Kolejne zastosowanie
socata, który miał swój debiut w
aptm.in/protip/0013.
Tym razem dorzucamy opcję
pktinfo
, dzięki której będziemy mieli dostęp do kilku ciekawych zmiennych, np. do
$SOCAT_PEERADDR, w której znajdzie się adres IP, z którego pochodzi połączenie.
Nasłuchujemy na porcie
2048/TCP, jako drugą końcówkę tunelu definiujemy
SYSTEM:'cat > loots/tcp/$SOCAT_PEERADDR.$$.txt'
co spowoduje, że wszystko co przyjdzie na nasz port, na którym słuchamy, zostanie zapisane do pliku
loots/tcp/<ip_nadawcy>.<PID_procesu>.txt. Numer PID aktualnego procesu dostępny poprzez
$$ robimy po to, by zmniejszyć ryzyko nadpisania istniejących plików.
Dodajemy jeszcze parametr
-T 7
, dzięki któremu po 7 sekundach bezczynności na danym połączeniu zostanie ono zamknięte.
Red Teamom przyda się to oczywiście do przechwytywania eksfiltrowanych danych, natomiast dla
Blue Teamów i
Threat Hunterów, zwłaszcza z wykorzystaniem przekierowania portów z
aptm.in/protip/0010, może być to ciekawy elemnet w kontekście
honeypotów i
threatintelu.
Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.
