ipv4Bypass:一款基于IPv6实现的IPv4安全绕过与渗透测试工具

关于ipv4Bypass

ipv4Bypass是一款基于IPv6实现的安全绕过与渗透测试工具,该工具专为红队研究人员设计,可以帮助广大研究人员通过IPv6绕过目标安全策略,以此来检测安全检测机制的健壮性。

20世纪90年代是互联网爆炸性发展时期,随着越来越多的企业和组织进驻互联网,人们很快就意识到了IPv4地址的数量将无法满足我们的需求。于是乎,IPv6便成为了新的互联网地址标准。与此同时,IPv6也成为了威胁行为者的强大武器。

需要注意的是,ipv4Bypass支持使用IPv6来绕过针对IPv4的安全防护机制,而不是针对IPv6的安全防护。

工具运行机制

1、向广播地址 (ff02::1) 发送 ICMP echo请求 (ping6 ff02::1%eth0),本地网络中的所有 IPv6主机都会进行回复;

2、向本地网络中的所有IPv4主机发送ARP请求;

3、对本地网络中所有活动的IPv4和IPv6主机执行端口扫描;

4、基于MAC地址信息将IPv6地址与IPv4地址进行匹配;

5、检查针对主机的IPv6地址扫描结果,并比对是否比同一主机上IPv4地址打开了更多的端口,并输出端口差异信息;

ipv4Bypass能够通过自动化的形式执行上述任务,给红队研究人员和渗透测试人员减轻负担。

依赖组件

Python 2.7

Nmap

arp-scan

python-nmap

termcolor

工具安装

首先,我们需要在本地设备上安装并配置好Python 2.7环境。接下来,我们可以使用下列命令安装arp-scan:

复制代码
apt-get install arp-scan

arp-scan安装完成后,广大研究人员就可以直接使用下列命令将该项目源码克隆至本地:

复制代码
git clone https://github.com/milo2012/ipv4Bypass.git

工具使用

查看工具帮助信息

复制代码
$ python bypass.py -i eth0 -r 10.5.192.0/24  

 

$ python bypass.py  -h

Usage: bypass.py [options]

 

Options:

  -h, --help          show this help message and exit

  -i INTERFACENO  Network interface (e.g. eth0)

  -r IPRANGE      Local network IP range (e.g. 192.168.0.1/24)

参数选项

复制代码
-h, --help:工具帮助信息和退出;

-i INTERFACENO:设置网络接口,例如eth0;

-r IPRANGE:本地网络IP地址范围,例如192.168.0.1/24;

工具运行截图

在下面的演示样例中,我们可以通过目标主机(10.5.192.48 | fe80::250:56ff:fe97:7a3b)的IPv6接口来访问TCP端口22、111和8080,但无法通过IPv4接口来访问这些端口。接下来,工具将会给运行在IPv6接口上的服务标记指纹,并对其执行弱账户测试(SSH)、漏洞扫描和渗透测试等活动:

项目地址

ipv4Bypass :【GitHub传送门

参考资料

python-nmap · PyPI

termcolor · PyPI

Using IPv6 to Bypass Security (tool) | Milo2012's Security Blog

相关推荐
JerrySir2 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳2 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
xd1855785553 小时前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙
白帽小阳4 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
JavaGuide4 小时前
一个神级 PR Review Agent 诞生了:读 diff、写总结、找风险全自动!
github·ai编程
qetfw5 小时前
CentOS 7 配置 iptables 防火墙
安全
磐链科技5 小时前
区块链链游安全警示:常见漏洞与攻击手段
安全·区块链
逛逛GitHub6 小时前
1.3 万人点赞的 GitHub 项目,让 AI Agent 操作 Office 文件。
github
数据知道7 小时前
HTTP/HTTPS 安全深度剖析:抓包、解密与证书陷阱
安全·http·https·mitmproxy·抓包解密