5種方法逃過防火墻控制系統(tǒng)的研究

　　隨著木馬，后門的不停發(fā)展，防火墻本身也在不斷地發(fā)展，這是一個矛和盾和關(guān)系，知道如何逃過防火墻對于控制一臺系統(tǒng)是有很重大的意義的。

　　由于防火墻的發(fā)展，時至今天，很多防火墻都是以驅(qū)動形式加載的，核心部分是在驅(qū)動那里，保留一個界面給用戶去設(shè)置，這個界面程序同時充當(dāng)了橋梁作用，傳統(tǒng)的殺防火墻進程以達到能控制到系統(tǒng)的方法已經(jīng)是失效的了，而且這也不是一個好的方法(想想管理員發(fā)現(xiàn)防火墻的圖標(biāo)不見了會有什么反應(yīng)).以下是談?wù)勔苑N方法。

　　前提條件:

　　1.你在遠程系統(tǒng)有足夠權(quán)限

　　2.你已從ipc或mssql或其它得到系統(tǒng)的權(quán)限，但因為無論用ipc還是用mssql的操作，都并不如直接得到一個cmd的Shell操作來得快和方便

　　
方法1:不讓防火墻加載自己

　　使用各類工具，pslist,sc.exe,reg.exe等去查找防火墻在哪里加載的，如果是在run中那加載的話，用reg.exe將其刪除；如果是服務(wù)啟動，用sc.exe 將服務(wù)改為手動或禁止，然后重啟那系統(tǒng)，這樣系統(tǒng)重啟后防火墻就無法加載自己了。這種方法不讓防火墻運行，比較容易被管理員發(fā)現(xiàn)。

　　方法2:強行綁入防火墻允許的端口

　　一臺系統(tǒng)，如果有一些服務(wù)，如pcanywhere,sev-u,iis,mssql,mysql等的話，防火墻總要允許這些應(yīng)用程序打開的端口被外界所連接的，而這些應(yīng)用程序打開的端口是可以被后門或木馬程序自身打開的端口重新強行綁入的。例如pcnayhwere打開端口或serv-u打開的端口都可以被重新綁入，iis和mssql等就有時可以，但有時會失敗，原因不明。 由于那些應(yīng)用程序是得到防火墻的授權(quán)并信任的，所以后門或木馬將綁口強行綁入后，是可以避開防火墻的，但這種方法對于那些比較高級的防火墻，如Zonealarm等，還是不行的，因為Zonealarm不只是監(jiān)視端口，而且監(jiān)視是什么程序嘗試去綁入某個端口的，如果后門沒得到Zonealarm授權(quán)的話，一樣是無法綁入那個端口的。

　　方法3:icmp協(xié)議或自定義協(xié)議的后門或木馬

　　對于一些防火墻是有效果的，但是如果防火墻是檢測有網(wǎng)絡(luò)連接的程序是不是防火墻信任的，那么這個方法就會失效，因為這類防火墻允不允許程序連接網(wǎng)絡(luò)是根據(jù)用戶是否讓那程序連接的，而并不是單單看協(xié)議或端口。

　　方法4:將后門或木馬插到其它進程中運行

　　系統(tǒng)中某些程序，99.9999%的用戶都會允許的，象IE,如果有用戶不允許IE連接網(wǎng)絡(luò)的話，那是很稀見的。因為IE一般都是防火墻信任的應(yīng)用程序，所以只要將后門程序插入到IE中運行，那么防火墻一般是不會攔的。只要防火墻允許IE連接網(wǎng)絡(luò)，那么插入到IE中運行的后門就可以接受外界的連接了。這類后門一般是以Dl加載進去IE運行的，直接一個可執(zhí)行程序?qū)⒁粋�線程注入IE運行也可以，但遠沒有將DLL注入那么穩(wěn)定。這種方法可以避開大部份的防火墻，但對于一些不但會檢查out bound，而且會檢查in bound連接的防火墻會有時失效。但總的來說，這算是一種很好和方便的方法(已經(jīng)過測試).

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]