内网渗透ICMP隧道搭建

内网渗透ICMP隧道搭建

192.168.0.x模拟外网机器，1.1.1.x模拟内网机器

Linux（1.1.1.111/192.168.0.138）为WEB服务器，模拟getshell了WEB服务器的情况，通过该被控制机器将内网Windows机器（1.1.1.99）的3389远程端口映射到外网VPS（192.168.0.130）的2320端口上，黑客机器通过RDP连接192.168.0.130:2320实现远控内网Windows机器，在内网机器存在ICMP协议出网情况下即能ping通外网机器，可以搭建ICMP隧道

环境检查

在搭建隧道前需要确认被攻击的内网机器可以被远程连接，以下是需要检查的一些操作

开启3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f