战术攻防思维撷粹(2)

核心提示： fpipe最绝妙的地方在于它实现了隧道原理，通常防火墙只允许必要的服务端口通过，战术攻防思维撷粹(2)(4)，比如源端口53就可以通过防火墙为内网客户端解析域名，而fpipe可以指定53此类源端口，于是，注册表中以_root_的键值将在regedit.exe/regedt32.exe的视图

fpipe最绝妙的地方在于它实现了隧道原理。通常防火墙只允许必要的服务端口通过，比如源端口53就可以通过防火墙为内网客户端解析域名。而fpipe可以指定53此类源端口，透过防火墙建立连接；一旦防火墙后客户连接此类伪造端口，就可以建立一个隧道传输telnet所必须的命令，也即端口重定向到23端口，回送一个telnet连接，而防火墙因为其源端口是“正常”端口，于是整个玲珑精致的攻击就如此发生： C:\>fpipe -v -l 53 –s 53 -r 23 192.168.1.10FPipe v2.04 - TCP port redirector.Copyright 2000 (c) by Foundstone, Inchttp://www.foundstone.comConnection accepted from 192.168.1.10 port 3794Attemption to connect to 192.168.1.10 port 23Pipe connected: In: 192.168.1.10:3749 - -> 192.168.1.4:53 Out: 192.168.1.4:53 - -> 192.168.1.10 23 ……

从以上实验，可以清楚的看见fpipe精致的端口重定向的特点，并看出回送的telnet的连接。这样的“合法渗透”让人不寒而栗。

**终极损毁

Unix世界流传着Rootkit的邪恶事迹，通过对内核的篡改/编译，这些Rootkit傀儡帮助Blackhat在字符世界为所欲为。然而，当Windows世界也新生了这样的鬼怪，于是视窗世界也变的混乱模糊了。Hoglund制作的rootkit可以执行注册表键的隐藏及exe重定向，从而可以对正常程序注射木马而不改变其内容。通过对NT/W2K核心程序添补，篡夺系统调用，从而隐藏进程、注册表或文件，也可重定向程序调用到木马进程中。结果这种恶意的行为使我们对所有程序的执行完全失去了信心。

其相关软件可www.megasecurity.org/Tools/nt_rootkit_all.html或www.rookit.com查询(本文所附带的toolbox也包括这个软件)。它包括_root_.sys和deploy.exe。运行deploy.exe并启动net start _root_就启动rootkit。于是，注册表中以_root_的键值将在regedit.exe/regedt32.exe的视图中隐藏。对于目前的4.0版本添加了键盘击键记录的功能；系统中任何以_root_开头的进程也将隐藏。