战术攻防思维撷粹(2)
2006-07-04 20:29:23 来源:WEB开发网fpipe最绝妙的地方在于它实现了隧道原理。通常防火墙只允许必要的服务端口通过,比如源端口53就可以通过防火墙为内网客户端解析域名。而fpipe可以指定53此类源端口,透过防火墙建立连接;一旦防火墙后客户连接此类伪造端口,就可以建立一个隧道传输telnet所必须的命令,也即端口重定向到23端口,回送一个telnet连接,而防火墙因为其源端口是“正常”端口,于是整个玲珑精致的攻击就如此发生: C:\>fpipe -v -l 53 –s 53 -r 23 192.168.1.10FPipe v2.04 - TCP port redirector.Copyright 2000 (c) by Foundstone, Inchttp://www.foundstone.comConnection accepted from 192.168.1.10 port 3794Attemption to connect to 192.168.1.10 port 23Pipe connected: In: 192.168.1.10:3749 - -> 192.168.1.4:53 Out: 192.168.1.4:53 - -> 192.168.1.10 23 ……
从以上实验,可以清楚的看见fpipe精致的端口重定向的特点,并看出回送的telnet的连接。这样的“合法渗透”让人不寒而栗。
**终极损毁
Unix世界流传着Rootkit的邪恶事迹,通过对内核的篡改/编译,这些Rootkit傀儡帮助Blackhat在字符世界为所欲为。然而,当Windows世界也新生了这样的鬼怪,于是视窗世界也变的混乱模糊了。Hoglund制作的rootkit可以执行注册表键的隐藏及exe重定向,从而可以对正常程序注射木马而不改变其内容。通过对NT/W2K核心程序添补,篡夺系统调用,从而隐藏进程、注册表或文件,也可重定向程序调用到木马进程中。结果这种恶意的行为使我们对所有程序的执行完全失去了信心。
其相关软件可www.megasecurity.org/Tools/nt_rootkit_all.html或www.rookit.com查询(本文所附带的toolbox也包括这个软件)。它包括_root_.sys和deploy.exe。运行deploy.exe并启动net start _root_就启动rootkit。于是,注册表中以_root_的键值将在regedit.exe/regedt32.exe的视图中隐藏。对于目前的4.0版本添加了键盘击键记录的功能;系统中任何以_root_开头的进程也将隐藏。
更多精彩
赞助商链接