5種方法逃過防火墻控制系統(tǒng)的研究

　　隨著木馬，后門的不停發(fā)展，防火墻本身也在不斷地發(fā)展，這是一個矛和盾和關(guān)系，知道如何逃過防火墻對于控制一臺系統(tǒng)是有很重大的意義的。

　　由于防火墻的發(fā)展，時至今天，很多防火墻都是以驅(qū)動形式加載的，核心部分是在驅(qū)動那里，保留一個界面給用戶去設(shè)置，這個界面程序同時充當(dāng)了橋梁作用，傳統(tǒng)的殺防火墻進(jìn)程以達(dá)到能控制到系統(tǒng)的方法已經(jīng)是失效的了，而且這也不是一個好的方法(想想管理員發(fā)現(xiàn)防火墻的圖標(biāo)不見了會有什么反應(yīng)).以下是談?wù)勔苑N方法。

　　前提條件:

　　1.你在遠(yuǎn)程系統(tǒng)有足夠權(quán)限

　　2.你已從ipc或mssql或其它得到系統(tǒng)的權(quán)限，但因為無論用ipc還是用mssql的操作，都并不如直接得到一個cmd的Shell操作來得快和方便

　　
方法1:不讓防火墻加載自己

　　使用各類工具，pslist,sc.exe,reg.exe等去查找防火墻在哪里加載的，如果是在run中那加載的話，用reg.exe將其刪除；如果是服務(wù)啟動，用sc.exe 將服務(wù)改為手動或禁止，然后重啟那系統(tǒng)，這樣系統(tǒng)重啟后防火墻就無法加載自己了。這種方法不讓防火墻運(yùn)行，比較容易被管理員發(fā)現(xiàn)。

　　方法2:強(qiáng)行綁入防火墻允許的端口

　　一臺系統(tǒng)，如果有一些服務(wù)，如pcanywhere,sev-u,iis,mssql,mysql等的話，防火墻總要允許這些應(yīng)用程序打開的端口被外界所連接的，而這些應(yīng)用程序打開的端口是可以被后門或木馬程序自身打開的端口重新強(qiáng)行綁入的。例如pcnayhwere打開端口或serv-u打開的端口都可以被重新綁入，iis和mssql等就有時可以，但有時會失敗，原因不明。 由于那些應(yīng)用程序是得到防火墻的授權(quán)并信任的，所以后門或木馬將綁口強(qiáng)行綁入后，是可以避開防火墻的，但這種方法對于那些比較高級的防火墻，如Zonealarm等，還是不行的，因為Zonealarm不只是監(jiān)視端口，而且監(jiān)視是什么程序嘗試去綁入某個端口的，如果后門沒得到Zonealarm授權(quán)的話，一樣是無法綁入那個端口的。

　　方法3:icmp協(xié)議或自定義協(xié)議的后門或木馬

　　對于一些防火墻是有效果的，但是如果防火墻是檢測有網(wǎng)絡(luò)連接的程序是不是防火墻信任的，那么這個方法就會失效，因為這類防火墻允不允許程序連接網(wǎng)絡(luò)是根據(jù)用戶是否讓那程序連接的，而并不是單單看協(xié)議或端口。

　　方法4:將后門或木馬插到其它進(jìn)程中運(yùn)行

　　系統(tǒng)中某些程序，99.9999%的用戶都會允許的，象IE,如果有用戶不允許IE連接網(wǎng)絡(luò)的話，那是很稀見的。因為IE一般都是防火墻信任的應(yīng)用程序，所以只要將后門程序插入到IE中運(yùn)行，那么防火墻一般是不會攔的。只要防火墻允許IE連接網(wǎng)絡(luò)，那么插入到IE中運(yùn)行的后門就可以接受外界的連接了。這類后門一般是以Dl加載進(jìn)去IE運(yùn)行的，直接一個可執(zhí)行程序?qū)⒁粋�線程注入IE運(yùn)行也可以，但遠(yuǎn)沒有將DLL注入那么穩(wěn)定。這種方法可以避開大部份的防火墻，但對于一些不但會檢查out bound，而且會檢查in bound連接的防火墻會有時失效。但總的來說，這算是一種很好和方便的方法(已經(jīng)過測試).

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]