ICMP隐蔽隧道工具--pingtunnel流量特征检测分析

已于 2024-01-24 17:46:55 修改
阅读量1.5k 收藏 40
点赞数 20
分类专栏: 工具流量分析 文章标签: web安全
于 2024-01-24 17:43:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36259703/article/details/135827988
版权

工具介绍

项目地址
https://github.com/esrrhs/pingtunnel
说明
通过伪造ping,把tcp/udp/sock5流量通过远程服务器转发到目的服务器上。用于突破某些运营商封锁TCP/UDP流量。
特点
在这里插入图片描述

流量&逻辑分析

环境&测试准备

环境配置
服务端 Ubantu192.168.2.129
客户端 Kali 192.168.2.139
测试方式

  1. Ubantu运行命令

./pingtunnel -type server

image.png

  1. Kali运行命令

./pingtunnel -type client -l :4455 -s 192.168.2.129 -sock5 1

image.png

检测特征

image.png

Client逻辑分析

image.png
DATA用于数据传输,PING用于联通新测试,KICK用于退出,MAGIC用于校验
client入口主要在cmd#main.go#244#pingtunnel.NewClient,前边的逻辑基本都是参数判断,初始化赋值等
image.png
继续跟踪client.go#23#NewClient方法,此方法为初始化和赋值Client对象:
image.png
继续跟踪发现主要入口函数cmd#main.go#244#c.Run,继续跟踪client.go#185#Run方法:
image.png
其中最主要的几个方法为recvICMP、ping、processPacket、AcceptTcpConn、AcceptSock5Conn等等,之前通过方法调用或者chan信道来进行
image.png
先看client.go#673#ping方法(最开始的调用在client.go#228)
image.png
继续跟踪pingtunnel.go#15#sendICMP方法:
image.png
其中主要调用了proto.Marshal来对m进行序列化操作,m的值如下,其中非定值为Data,关于具体的序列化结构数据可参考链接,个人感觉例子讲解的和通透
image.pngimage.pngimage.png
这里直接给结论,前面的Id、Type、Target、Data(部分)组成定值,
\x10-01(Type) 220f-010000000e(Data)
后边Magic组成定值(MyMsg_MAGIC=57005)
\x30dafa06
总体满足以下格式:

\x10\x01(Type) + \x22\x0f\x01\x00\x00\x00\x0e.{10}(Data) + \x30\xda\xfa\x06(Magic)

另外一个重要方法为client.go#564#processPacket,重点部分跟踪分析一下(其调用在recvICMP–> recv <- &Packet --> p.processPacket®):
解析以Frame形式发送的数据
image.png
client.go#312#AcceptTcpConn方法用于处理TCP连接,并发送数据,由AcceptTcp进行循环调用:
image.png

Server逻辑分析

Server端和Client逻辑类似,server,go#89#recvICMP持续监听是否有ICMP入保,如果有并且解析无误后,通过信道将Packet传输给processPacket进行处理
image.png
image.png
server.go#132#processPacket方法针对不同类型的数据做不同的处理,这里我们只关注PING类型image.png
这里主要分析一下数据特征:
image.pngimage.png

这里直接给结论,前面的Id、Type、Target、Data(部分)组成定值:
\x10-01(Type) 220f-010000000e(Data)
后面Rprote组成定值:
\x28-01(ZigZag优化负数存储逻辑,存储其绝对值的2倍减1)
后边Magic组成定值(MyMsg_MAGIC=57005)
\x30-dafa06
总体满足以下格式:

\x10\x01(Type) + \x22\x0f\x01\x00\x00\x00\x0e.{10}(Data) + \x28\x01(Rprote) + \x30\xda\xfa\x06(Magic)
whereGoAn
关注
  • 20
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
TCP、UDP端口及ICMP网络扫描工具-网络安全代码类资源
02-04
基于vc6.0开发网络扫描工具,利用select+connect进行TCP端口扫描,利用ICMP端口不可达报文进行UDP端口扫描,可以完成对TCP、UDP端口的探测,ICMP你懂的。利用GetBestRoute和GetIpAddrTable来判定使用本地接口IP,不...
CTF-NetA V0.3.2 流量分析工具(自动提取flag)
02-21
CTF-NetA是一款专门针对CTF比赛的网络流量分析工具,可以对常见的网络流量进行分析和提取flag,而且还有UI,不需要使用者具备任何基础能力。 CTF-NetA具有以下功能: 检测明文和常规编码的flag文本 USB流量还原...
【渗透测试】ICMP隧道技术之icmpsh使用(含流量分析
SunnyCat
09-29 2762
目录一、环境二、工具三、操作1、CentOS72、Win103、反弹成功四、C2流量分析1、正常的icmp流量2、恶意的icmp流量3、C2数据总结 一、环境 Win10:10.95.16.112 CentOS7:10.95.16.103 二、工具 icmpsh python2 三、操作 win10关闭防火墙,病毒检测,不然icmpsh.exe会被自动删除 centOS7安装python2对应的库文件用于支持icmpsh工具 pip2 install impacket 1、CentOS7 sysctl
ICMP隐蔽隧道工具--icmpsh流量特征检测分析
qq_36259703的博客
01-24 395
分为客户端和服务端,其中客户端只支持在Windows中使用,服务端支持跨平台。
PingTunnel: 一款创新的网络代理工具
最新发布
gitblog_00040的博客
03-22 360
PingTunnel: 一款创新的网络代理工具 项目地址:https://gitcode.com/esrrhs/pingtunnel 项目简介 PingTunnel 是一个轻量级、开源的网络代理工具,由 esrrhs 开发并维护。它允许用户通过 ICMP(Internet Control Message Protocol)协议——也就是我们通常所说的"Ping"命令——来建立隧...
ICMP隐蔽隧道工具--icmptunnel流量特征检测分析
qq_36259703的博客
01-24 857
icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。
【网络安全】ICMP隐蔽隧道通信与检测
Sun_study的博客
01-17 1170
在一些网络环境中,如果攻击者使用各类上层隧道(例如HTTP隧道,DNS隧道,正反向端口转发等)进行操作均失败。那么可以尝试使用ICMP建立隧道ICMP协议不需要端口的开放,因为其基于IP工作的,所以我们将其归结到网络层,ICMP消息最为常见的就是ping命令的回复,将TCP/UDP数据包封装到ICMP的ping数据包中,从而穿过防火墙**(通常防火墙是不会屏蔽ping数据包的)**
群ping工具_流量转发加速工具Pingtunnel
weixin_39584571的博客
11-28 1414
Pingtunnelpingtunnel是把tcp/udp/sock5流量伪装成icmp流量进行转发的工具https://github.com/esrrhs/pingtunnel​github.com使用安装服务端首先准备好一个具有公网ip的服务器,如AWS上的EC2,假定域名或者公网ip是http://www.yourserver.com从releases下载对应的安装包,如pingtunnel...
【Pingtunnel工具教程】利用ICMP隧道技术进行ICMP封装穿透防火墙
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
07-19 3345
在一些网络环境中,如果不经过认证,TCP和UDP数据包都会被拦截。如果用户可以ping通远程计算机,就可以尝试建立ICMP隧道,将TCP数据通过该隧道发送,实现不受限的网络访问。用户需要在受限制网络之外,预先启动该工具建立代理服务器。再以客户端模式运行该工具,就可以建立ICMP隧道。为了避免该隧道被滥用,用户还可以为隧道设置使用密码。内网渗透,渗透测试,内网隧道技术。......
ICMP隐蔽隧道工具Pingtunnel搭建隧道(附搭建环境避坑超详细)
huayimy的博客
01-02 1542
服务端(中间跳板机):192.168.19.21(lan区段) & 192.168.203.144(nat模式)提前检查被控机win7的远程连接是否为开启状态,确认开启后,使用windows自带的远程桌面进行连接。在安装PingTunnel前,我们必须先要安装它的运行环境,否则安装失败。一台服务端(linux服务端,用于内网中转,lan区段+nat模式)一台客户端(kali攻击机,lan区段)一台远控机器(win7,lan区段)-da:指定要转发的目标机器的IP。一台靶机(win7,nat模式)
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
10-05
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
DNS隐秘隧道pcap包
10-08
DNS隐秘隧道样本,pcap格式,支持各种环境下回放数据包
Terrapin工程ICMP工具「Terrapin Works ICMP Tools」-crx插件
03-23
增加ICMP平台的工具。 在Chrome浏览器中添加工具并修改MakerBot创新中心管理平台的管理后端上的元素,以提供更简化的管理员用户体验。 ===当前功能=== Omnibox命令•添加了Omnibox命令以按请求号搜索ICMP。 ===示例=...
隐秘通信-使用PingTunnel搭建ICMP隧道实验
帮助别人等于帮助自己 ——MXi4oyu
08-09 482
Internet Control Message Protocol Internet控制报文协议,简称ICMP协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。CMP协议主要提供两种功能,一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。
内网渗透-端口转发隧道技术
weixin_60329395的博客
08-02 1644
代理和隧道技术区别、代理只是为了解决网络通信问题,有些内网访问不到,可以用代理实现、隧道不仅是解决网络的通信问题,更大的作用是绕过过滤,突破防火墙/入侵检测系统。(封装协议)
icmp隧道搭建(pingtunnel的使用)
Innocence_0的博客
07-26 293
在上个星期一个风和日丽得早上,上班刚打开电脑,师兄就发来了这样一条消息然后我就去测试了,访问页面如下,页面显示探针路径C:/phpStudy/WWW/l.php随手输了个root root检测,没想到真的是(靶场嘛,比较简单,大家勿喷哈~)使用phpmyadmin连接MySQL,输入root:root。
Wireshark-ICMP数据报分析
热门推荐
三哥的博客
03-29 3万+
ICMP:Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。   ICMP协议通过IP协议发送的,IP协议是一种无连接的,不可靠的数据包协议,属于网络层协议。   ICMP报文是在IP数据报内被传输的。在实际传输中的数据包结构:20字节IP首部 + 8字节ICMP首部+ 1
ICMP隐蔽隧道攻击分析检测
2301_76725413的博客
07-28 550
进行隐蔽隧道传输的时候,被控端(防火墙内部)运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,被控端接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。样本利用ICMP协议同C2进行通信,ICMP协议中的data字段可写入任意自定义数据,样本会将上线数据填充1024个字节放在ICMP协议的data字段,并且返回的ICMP数据包的data字段也是固定的1024个字节。
PingTunnel(ptunnel)源码分析与性能改进
天笑的博客
08-20 813
这里写自定义目录标题PingTunnel(ptunnel)源码分析与性能改进主要问题问题1:ACK包响应太慢及发包太快导致传输受限解决方法问题2:发送方CPU 100%问题解决方案问题3:连接有时会挂掉解决方案未来的改进展望 PingTunnel(ptunnel)源码分析与性能改进 PingTunnel是用于内网穿透的工具,近期用到它,发现了不少问题,做了一些改进,记录于此。 这个工具大概是2004年左右由Daniel创建,之后维护到2011年左右,支持通过ICMP或DNS(UDP)通道做隧道传输TCP报文
adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 的详细解释
06-13
```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 是一个修改 iptables 规则的命令,它的含义如下: - ```-A```:表示添加(append)一个新的规则到规则链的末尾。 - ```INPUT```:表示规则链的名称,该规则将被添加到输入规则链中。 - ```-p icmp```:表示该规则适用于 ICMP 协议。 - ```--icmp-type echo-request```:表示该规则匹配 ICMP 的 echo-request 消息,即 ping 请求。 - ```-j ACCEPT```:表示如果规则匹配,将执行 ACCEPT 操作,即允许流量通过。 因此,```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 命令将添加一个新的规则到输入规则链中,该规则将允许 ICMP 的 echo-request(ping 请求)通过防火墙。这将使得 Android 主机可以 ping 通其他主机。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值