隐藏防朔源-隐藏CS真实上线IP地址

原理图

环境

云服务器（teamserver）

centos （apache中转）实战中中转机使用肉鸡或者国外服务器即可，这里没那么多公网服务器使用虚拟机代替

win10（受害者）

win7（cs客户端）

1、代理机安装Apache

centos安装apache

[root@rsec ~]# yum install -y httpd

设置必要的Apache模块

使用Apache作为反向代理所需的模块包括mod_proxy及其几个附加模块，这些模块扩展了其功能以支持不同的网络协议。具体来说，我们将使用：

• mod_proxy：Apache的主要代理模块，用于重定向连接，使Apache充当应用程序服务器的网关。

• mod_proxy_http：用于支持代理HTTP连接。

• mod_proxy_balancer和mod_lbmethod_byrequests：为多个后端服务器添加负载均衡功能。

默认情况下，新安装的CentOS 7中会默认启用这四个模块。您可以通过运行下面的程序来验证它们是否已启用：

[root@rsec ~]# httpd -M

命令输出将列出所有已启用的Apache模块。看看能否找到下面提到的四个模块：

. . .
 proxy_module (shared)
. . . 
 lbmethod_byrequests_module (shared)
. . . 
 proxy_balancer_module (shared)
. . . 
 proxy_http_module (shared)
. . .

如果有未启用的模块，你可以用vim打开/etc/httpd/conf.modules.d/00-proxy.conf来启动：

2、中间件设置转发

你可以用vim新建/etc/httpd/conf.d/default-site.conf如下内容修改为自己的cs服务器ip

<VirtualHost *:80>

   ProxyPreserveHost On


   ProxyPass / https://CS的IP/

   ProxyPassReverse / https://CS的IP/

</VirtualHost>

[root@rsec ~]# vim /etc/httpd/conf.d/default-site.conf

请使用cs所在服务器的IP

这里有三个指令：

• ProxyPreserveHost使Apache将原始Host标头传递给后端服务器。这很有用，因为它使后端服务器知道用于访问应用程序的地址。

• ProxyPass是主要的代理配置指令。在这种情况下，它指定根URL（/）下的所有内容都应映射到给定地址的后端服务器。例如，如果Apache收到请求/example，它将连接到http://your_backend_server/example，并将响应返回给原始客户端。

• ProxyPassReverse应该具有和ProxyPass相同的配置。它告诉Apache修改后端服务器的响应头。这可确保如果后端服务器返回位置重定向标头，则客户端的浏览器将重定向到代理地址，而不是后端服务器地址。

3、重启Apache服务

service apache2 restart

要使这些更改生效，请重新启动Apache。

systemctl restart httpd

现在，如果您在Web浏览器中访问http://192.168.220.145，您将看到后端服务器响应而不是标准的Apache欢迎页面。而是cs服务器的页面（前提是cs服务器80端口有http服务）

4、CS监听器配置转发机IP

cs监听器设置转发机IP（centos）

注意，转发的端口这里虽然是转发及的端口，但是cs服务端的端口也不能被占用，否则监听器无法建立。

生成木马模拟上线

5、 管理员溯源

使用火绒剑（gg）或者其他类似工具查看网络上线ip，发现上线IP是我们中转服务器的IP，真实的IP已经被隐藏了。