透过不同结构的防火墙进行后门的放置

一个聪明的攻击者并不试着在防火墙网段内的机器上放置后门，因为系统通常监控并有规律的检查这些机器。恰恰是内部机器通常不受保护并且没有那么多的管理员和安全检查。

我现在将谈论一些能够被应用的后门的想法。注意程式（后门）将运行在一个标准的过滤器当然也和一个标准的包过滤同时工作，和代理主机相同。应用网关后门将在任何防火墙结构下都工作。他们中有些是“主动的”有些是“被动的”。主动后门是能被一个攻击者在任何他想利用时被使用的，“被动后门”在适当的时间/事件被触发，因此攻击者不得不等适当的时间或事件发生。

包过滤：

It's hard to find a backdoor which gets through this one but does not work for any other.

在我心中仅有：

A）ack-telnet。除了他不使用标准的TCP握手方式工作且仅使用TCP ACK包头外，他工作起来就象一个标准的telnet/telnetd。因为他们看上去象一个已建立（且允许）的连接，这样就能很容易的编写Coder's Spoofit project 的spoofit.h 一个头文档用来写SPOOF的）。

B）Phrack杂志49/51期的Loki（译者注：P49-06；P51-06）也可用来建立一个有icmp echo/reply 包的通道。但需要一些编码（头文档？）才能实现。

C）“daemonshell-udp”是个后门SHELL，他是UDP方式的。（见thc-uht1.tgz）

D）最后但不是不重要的，大多数“防火墙系统”只有一个屏蔽路由器/防火墙让任何进来的源端口从20到更高（>1023）的TCP连接穿过允许的（非被动的）FTP协议工作。

对此，"netcat -p 20 targetport-of-bindshell" 是最快的解决方法。

标准过滤器：

一个攻击者必须使用程式初始化从安全的网络到他自己的服务器的连接。这有许多方法可使用：

主动：

Phrack 52 期的“隧道”。

SSH -R（比隧道好...他是个“legtimitate”（？？）程式并且他加密数据流）。

被动：

编译netcat并带时间选项，执行他并连接攻击者的机器(ftp.avian.org) 。

thc-uht1.tgz中的reverse_shell 做同样的事情。

代理/电路级网关：

假如防火墙上可使用socks，某些人能够使用任何stateful filter上的东西并且“socksify”他们。想要更多高级的工具您能够看应用网关这段。

应用网关：

现在我们来说有趣的东西。

主动：

在公司的WEB服务器端放置一个CGI脚本，他允许远程访问。这并不是一定可能的，因为WEB服务器很少不被监控/检查/记帐并且允许外部访问。我想没人需要我举例子吧。穿过防火墙放置一个服务/二进制程式。这是很危险的因为他们被按时的记帐并且有时被嗅探。装入一个可装入的模块到防火墙内核中，他将隐藏自己并且给他的释放者访问权。最好的主动后门解决方法仍然很危险。

被动：

E@mail-用某种方式配置邮件帐户/邮件发送器/头部，使之能解开隐藏在邮件中的命令（X-Headers中的奇怪的东西），假如需要能够把他再发回来。

WWW-较难办的东西。内部机器上运行的守护进程响应来自internet上的HTTP请求，但是这请求实际上是个讨厌的WWW服务器在一个HTTP响应中发出的命令的应答。

（有点儿别扭：but the requests are in real the anwers of commands which were issued by a rogue www server in a http reply. ）

好东西见下面(->Backdoor Example: The Reverse WWW Shell)

DNS-和上面的思想相同，但是是DNS的查询和答复。不好的是他不能带太多的数据。

Backdoor Example: The Reverse WWW Shell

这个后门在任何防火墙后都工作， 他已使得安全策略允许用户为了获取信息，公司的利益在WWW上冲浪。

要想理解的更好，看下面的图，并且在看到文字说明之前记住他。

 --------   ------------   ------------- 



|internal|--------------------| FIREWALL |--------------|server owned |



| host | internal network  ------------  internet |by the hacker|



 --------   ------------- 



SLAVE MASTER

在一个内部网上运行一个进程，他在每天特定时候产生一个子进程。对于防火墙来说，子进程的动作就象一个用户，使用netscape在网上冲浪。实际上，这个子进程执行一个本地的SHELL，并且通过一个看上去合法的HTTP请求连接攻击者的WWW服务器并发送一个ready信号。而看上去合法的来自攻击者的WWW服务器应答实际上是子进程将在本地执行的命令。任何数据流都将被转换成类似Base64结构（我不叫他“加密”，我不是Micro$oft）并且为了防止缓冲，把他当作cgi-string的一个值。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!