5種方法逃過防火墻控制系統的研究

領測軟件測試網     隨著木馬，后門的不停發展，防火墻本身也在不斷地發展，這是一個矛和盾和關系，知道如何逃過防火墻對于控制一臺系統是有很重大的意義的。

　　由于防火墻的發展，時至今天，很多防火墻都是以驅動形式加載的，核心部分是在驅動那里，保留一個界面給用戶去設置，這個界面程序同時充當了橋梁作用，傳統的殺防火墻進程以達到能控制到系統的方法已經是失效的了，而且這也不是一個好的方法(想想管理員發現防火墻的圖標不見了會有什么反應).以下是談談以種方法。

　　前提條件:

　　1.你在遠程系統有足夠權限

　　2.你已從ipc或mssql或其它得到系統的權限，但因為無論用ipc還是用mssql的操作，都并不如直接得到一個cmd的Shell操作來得快和方便

　　方法1:不讓防火墻加載自己

　　使用各類工具，pslist,sc.exe,reg.exe等去查找防火墻在哪里加載的，如果是在run中那加載的話，用reg.exe將　　　　　　其刪除；如果是服務啟動，用sc.exe 將服務改為手動或禁止，然后重啟那系統，這樣系統重啟后防火墻就無法加載自己了。這種方法不讓防火墻運行，比較容易被管理員發現。

　　方法2:強行綁入防火墻允許的端口

　　一臺系統，如果有一些服務，如pcanywhere,sev-u,iis,mssql,mysql等的話，防火墻總要允許這些應用程序打開的端口被外界所連接的，而這些應用程序打開的端口是可以被后門或木馬程序自身打開的端口重新強行綁入的。例如pcnayhwere打開端口或serv-u打開的端口都可以被重新綁入，iis和mssql等就有時可以，但有時會失敗，原因不明。 由于那些應用程序是得到防火墻的授權并信任的，所以后門或木馬將綁口強行綁入后，是可以避開防火墻的，但這種方法對于那些比較高級的防火墻，如Zonealarm等，還是不行的，因為Zonealarm不只是監視端口，而且監視是什么程序嘗試去綁入某個端口的，如果后門沒得到Zonealarm授權的話，一樣是無法綁入那個端口的。

　　方法3:icmp協議或自定義協議的后門或木馬

　　對于一些防火墻是有效果的，但是如果防火墻是檢測有網絡連接的程序是不是防火墻信任的，那么這個方法就會失效，因為這類防火墻允不允許程序連接網絡是根據用戶是否讓那程序連接的，而并不是單單看協議或端口。

　　方法4:將后門或木馬插到其它進程中運行

　　系統中某些程序，99.9999%的用戶都會允許的，象IE,如果有用戶不允許IE連接網絡的話，那是很稀見的。因為IE一般都是防火墻信任的應用程序，所以只要將后門程序插入到IE中運行，那么防火墻一般是不會攔的。只要防火墻允許IE連接網絡，那么插入到IE中運行的后門就可以接受外界的連接了。這類后門一般是以Dl加載進去IE運行的，直接一個可執行程序將一個線程注入IE運行也可以，但遠沒有將DLL注入那么穩定。這種方法可以避開大部份的防火墻，但對于一些不但會檢查out bound，而且會檢查in bound連接的防火墻會有時失效。但總的來說，這算是一種很好和方便的方法(已經過測試).

　　方法5:將后門插入到IE中運行，并且使用反向連接

　　上面方法4已說明了IE一般是防火墻信任的應用程序，所以將后門插入到IE中運行已是一個好方法了，由于某些防火墻還會檢查in bound連接(從外界連入系統的連接)，是會導致方法4失效的，因為防火墻是可能通知用戶是否允許這個連接的，只要用戶拒絕，那么方法4就失效了。

　　但如果將后門插到IE中運行，并且讓后門自動向外界一個指定的IP中連接(反向連接)，這樣的話，幾乎99%是會成功的，因為防火墻是已允許IE向外連接的了，所以一旦后門連接上那個指定的IP，攻擊者就可以得到一個cmd下的Shell.

　　上面所說的幾種方法中，方法1,2,3應用面是很窄的，而且并不能算是一種好的方法；方法4，5是比較高級的方法，而且管理員一般很難發現(一般不會有人會懷疑自己的IE被人插入后門在運行的,相信大部份上網用戶不會知道有這些方法的),而且這些方法比較難檢測出來。

文章來源于領測軟件測試網 http://www.kjueaiud.com/