# [Pivoting] Port forwarding

## Introduction

Dans le cas d'une compromission d'une infrastructure où une machine cible n'est pas directement accessible, il va falloir établir un **tunnel** entre vous et la machine cible en passant par une machine intermédiaire, qui a elle, accès à la machine cible.

On va devoir mettre en place un **reverse proxy** sur la machine intermédiaire pour pouvoir router les paquets sur la ou les machines cibles.

[![image.png](https://wiki.neopipe.fr/uploads/images/gallery/2023-10/scaled-1680-/biOimage.png)](https://wiki.neopipe.fr/uploads/images/gallery/2023-10/biOimage.png)

## SSH

Il est possible de faire du port forwarding avec le service SSH.

<p class="callout warning">La machine intermédiaire doit être munie d'un serveur SSH et vous devez avoir des accès SSH pour vous connecter dessus.</p>

#### Local port forwarding

[![image.png](https://wiki.neopipe.fr/uploads/images/gallery/2024-02/scaled-1680-/zKFimage.png)](https://wiki.neopipe.fr/uploads/images/gallery/2024-02/zKFimage.png)

```
ssh -L <LOCAL_PORT>:<DESTINATION_IP>:<DST_PORT> <REMOTE_USER>@<REMOTE_IP>
```

<p class="callout success">Vous devriez pouvoir accéder à votre service via **localhost:&lt;LOCAL\_PORT&gt;**</p>

<p class="callout info">**Le tunnel restera ouvert tant que la session SSH est active.**</p>

#### Remote port forwarding

[![Capture d’écran du 2024-02-06 21-03-23.png](https://wiki.neopipe.fr/uploads/images/gallery/2024-02/scaled-1680-/capture-decran-du-2024-02-06-21-03-23.png)](https://wiki.neopipe.fr/uploads/images/gallery/2024-02/capture-decran-du-2024-02-06-21-03-23.png)

```
ssh -R <LISTENER_PORT>:<DST_IP>:<DST_PORT> <LISTENER_USER>@<LISTENER_IP>
```

<p class="callout success">Cette commande exposera le service du **DST** sur le **LISTENER**.</p>

## Chisel

#### Prérequis

- Trouvez un port non utilisé (absent de cette liste) :

```bash
(netstat -punta || ss -n -t -p -u)
```

#### Installation

Voici le lien github de l'outil :

- [https://github.com/jpillora/chisel/](https://github.com/jpillora/chisel/)

Vous pouvez installer l'outil sur le poste intermédiaire si vous avez les droits **root** grâce à la commande suivante :

```bash
curl https://i.jpillora.com/chisel! | bash
```

Téléchargez le binaire (version 19.1) :

```bash
curl -O -L https://github.com/jpillora/chisel/releases/download/v1.9.1/chisel_1.9.1_linux_amd64.gz && gunzip chisel_1.9.1_linux_amd64.gz && mv chisel_1.9.1_linux_amd64 chisel && chmod +x chisel
```

#### Port forwarding

- Sur le <span style="text-decoration: underline;">pc intermédiaire</span>, lancez la commande suivante :

```bash
./chisel server -p <LISTENER_PORT>
```

- Puis sur le <span style="text-decoration: underline;">pc de l'attaquant</span>, exécutez la commande suivante :

```bash
./chisel client <LISTENER_IP>:<LISTENER_PORT> <LOCAL_PORT>:<TARGET_IP>:<TARGET_PORT>
```

<p class="callout success">Sur la machine de l'attaquant vous pourrez accéder au service via **localhost:&lt;LOCAL\_PORT&gt;**</p>

#### Reverse port forwarding

- Sur le <span style="text-decoration: underline;">poste de l'attaquant</span> :

```bash
./chisel server <INTERMEDIATE_IP> -p <INTERMEDIATE_PORT> --reverse
```

- Puis sur le <span style="text-decoration: underline;">pc intermédiaire</span>, exécutez la commande suivante :

```bash
./chisel client <LISTENER_IP>:<LISTENER_PORT> R:<LOCAL_PORT>:<TARGET_IP>:<TARGET_PORT>
```

<p class="callout success">Sur la machine de l'attaquant vous pourrez accéder au service via **localhost:&lt;LOCAL\_PORT&gt;**</p>

## Socat

#### Installation

Voici le Github du projet :

- [https://github.com/3ndG4me/socat](https://github.com/3ndG4me/socat)

Pour télécharger le binaire :

```bash
curl -o socat -L https://github.com/3ndG4me/socat/releases/download/v1.7.3.3/socatx64.bin && chmod +x socat
```

Sinon, installez le depuis les dépôts :

```bash
apt install -y socat
```

#### Port forwarding

```bash
socat TCP-LISTEN:<LOCAL_PORT>,fork TCP:<REMOTE_IP>:<REMOTE_PORT>
```

<p class="callout success">Le service de la machine **REMOTE** sera exposé sur le **LOCAL\_PORT** de la machine qui exécute la commande.</p>

## Sshuttle

Ce logiciel permet d'établir une connexion VPN à travers un tunnel SSH sans nécessiter de privilège root sur la machine distante :

- [https://github.com/sshuttle/sshuttle](https://github.com/sshuttle/sshuttle)

```bash
sshuttle -vr <REMOTE_BRIDGE> <REMOTE_NETWORK>
```

<p class="callout warning">Tous le trafic sera routé par le réseau distant !</p>

Voici un exemple :

```bash
sshuttle -vr username@target-ip 10.1.1.0/24
```

## Netcat

Il est possible de faire du port forwarding avec Netcat grâce à certaines options.

Depuis la machine attaquante :

```bash
nc -lv --broker --max-conns 2
```

Et sur la machine intermédiaire :

```bash
nc -nv <ATTACKER_IP> 31337 -c 'nc -nv <TARGET_IP> <TARGET_PORT>'
```

## Proxychains / SSH Forwarding

Cette technique va vous permettre d'effectuer des scans nmap en passant par la commande proxychains qui va faire passer les paquets dans le tunnel SOCKS SSH, ce qui n'est pas possible avec les autres techniques car elles permettent d'exposer qu'un seul port.

Tout d'abord, créer le tunnel SSH :

```bash
ssh -D <LOCAL_PORT> -f -N <BRIDGE_USER>@<BRIDGE_IP>
```

Ensuite, créez votre configuration proxychains dans le fichier **/etc/proxychains4.conf** :

```
tcp_read_time_out 800
tcp_connect_time_out 800

[ProxyList]
socks4 127.0.0.1 <LOCAL_PORT>
```

Désormais, vous pouvez lancer votre scan nmap en passant par la commande proxychains :

```bash
proxychains nmap -Pn -p- --top-ports 10 -sT <TARGET_IP>
```