5種方法逃過防火牆控制系統的研究(轉)

5種方法逃過防火牆控制系統的研究(轉)[@more@]

　　隨著木馬，後門的不停發展，防火牆本身也在不斷地發展，這是一個矛和盾和關係，知道如何逃過防火牆對於控制一臺系統是有很重大的意義的。

　　由於防火牆的發展，時至今天，很多防火牆都是以驅動形式載入的，核心部分是在驅動那裡，保留一個介面給使用者去設定，這個介面程式同時充當了橋樑作用，傳統的殺防火牆程式以達到能控制到系統的方法已經是失效的了，而且這也不是一個好的方法(想想管理員發現防火牆的圖示不見了會有什麼反應).以下是談談以種方法。

　　前提條件:

　　1.你在遠端系統有足夠許可權

　　2.你已從ipc或mssql或其它得到系統的許可權，但因為無論用ipc還是用mssql的操作，都並不如直接得到一個cmd的Shell操作來得快和方便

　　

方法1:不讓防火牆載入自己

　　使用各類工具，pslist,sc.exe,reg.exe等去查詢防火牆在哪裡載入的，如果是在run中那載入的話，用reg.exe將其刪除；如果是服務啟動，用sc.exe 將服務改為手動或禁止，然後重啟那系統，這樣系統重啟後防火牆就無法載入自己了。這種方法不讓防火牆執行，比較容易被管理員發現。

　　方法2:強行綁入防火牆允許的埠

　　一臺系統，如果有一些服務，如pcanywhere,sev-u,iis,mssql,mysql等的話，防火牆總要允許這些應用程式開啟的埠被外界所連線的，而這些應用程式開啟的埠是可以被後門或木馬程式自身開啟的埠重新強行綁入的。例如pcnayhwere開啟埠或serv-u開啟的埠都可以被重新綁入，iis和mssql等就有時可以，但有時會失敗，原因不明。 由於那些應用程式是得到防火牆的授權並信任的，所以後門或木馬將綁口強行綁入後，是可以避開防火牆的，但這種方法對於那些比較高階的防火牆，如Zonealarm等，還是不行的，因為Zonealarm不只是監視埠，而且監視是什麼程式嘗試去綁入某個埠的，如果後門沒得到Zonealarm授權的話，一樣是無法綁入那個埠的。

　　方法3:icmp協議或自定義協議的後門或木馬

　　對於一些防火牆是有效果的，但是如果防火牆是檢測有網路連線的程式是不是防火牆信任的，那麼這個方法就會失效，因為這類防火牆允不允許程式連線網路是根據使用者是否讓那程式連線的，而並不是單單看協議或埠。

　　方法4:將後門或木馬插到其它程式中執行

　　系統中某些程式，99.9999%的使用者都會允許的，象IE,如果有使用者不允許IE連線網路的話，那是很稀見的。因為IE一般都是防火牆信任的應用程式，所以只要將後門程式插入到IE中執行，那麼防火牆一般是不會攔的。只要防火牆允許IE連線網路，那麼插入到IE中執行的後門就可以接受外界的連線了。這類後門一般是以Dl載入進去IE執行的，直接一個可執行程式將一個執行緒注入IE執行也可以，但遠沒有將DLL注入那麼穩定。這種方法可以避開大部份的防火牆，但對於一些不但會檢查out bound，而且會檢查in bound連線的防火牆會有時失效。但總的來說，這算是一種很好和方便的方法(已經過測試).

　　方法5:將後門插入到IE中執行，並且使用反向連線

　　上面方法4已說明了IE一般是防火牆信任的應用程式，所以將後門插入到IE中執行已是一個好方法了，由於某些防火牆還會檢查in bound連線(從外界連入系統的連線)，是會導致方法4失效的，因為防火牆是可能通知使用者是否允許這個連線的，只要使用者拒絕，那麼方法4就失效了。

　　但如果將後門插到IE中執行，並且讓後門自動向外界一個指定的IP中連線(反向連線)，這樣的話，幾乎99%是會成功的，因為防火牆是已允許IE向外連線的了，所以一旦後門連線上那個指定的IP，攻擊者就可以得到一個cmd下的Shell.

　　上面所說的幾種方法中，方法1,2,3應用面是很窄的，而且並不能算是一種好的方法；方法4，5是比較高階的方法，而且管理員一般很難發現(一般不會有人會懷疑自己的IE被人插入後門在執行的,相信大部份上網使用者不會知道有這些方法的),而且這些方法比較難檢測出來。