alphasec academy

socat -T 7 TCP-LISTEN:2048,pktinfo,fork,reuseaddr SYSTEM:'cat > loots/tcp/$SOCAT_PEERADDR.$$.txt' - uniwersalny listener

Dodatkowe informacje

Kolejne zastosowanie socata, który miał swój debiut w aptm.in/protip/0013. Tym razem dorzucamy opcję
pktinfo
, dzięki której będziemy mieli dostęp do kilku ciekawych zmiennych, np. do $SOCAT_PEERADDR, w której znajdzie się adres IP, z którego pochodzi połączenie.
Nasłuchujemy na porcie 2048/TCP, jako drugą końcówkę tunelu definiujemy
        SYSTEM:'cat > loots/tcp/$SOCAT_PEERADDR.$$.txt'
co spowoduje, że wszystko co przyjdzie na nasz port, na którym słuchamy, zostanie zapisane do pliku loots/tcp/<ip_nadawcy>.<PID_procesu>.txt. Numer PID aktualnego procesu dostępny poprzez $$ robimy po to, by zmniejszyć ryzyko nadpisania istniejących plików.
Dodajemy jeszcze parametr
-T 7
, dzięki któremu po 7 sekundach bezczynności na danym połączeniu zostanie ono zamknięte.

Przykładowe zastosowania

Red Teamom przyda się to oczywiście do przechwytywania eksfiltrowanych danych, natomiast dla Blue Teamów i Threat Hunterów, zwłaszcza z wykorzystaniem przekierowania portów z aptm.in/protip/0010, może być to ciekawy elemnet w kontekście honeypotów i threatintelu.

Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.