设为主页 | 加入收藏 | 繁體中文

逃过防火墙控制系统的研究

  随着木马,后门的不绝发展,防火墙本身也在不绝地发展,这是一个
  矛和盾和干系,晓得如何逃过防火墙对于控制一台体系是有很庞大的
  意义的。
  由于防火墙的发展,时至本日,许多防火墙都是以驱动情势加载的,
  核心部分是在驱动那边,保留一个界面给用户去设置,这个界面程序
  同时充任了桥梁作用,传统的杀防火墙历程以达到能控制到体系的方法
  已经是失效的了,并且这也不是一个好的方法(想想办理员发明防火墙的图标不见了会有什么反应).以下是谈谈以种方法。
  前提条件:
  1.你在长途体系有充足权限
  2.你已从ipc或mssql或其它得到体系的权限,但因为无论用ipc还是用mssql
  的操纵,都并不如间接得到一个cmd的Shell操纵来得快和方便
  方法1:不让防火墙加载本身
  使用各种工具,pslist,sc.exe,reg.exe等去查找防火墙在那边加载的,要是
  是在run中那加载的话,用reg.exe将其删除;要是是办事启动,用sc.exe
  将办事改为手动或禁止,然后重启那体系,如许体系重启后防火墙就无法加载本身了。这种方法不让防火墙运行,比较容易被办理员发明。
  方法2:强行绑入防火墙容许的端口
  一台体系,要是有一些办事,如pcanywhere,sev-u,iis,mssql,mysql等的话,
  防火墙总要容许这些应用程序翻开的端口被外界所毗连的,而这些
  应用程序翻开的端口是可以被后门或木马程序本身翻开的端口重新强
  行绑入的。例如pcnayhwere翻开端口或serv-u翻开的端口都可以被重新
  绑入,iis和mssql等就偶然可以,但偶然会失败,原因不明。 由于那些应用程序是得到防火墙的授权并信托的,所当前门或木马将
  绑口强行绑入后,是可以避开防火墙的,但这种方法对于那些比较
  初级的防火墙,如Zonealarm等,还是不可的,因为Zonealarm不但是
  监督端口,并且监督是什么程序尝试去绑入某个端口的,要是后门
  没得到Zonealarm授权的话,一样是无法绑入谁人端口的。
  方法3:icmp协议或自定义协议的后门或木马
  对于一些防火墙是有效果的,但是要是防火墙是检测有网络毗连的
  程序是不是防火墙信托的,那么这个方法就会失效,因为这类防火
  墙允不容许程序毗连网络是凭据用户能否让那程序毗连的,而并不是
  单单看协议或端口。
  方法4:将后门或木马插到其它历程中运行
  体系中某些程序,99.9999%的用户都会容许的,象IE,要是有用户不容许
  IE毗连网络的话,那是很稀见的。因为IE一样平常都是防火墙信托的应用程序,所以只要将后门程序插入到IE中运行,那么防火墙
  一样平常是不会拦的。只要防火墙容许IE毗连网络,那么插入到IE中运行的
  后门就可以担当外界的毗连了。这类后门一样平常是以Dl加载进去IE运行
  的,间接一个可执行程序将一个线程注入IE运行也可以,但远没有将
  DLL注入那么稳固。这种方法可以避开大部份的防火墙,但对于一些
  不但会检查out bound,并且会检查in bound毗连的防火墙会偶然失效。
  但总的来说,这算是一种很好和方便的方法(已颠末测试).
  方法5:将后门插入到IE中运行,并且使用反向毗连
  上面方法4已说明了IE一样平常是防火墙信托的应用程序,所以将后门插入到
  IE中运行已是一个好方法了,由于某些防火墙还会检查in bound毗连(从
  外界连入体系的毗连),是会招致方法4失效的,因为防火墙是可能
  通知用户能否容许这个毗连的,只要用户拒绝,那么方法4就失效了。
  但要是将后门插到IE中运行,并且让后门主意向外界一个指定的IP
  中毗连(反向毗连),如许的话,险些99%是会成功的,因为防火墙是已容许IE向外毗连的了,所以一旦后门毗连上谁人指定的IP,打击者就可以得到一个cmd下的Shell.
  上面所说的几种方法中,方法1,2,3应用面是很窄的,并且并不能算是一种
  好的方法;方法4,5是比较初级的方法,并且办理员一样平常很难发明(
  一样平常不会有人会猜疑本身的IE被人插入后门在运行的,信赖大部份上彀
  用户不会晓得有这些方法的),并且这些方法比较难检测出来。固然还
  会有其它方法的,晓得的朋友可以跟贴讨论一下。
 


    文章作者: 福州军威计算机技术有限公司
    军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
    版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:
评论加载中...
内容:
评论者: 验证码: