注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

K8拉登哥哥's Blog

K8搞基大队[K8team] 信息安全 网络安全 0day漏洞 渗透测试 黑客

 
 
 

日志

 
 

[后门]不用开端口的ICMP远控后门上不了线的原因以及解决方案  

2014-06-30 02:36:26|  分类: 渗透测试 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

ICMP后门 开启相关 防火墙 权限等 命令开启放行禁止等
博客:http://qqhack8.blog.163.com/

内网渗透的时候 可能会碰到一些奇葩环境,假设防火墙只允许icmp报文通过
什么是icmp报文(icmp后门什么写,具体看一下ping的源码吧,改改就能用了)
或者说你想留一个比Tcp或http那些必须开端口更隐蔽的或说为了躲过监视器
一般icmp报文 只是ping命令常用,所以关注的并不多,最主要是没有端口....
当然icmp包也是可以抓到,只是估计没几个管理员会分析 "ping"的报文吧

但是不代表 这ICMP远控 就畅通无阻  因为有时机器 被设成禁ping的
也就是说拦截所有的icmp包....你上不了线的时候 就看一下解决方案

1 server端 如果目标机禁止ping的话 就没法使用

netsh firewall set icmpsetting 8

2 另外 Win7以上系统 要注意权限问题

3 client端 需要关闭防火墙才能发包(netsh firewall set icmpsetting all 全开启也不能发包)

发送失败 或 UAC下 非管理员权限运行
ICMP packet size is 21sendto failed: 10038

2008下允许ICMP(允许被ping)

出于安全因素考虑,在 Windows Server 2008 上是不允许从外部对其执行 Ping 指令的,如果要配置允许被 Ping 通过以往的设置步骤会发现并不能从 Windows firewall 里找到 ICMP 的相关配置项,而该规则的操作现在必须通过“高级安全 Windows 防火墙” 进行配置。步骤如下:

    打开管理工具中的“高级安全 Windows 防火墙”;
    在左侧导航窗体中定位到“入站规则”,之后在入站规则中找到配置文件类型为“公共”的“文件和打印共享(回显请求 – ICMPv4-In)”规则,设置为允许。

此外,我们还可以通过命令行方式来执行入站 Ping 的规则是启用还是禁用,命令行如下:
netsh firewall set icmpsetting 8
netsh firewall set icmpsetting 8 disable
netsh firewall set icmpsetting all 全开启也不能发包


netsh firewall set ?

下列指令有效:

此上下文中的命令:
set allowedprogram - 设置防火墙允许的程序配置。
set icmpsetting - 设置防火墙 ICMP 配置。
set logging    - 设置防火墙记录配置。
set multicastbroadcastresponse - 设置防火墙多播/广播响应配置。
set notifications - 设置防火墙通知配置。
set opmode     - 设置防火墙操作配置。
set portopening - 设置防火墙端口配置。
set service    - 设置防火墙服务配置。

netsh firewall show icmpsetting  显示当前ICMP设置


C:\Documents and Settings\K8team>netsh firewall set icmpsetting 7
此命令提供的语法不正确。请查看帮助以获取正确的语法信息。

set icmpsetting

      [ type = ] 2-5|8-9|11-13|17|ALL
      [ [ mode = ] ENABLE|DISABLE
        [ profile = ] CURRENT|DOMAIN|STANDARD|ALL
        [ interface = ] name ]

  设置防火墙 ICMP 配置。

  参数:

  type - ICMP 类型。
      2   - 允许出站数据包太大。
      3   - 允许不达出站目标。
      4   - 允许出站源抑制。
      5   - 允许重定向。
      8   - 允许入站回显请求。
      9   - 允许入站路由器请求。
      11  - 允许出站超时。
      12  - 允许出站参数错误。
      13  - 允许入站时间戳请求。
      17  - 允许入站掩码请求。
      ALL - 所有类型。

  mode - ICMP 模式(可选)。
      ENABLE - 允许通过防火墙(默认值)。
      DISABLE - 录允许通过防火墙。

  profile - 配置的配置文件(可选)。
      CURRENT  - 当前配置文件(默认值)。
      DOMAIN   - 域配置文件。
      STANDARD - 标准配置文件。
      ALL      - 所有配置文件。

  interface - 接口名称(可选)。

  备注: 'profile' 和 'interface' 不能一起指定。
        'type' 2 和 'interface' 不能一起指定。

  示例:

      set icmpsetting 8

      set icmpsetting 8 ENABLE

      set icmpsetting ALL DISABLE

      set icmpsetting type = 8

      set icmpsetting type = 8 mode = ENABLE

      set icmpsetting type = ALL mode = DISABLE
  评论这张
 
阅读(1642)| 评论(1)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016