Vous avez compromis un hôte doté d'une seconde interface réseau. Comment pivotez-vous ?
Réponse courte
Utilisez l'hôte compromis comme relais vers le sous-réseau inaccessible. Mettez en place une redirection de port pour un service unique, ou un proxy SOCKS dynamique (SSH -D ou chisel) et routez vos outils à travers lui avec proxychains, pour que votre machine d'attaque atteigne les hôtes internes via le pivot.
De nombreux environnements placent les vraies cibles sur un sous-réseau interne que votre machine d'attaque ne peut pas router. Un hôte à cheval sur les deux réseaux (une machine « dual-homed ») devient votre passerelle. Pivoter, c'est utiliser cette passerelle pour relayer votre trafic vers le réseau caché.
Les principales techniques
- La redirection de port locale mappe un service interne unique vers un port de votre machine d'attaque — pratique quand vous avez besoin d'un service précis (p. ex. une appli web ou une base de données interne).
- La redirection de port distante pousse un port de la cible vers vous, utile quand le pivot ne peut pas atteindre directement votre machine alors que vous l'avez atteint.
- La redirection dynamique (proxy SOCKS) est la cheville ouvrière :
ssh -D 1080 user@pivot(ouchiselquand SSH est indisponible) ouvre un proxy SOCKS capable d'atteindre n'importe quel hôte et port interne via le pivot.
Router vos outils
Configurez proxychains pour pointer vers le port SOCKS, puis préfixez vos outils : proxychains nmap, proxychains curl, proxychains crackmapexec. Le trafic est désormais tunnelisé à travers l'hôte compromis vers le réseau interne.
Les pièges des outils
Les proxys SOCKS ne transportent que du TCP, donc les scans connect (-sT) fonctionnent mais pas les scans SYN ni l'ICMP — ajustez nmap en conséquence et ne scannez que les ports qui vous intéressent, car les scans proxifiés sont lents. chisel est précieux quand le pivot n'a pas de serveur SSH, en vous offrant la même capacité SOCKS sur un canal compatible HTTP qui contourne souvent le filtrage en sortie.
Pourquoi c'est important
Sans pivoting, tout le sous-réseau interne — là où vivent souvent les cibles à forte valeur et le contrôleur de domaine — est invisible. La technique convertit un seul point d'appui en portée sur tout un réseau.
Ce que recherchent les recruteurs
Une distinction claire entre redirection locale, distante et dynamique, le fait de nommer SSH -D/chisel et proxychains, et la conscience de la limite SOCKS TCP-only qui casse un usage naïf de nmap. C'est un signal de séniorité, car cela exige une solide compréhension du réseau.
Questions de suivi probables
- Quelle est la différence entre redirection de port locale, distante et dynamique ?
- Pourquoi nmap se comporte-t-il bizarrement à travers un proxy SOCKS, et comment vous adaptez-vous ?