利用icmp隧道转发绕过限制

已于 2022-07-12 17:48:56 修改
阅读量910 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: icmp 安全 安全漏洞 网络安全 企业安全
于 2021-05-19 12:00:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/realmardrid/article/details/117022067
本文详细介绍如何在特定环境中利用ICMP隧道绕过简单的规则封锁,实现数据传输的方法。包括在两端机器上编译安装PingTunnel,以及通过ICMP隧道转发常规TCP端口的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

步骤

1. icmp隧道实战应用场景。

2. 在建立icmp隧道的两端机器上分别编译安装PingTunnel。

3. 通过icmp隧道来转发常规tcp端口。

基础环境准备

ubuntu16-LAMP

入侵者为公网的一台vps(ubuntu 16.04.3 LTS),相当于隧道客户端,公网 ip: 192.168.3.110。

heightlamp

目标边界的一台 linux web 机器(centOS 7), 相当于隧道服务端,公网 ip: 192.168.3.76,内网 ip: 192.168.4.17 192.168.5.17。

WebServer-IIS7

目标内网下的一台 win 服务器,内网 ip: 192.168.5.2。

Tomcat8

目标内网下的一台数据库服务器,内网 ip: 192.168.4.32 192.168.5.32。

win10-client

目标内网下的一台 windows 客户机,内网 ip: 192.168.5.5。

Win7-Tools

入侵者本地内网的一台 windows 客户机,本地内网 ip: 192.168.122.138。

环境拓扑:

关于 icmp 隧道,经常会用到的一些具体渗透场景:

反复尝试了其它的各类上层隧道全部无效,七层的http隧道、四层的dns隧道、ssh隧道、socks隧道、常规正反向端口转发都不行。

唯独允许icmp数据的正常进出,可以尝试把一些tcp/udp数据封装在icmp隧道里面进行传递,到了隧道另一端再进行解封装,这样一来就可以很好的绕过某些简单的规则封锁。

1. 在需要建立 icmp 隧道的两端机器上同时编译安装好 PingTunnel

2. 在目标边界的heightlamp机器上把icmp隧道的一端起来,把入向的icmp数据转成tcp再进行转发

# ptunnel -x lion &

1606840767_5fc671bf5c84d5b81a005.png!small

    2.1回到ubuntu16-LAMP机器上执行,监听在 0.0.0.0的1080端口,当外部来访问本地的 1080 端口时,把流量通过icmp隧道转到内网指定机器的指定端口上。如下

    -x 指定 icmp 隧道连接验证密码

    -lp 指定要监听的本地 tcp 端口

    -da 指定要转发到的机器的 ip 地址

    -dp 指定要转发到的机器的 tcp 端口

    -p icmp 隧道另一端机器的 ip 地址

    # ptunnel -p 192.168.3.76 -lp 1080 -da 127.0.0.1 -dp 22 -x klionsec &

    putty 192.168.3.110 1080

    1606840824_5fc671f8e26cbe62ded39.png!small

    # ptunnel -p 192.168.3.76 -lp 1080 -da 192.168.5.2 -dp 3389 -x klionsec &

    mstsc 192.168.3.110 1080

   

    2.2如目标内网有linux机器,就无需一个个端口的转了。可以直接通过icmp隧道把指定的本地端口转到目标内网指定的linux机器ssh隧道的socks端口上。如下:

    先去内网的Tomcat8把ssh tunnel的socks端口起起来:

    # ssh -qTfnN -D 0.0.0.0:1081 root@127.0.0.1 -p 22

    # netstat -tulnp | grep grep ":1081"

    回到ubuntu16-LAMP机器上开始通过 icmp 隧道执行转发:

    # ptunnel -p 192.168.3.76 -lp 1080 -da 192.168.4.32 -dp 1081 -x klionsec &

    # netstat -tulnp | grep ":1080"

    最后回到本地Win7-Tools拿 proxifier连到ubuntu16-LAMP的1080端口,这就相当于连到目标内网Tomcat8机器的1081 socks端口上。我们也完全可以通过这种方式直接把整个msf都代到目标内网,此时的msf相当于被包裹在两层隧道内,从外到内分别是icmp 隧道+ssh 隧道(加密)

    proxifier SocksServer 192.168.3.110 1080

    mstsc 192.168.5.5:3389

小结

还可以通过icmp隧道进行脱库,反弹shell等等。原理都是相似的。

比如我们事先已经通过webshell提权拿到了目标边界的 windows 机器,一看3389是正常开着的就想连上去看看,但目标的rdp做了ip访问限制。

但我们发现从外部ping是能ping得通的,此时就可以利用icmp隧道来突破这种简单的访问限制。

还可以通过icmp隧道把指定的端口转到它本地127.0.0.1的3389上,目标本身不可能限制自己访问自己的3389端口。

红队内网攻防渗透:内网渗透之内网对抗:隧道技术篇&防火墙组策略&ICMP&DNS&SMB协议&出网判断&C2上线&解决方案
HACKONE的博客
06-21 559
ICMP 通过 PING 命令访问远程计算机,建立 ICMP 隧道,将 TCP/UDP 数据封装到 ICMP 的 PING 数据包中,从而穿过防火墙,防火墙一般不会屏蔽 PING 数据包,实现不受限制的访问。添加新的A记录 这里按照C2重新新建一个主机记录将C2.xiaodi8.com指向我们的CS服务器地址。现在成功上线了web,但是要使用web服务器访问2.22的网站访问不了,出站是允许icmp利用各种隧道技术,以网络防火墙允许的协议,绕过网络防火墙的封锁,实现访问被封锁的目标网络。
多路icmp/tcp转发实验
aaaa1997的博客
01-31 2155
之前在cloudlab上做的都是单switch转发实验,这次试了多switch转发实验,并且在ping通(icmp转发)的基础上,增加了tcp转发,实验拓扑如上图 controller代码如下: from ryu.base import app_manager from ryu.controller import ofp_event from ryu.controller.handler import CONFIG_DISPATCHER, MAIN_DISPATCHER from ryu.co...
ICMP流量转发
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
02-22 1246
ICMP流量转发 工具:pingtunnel(以打包上传) https://wws.lanzous.com/b01nsubkj 本地转发 将主机C上的7777端口的流量转发至主机B上的80端口,以达到在主机C上访问127.0.0.1:7777时,会访问到主机B上的80端口 主机B作为客户端 ./pingtunnel -type [client/server] -l [:7777 转发源端口] -s [转发目的IP] -t [指定转发至目标server] -tcp [1 指定tcp流量转.
编译tun2socks用于Android项目
qq_35993502的博客
05-25 292
本文介绍了在Android端实现基于socks5协议网络流量转发的完整流程。首先配置Go开发环境并安装必要依赖,然后通过git下载tun2socks项目并完成编译。接着详细说明了在Android Studio中的集成步骤,包括如何将编译生成的aar文件导入项目。最后提供了关键代码示例,展示如何建立VPN连接并配置socks5代理参数来启动流量转发功能。整个过程涵盖了从环境搭建到实际使用的完整链条,为开发者实现类似功能提供了清晰的参考指南。
如何绕过服务器禁止的网站,看我如何SQL注入沦陷一个网站绕过端口限制RDP隧道进服务器...
weixin_39782709的博客
07-31 501
网址:http://shy.hpe.sh.cn一个sql注入导致的服务器沦陷。一个事业教育单位,今天就上服务器看看.(声明:未有任何破坏性操作)没事溜达到这个网址:(注入点)http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169首先是暴库(16个数据库吧):sqlmap -u "http://shy.hp...
icmp 流量抓取 转发 代理(2
weixin_30628801的博客
09-17 346
客户端C到服务器S的icmp包经过本机P时被截获,在上一篇中已经介绍了如何获取原始目的地址,你必须将数据转发到原始目的地址S,并且在收到从原始目的地址的响应之后转发给客户端。此时,要实现透明代理,则你返回给客户端的icmp响应的源地址必须为客户端请求的原始目的地址S。由于使用的是raw socket,无法用IP_TRANSPARENT的socket选项绑定非本机地址的方法(bind会报错...
ICMP协议-ARP协议-传输层协议-数据转发过程-VRP基础-命令行基础-文件系统基础-VRP系统基础——总结
Knowledge warehouse
07-10 1513
一、ICMP协议 1、ICMP协议是网际控制信息协议,主要用来在网络设备间传递各种差错和控制信息,和收集各种网络信息、诊断和排除各种网络故障等方面信息。例如:网络通不通、主机是否可达路由是否可用等网络本的 2ICMP报文是在IPI报文内部传输的。 3、我们都只到IP协议是不可靠的协议,它不能保障IP数据报能够成功的到达目的主机,也无法进行差错控制,但是ICMP...
内网安全-隧道技术-防火墙限制协议绕过-文件传输
weixin_45701675的博客
04-18 4364
隧道技术: 一种通过使用互联网络基础设施在网络之间传递数据的方式,包括数据封装、 传输和解包在内的全过程。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。 封装: 隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。 新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递 传输: 被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。 被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道 解包: 一旦到达网络终点,数据将被解包并转发到最终目的地
ICMP隧道之PingTunnel利用
Zlirving_的博客
02-13 1616
目录ICMP隧道PingTunnel环境配置实验利用查看流量包总结 ICMP隧道 icmp隧道简单、实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备进行通信肯定需要开放端口,而在icmp协议中则不需要。最常见的icmp消息为ping命令的回复,攻击者可以利用命令行得到比回复更多的icmp请求。 利用价值,在利用 ping 穿透防火墙的检测,因为通常防火墙是不会屏蔽 ping 数据包的。 PingTunnel 用于通过ICMP回显请求和答复数据包(通常称为ping请求和答复)可靠地建立TCP连接的
内网渗透day4--隧道技术和正反向木马绕过内网主机防火墙
qq_52227682的博客
11-21 713
小迪安全内网渗透
内网渗透Day2----域防火墙&入站出战规则&不出网隧道上线&组策略同步(ICMP隧道
qq_52227682的博客
11-20 1217
小迪内网渗透
tun2sock v1.3.rar_Tun2Socks_rough1l3_throwaiz_tun2sock_tun2sock
07-14
Tun2Socks for Windows
DNS与ICMP隧道资料
11-01
以前自己收集的一些DNS和ICMP隧道技术的文档, 非常有用, 包括源代码及文档资料, 欢迎下载
icmp端口_内网转发及隐蔽隧道 | 使用ICMP进行命令控制(Icmpsh)
weixin_39851048的博客
12-01 529
使用ICMP进行命令控制(Icmpsh)目录ICMP隧道使用ICMP进行命令控制(Icmpsh)ICMP隧道ICMP隧道简单实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见的ping命令就是利用ICMP协议,攻击者可以利用命令行得到比回复更多的ICMP请求。在通常情况下,每个ping命令都有相应的回复与请求。在...
网络层—— 转发(IP、ARP、DCHP、ICMP、网络层编址、网络地址转换)
一个很懒的人
02-13 1614
本文主要介绍以下几方面的知识: 网络层功能概述 IP数据报 网络层编址(基本编址形式、子网划分&子网掩码、CIDR) 网络地址转换NAT ARP协议 DCHP协议 ICMP协议 IPV6 1.网络层功能概述 2.IP数据报 (1)TCP/IP协议栈 (2)IP数据报格式 (3)IP数据报分片例题 (4)IP数据报的单位 3.网络层编址 (1)IP地址简述 (2)分类的IP地址 特殊的IP地址 私有IP地址 (3)子网划分与子网掩码.
【内网安全隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
今天是几号的博客
03-19 1295
此时使用win 10进行转发上线,生成监听器,使得Win server2008进行反向连接(将流量转发给win 10)参考:https://www.cnblogs.com/tomtellyou/p/16300557.html。关闭防火墙:netsh advfirewall set allprofiles state off。开启防火墙:netsh advfirewall set allprofiles state on。win server2008 开启防火墙后,原来的正向连接立刻下线。
linux怎么对端口限速,linux – 如何使用iptables对SSH连接进行速率限制
weixin_39717152的博客
04-30 493
只需添加以下内容:-A INPUT -p tcp --dport 2020 -m state --state NEW -j ACCEPT……就在这两行之后:-A INPUT -p tcp --dport 2020 -m state --state NEW -m recent --set --name SSH-A INPUT -p tcp --dport 2020 -m state --state ...
使用ICMP协议绕过防火墙拦截
三两四钱
01-02 5759
    通常防火墙默认是允许用户使用Ping一个网络地址的,而我们知道Ping的过程其实是发送和接收ICMP报文的过程。我们看一下ICMP报文结构:                   ICMP 8  |  代码 8                    校    验    和    16                  标    识    符    16          
探讨 “tun2socks” 技术的一些问题
热门推荐
liulilittle的博客
03-10 2万+
tun2socks 技术人员大多数应该知晓的一个代理转发工具,其作用则是处理tun/tap 点对点虚拟字符以太网设备输入输出的 “二层或三层” 数据报文转换成 socks 协议(几乎都为 socks5 代理协议) 本人不鼓励使用 “tun2socks” 进行一切 “科学、魔法、黑科技上网” 的违法行为,对于绝大部分人而言只需要 “百度一下,你就知道” ,回到本文正文...
无公网ip的内网穿透方案
最新发布
06-14
### 无公网IP的内网穿透解决方案 在没有公网IP的情况下,实现内网穿透可以通过多种技术手段完成。以下是几种常见的方案及其适用场景: #### 1. 使用第三方内网穿透服务 第三方内网穿透服务如 ngrok[^4] 提供了简单易用的解决方案,用户无需拥有公网IP即可实现内网服务的外网访问。ngrok 支持 HTTPS 和自定义域名,并且内置了访问控制功能以增强安全性。然而,需要注意的是,ngrok 更适合开发和测试环境,生产环境中应谨慎使用,因为可能存在安全性和稳定性问题。 #### 2. 借助拥有公网IP的中间服务器 如果没有直接的公网IP,可以借用一台拥有公网IP的中间服务器作为中转站。FRP(Fast Reverse Proxy)[^2] 是一种高效的内网穿透工具,它通过将内网服务的流量转发到中间服务器上,从而实现外网访问。FRP 的配置相对简单,支持多种协议和端口转发,适用于大多数场景。 #### 3. 利用 DNS 隧道技术 DNS 隧道是一种通过 DNS 协议传输数据的技术[^1]。即使网络环境对其他协议进行了严格限制,通常也会允许 DNS 请求通过。通过构建 DNS 隧道,可以绕过防火墙的限制,使内网主机与外部通信。不过,DNS 隧道的带宽和延迟性能较差,仅适用于特定场景。 #### 4. 反向代理结合 Nginx 如果需要同时管理多个内网服务,可以考虑使用 Nginx 作为反向代理[^3]。Nginx 能够将外网请求转发到不同的内网服务端口,从而实现更灵活的流量管理。在这种架构下,FRP 或 Ngrok 可以作为后端服务运行,而 Nginx 则负责前端流量分发。 #### 5. ICMP 隧道 ICMP 隧道利用 ICMP 协议进行数据传输,适合在网络环境对 ICMP 协议开放但限制其他协议的情况下使用[^1]。尽管 ICMP 隧道的实现较为复杂,但在某些特殊场景下可能是唯一可行的选择。 以下是一个基于 FRP 的简单配置示例: ```ini # frpc.ini (客户端配置文件) [common] server_addr = x.x.x.x # 中间服务器的公网IP server_port = 7000 [ssh] type = tcp local_ip = 127.0.0.1 local_port = 22 remote_port = 6000 ``` ```ini # frps.ini (中间服务器配置文件) [common] bind_port = 7000 ``` 运行上述配置后,可以通过中间服务器的 `x.x.x.x:6000` 访问内网的 SSH 服务。 --- ### 注意事项 - **安全性**:无论选择哪种方案,都应确保隧道或代理的安全性,避免敏感信息泄露。 - **性能**:DNS 和 ICMP 隧道的性能较差,仅适用于低带宽需求的场景。 - **合法性**:在实施内网穿透前,请确保操作符合相关法律法规及公司政策。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值