木馬后門(mén)等黑客技術(shù)不斷發(fā)展的同時(shí)，網(wǎng)絡(luò)安全技術(shù)也在不斷發(fā)展。不論是企業(yè)還是個(gè)人，網(wǎng)絡(luò)防火墻幾乎已經(jīng)成為了必不可少的安全產(chǎn)品。黑客希望可以避開(kāi)防火墻取得系統(tǒng)控制，然而對(duì)于管理員來(lái)說(shuō)熟知如何避開(kāi)防火墻也是相當(dāng)有必要的。

由于防火墻的發(fā)展，時(shí)至今天，很多防火墻都是以驅(qū)動(dòng)形式加載的，核心部分是在驅(qū)動(dòng)那里，保留一個(gè)界面給用戶(hù)去設(shè)置，這個(gè)界面程序同時(shí)充當(dāng)了橋梁作用，傳統(tǒng)的殺防火墻進(jìn)程以達(dá)到能控制到系統(tǒng)的方法已經(jīng)是失效的了，而且這也不是一個(gè)好的方法(想想管理員發(fā)現(xiàn)防火墻的圖標(biāo)不見(jiàn)了會(huì)有什么反應(yīng))。以下是談?wù)勔苑N方法。

前提條件：

1.你在遠(yuǎn)程系統(tǒng)有足夠權(quán)限。

2.你已從ipc或mssql或其它得到系統(tǒng)的權(quán)限，但因?yàn)闊o(wú)論用ipc還是用mssql的操作，都并不如直接得到一個(gè)cmd的Shell操作來(lái)得快和方便！

避開(kāi)防火墻方法1：不讓防火墻加載自己

使用各類(lèi)工具，pslist、sc.exe、reg.exe等去查找防火墻在哪里加載的，如果是在run中那加載的話，用reg.exe將其刪除；如果是服務(wù)啟動(dòng)，用sc.exe將服務(wù)改為手動(dòng)或禁止，然后重啟那系統(tǒng)，這樣系統(tǒng)重啟后防火墻就無(wú)法加載自己了。這種方法不讓防火墻運(yùn)行，比較容易被管理員發(fā)現(xiàn)。

避開(kāi)防火墻方法2：強(qiáng)行綁入防火墻允許的端口

一臺(tái)系統(tǒng)，如果有一些服務(wù)，如pcanywhere、sev-u、iis、mssql、mysql等的話，防火墻總要允許這些應(yīng)用程序打開(kāi)的端口被外界所連接的，而這些應(yīng)用程序打開(kāi)的端口是可以被后門(mén)或木馬程序自身打開(kāi)的端口重新強(qiáng)行綁入的。例如pcnayhwere打開(kāi)端口或serv-u打開(kāi)的端口都可以被重新綁入，iis和mssql等就有時(shí)可以，但有時(shí)會(huì)失敗，原因不明。 由于那些應(yīng)用程序是得到防火墻的授權(quán)并信任的，所以后門(mén)或木馬將綁口強(qiáng)行綁入后，是可以避開(kāi)防火墻的，但這種方法對(duì)于那些比較高級(jí)的防火墻，如Zonealarm等，還是不行的，因?yàn)閆onealarm不只是監(jiān)視端口，而且監(jiān)視是什么程序嘗試去綁入某個(gè)端口的，如果后門(mén)沒(méi)得到Zonealarm授權(quán)的話，一樣是無(wú)法綁入那個(gè)端口的。

避開(kāi)防火墻方法3：Icmp協(xié)議或自定義協(xié)議的后門(mén)或木馬

對(duì)于一些防火墻是有效果的，但是如果防火墻是檢測(cè)有網(wǎng)絡(luò)連接的程序是不是防火墻信任的，那么這個(gè)方法就會(huì)失效，因?yàn)檫@類(lèi)防火墻允不允許程序連接網(wǎng)絡(luò)是根據(jù)用戶(hù)是否讓那程序連接的，而并不是單單看協(xié)議或端口。

避開(kāi)防火墻方法4：將后門(mén)或木馬插到其它進(jìn)程中運(yùn)行

系統(tǒng)中某些程序，99.9999%的用戶(hù)都會(huì)允許的，象IE，如果有用戶(hù)不允許IE連接網(wǎng)絡(luò)的話，那是很稀見(jiàn)的。因?yàn)镮E一般都是防火墻信任的應(yīng)用程序，所以只要將后門(mén)程序插入到IE中運(yùn)行，那么防火墻一般是不會(huì)攔的。只要防火墻允許IE連接網(wǎng)絡(luò)，那么插入到IE中運(yùn)行的后門(mén)就可以接受外界的連接了。這類(lèi)后門(mén)一般是以Dl加載進(jìn)去IE運(yùn)行的，直接一個(gè)可執(zhí)行程序?qū)⒁粋€(gè)線程注入IE運(yùn)行也可以，但遠(yuǎn)沒(méi)有將DLL注入那么穩(wěn)定。這種方法可以避開(kāi)大部份的防火墻，但對(duì)于一些不但會(huì)檢查out bound，而且會(huì)檢查in bound連接的防火墻會(huì)有時(shí)失效。但總的來(lái)說(shuō)，這算是一種很好和方便的方法(已經(jīng)過(guò)測(cè)試)。

避開(kāi)防火墻方法5：將后門(mén)插入到IE中運(yùn)行，并且使用反向連接

上面方法4已說(shuō)明了IE一般是防火墻信任的應(yīng)用程序，所以將后門(mén)插入到IE中運(yùn)行已是一個(gè)好方法了，由于某些防火墻還會(huì)檢查in bound連接(從外界連入系統(tǒng)的連接)，是會(huì)導(dǎo)致方法4失效的，因?yàn)榉阑饓κ强赡芡ㄖ脩?hù)是否允許這個(gè)連接的，只要用戶(hù)拒絕，那么方法4就失效了。但如果將后門(mén)插到IE中運(yùn)行，并且讓后門(mén)自動(dòng)向外界一個(gè)指定的IP中連接(反向連接)，這樣的話，幾乎99%是會(huì)成功的，因?yàn)榉阑饓κ且言试SIE向外連接的了，所以一旦后門(mén)連接上那個(gè)指定的IP，攻擊者就可以得到一個(gè)cmd下的Shell。

上面所說(shuō)的幾種方法中，方法1、2、3應(yīng)用面是很窄的，而且并不能算是一種好的方法；方法4，5是比較高級(jí)的方法，而且管理員一般很難發(fā)現(xiàn)（一般不會(huì)有人會(huì)懷疑自己的IE被人插入后門(mén)在運(yùn)行的，相信大部份上網(wǎng)用戶(hù)不會(huì)知道有這些方法的），而且這些方法比較難檢測(cè)出來(lái)。當(dāng)然還會(huì)有其它方法的。

【編輯推薦】

1. WAF——最專(zhuān)業(yè)的網(wǎng)站安全防護(hù)
2. web應(yīng)用防火墻(WAF)的安全原理與技術(shù)分析
3. 看WEB應(yīng)用防火墻的網(wǎng)站整體防護(hù)解決方案