牛牛逼逼叉叉
菜单

不用开端口的ICMP远控后门不上线原因及解决方案

2014年07月10日,分类《网络安全》,作者:
博客捐助

内网渗透的时候 可能会碰到一些奇葩环境,假设防火墙只允许icmp报文通过
什么是icmp报文(icmp后门什么写,具体看一下ping的源码吧,改改就能用了)
或者说你想留一个比Tcp或http那些必须开端口更隐蔽的或说为了躲过监视器
一般icmp报文 只是ping命令常用,所以关注的并不多,最主要是没有端口….
当然icmp包也是可以抓到,只是估计没几个管理员会分析 “ping”的报文吧

但是不代表 这ICMP远控 就畅通无阻  因为有时机器 被设成禁ping的
也就是说拦截所有的icmp包….你上不了线的时候 就看一下解决方案

1 server端 如果目标机禁止ping的话 就没法使用

netsh firewall set icmpsetting 8

2 另外 Win7以上系统 要注意权限问题

3 client端 需要关闭防火墙才能发包(netsh firewall set icmpsetting all 全开启也不能发包)

发送失败 或 UAC下 非管理员权限运行
ICMP packet size is 21sendto failed: 10038

2008下允许ICMP(允许被ping)

出 于安全因素考虑,在 Windows Server 2008 上是不允许从外部对其执行 Ping 指令的,如果要配置允许被 Ping 通过以往的设置步骤会发现并不能从 Windows firewall 里找到 ICMP 的相关配置项,而该规则的操作现在必须通过“高级安全 Windows 防火墙” 进行配置。步骤如下:

打开管理工具中的“高级安全 Windows 防火墙”;
在左侧导航窗体中定位到“入站规则”,之后在入站规则中找到配置文件类型为“公共”的“文件和打印共享(回显请求 – ICMPv4-In)”规则,设置为允许。

此外,我们还可以通过命令行方式来执行入站 Ping 的规则是启用还是禁用,命令行如下:
netsh firewall set icmpsetting 8
netsh firewall set icmpsetting 8 disable
netsh firewall set icmpsetting all 全开启也不能发包

netsh firewall set ?

下列指令有效:

此上下文中的命令:
set allowedprogram – 设置防火墙允许的程序配置。
set icmpsetting – 设置防火墙 ICMP 配置。
set logging    – 设置防火墙记录配置。
set multicastbroadcastresponse – 设置防火墙多播/广播响应配置。
set notifications – 设置防火墙通知配置。
set opmode     – 设置防火墙操作配置。
set portopening – 设置防火墙端口配置。
set service    – 设置防火墙服务配置。

netsh firewall show icmpsetting  显示当前ICMP设置

C:Documents and SettingsK8team>netsh firewall set icmpsetting 7
此命令提供的语法不正确。请查看帮助以获取正确的语法信息。

set icmpsetting

[ type = ] 2-5|8-9|11-13|17|ALL
[ [ mode = ] ENABLE|DISABLE
[ profile = ] CURRENT|DOMAIN|STANDARD|ALL
[ interface = ] name ]

设置防火墙 ICMP 配置。

参数:

type – ICMP 类型。
2   – 允许出站数据包太大。
3   – 允许不达出站目标。
4   – 允许出站源抑制。
5   – 允许重定向。
8   – 允许入站回显请求。
9   – 允许入站路由器请求。
11  – 允许出站超时。
12  – 允许出站参数错误。
13  – 允许入站时间戳请求。
17  – 允许入站掩码请求。
ALL – 所有类型。

mode – ICMP 模式(可选)。
ENABLE – 允许通过防火墙(默认值)。
DISABLE – 录允许通过防火墙。

profile – 配置的配置文件(可选)。
CURRENT  – 当前配置文件(默认值)。
DOMAIN   – 域配置文件。
STANDARD – 标准配置文件。
ALL      – 所有配置文件。

interface – 接口名称(可选)。

备注: ‘profile’ 和 ‘interface’ 不能一起指定。
‘type’ 2 和 ‘interface’ 不能一起指定。

示例:

set icmpsetting 8

set icmpsetting 8 ENABLE

set icmpsetting ALL DISABLE

set icmpsetting type = 8

set icmpsetting type = 8 mode = ENABLE

set icmpsetting type = ALL mode = DISABLE



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

好久以前看到的白度+腾讯+新浪+搜狐后台

【下一篇】

js探测指定文件(杀毒软件)是否存在支持IE6-9