LocalPort 8080

# 비콘 8080 포트로 들어오는 트래픽을 진단 로컬 80 포트로 연결
beacon> rportfwd 8080 127.0.0.1 80

# 방화벽 삭제
beacon> powershell Remove-NetFirewallRule -DisplayName "8080-In"

# 방화벽 허용
beacon> powershell New-NetFirewallRule -DisplayName "8080-In" -Direction Inbound -Protocol TCP -Action Allow -LocalPort 8080

# 피벗 8080 으로 들어오는 트래픽을 진단 로컬 80 포트로 연결
ssh -R 127.0.0.1:8080:<Attacker IP>:80 user@<Target IP>
- Attacker IP : 0.0.0.0
- Target IP : 1.1.2.2

# 방화벽 삭제
beacon> powershell Remove-NetFirewallRule -DisplayName "8080-In"

PreviousProxyfier NextNTLM Relay

Last updated 20 hours ago

Was this helpful?