穿透Windows防火墙唤醒后门

  • A+
所属分类:安全文章
穿透Windows防火墙唤醒后门

背景

在渗透测试过程中,我们常常会遇到这种情况,目标上的木马被杀了,留了正向后门,却因为windows防火墙的原因,无法唤醒。所以我们就需要一种方法,来bypass防火墙唤醒我们的后门或者作为后门。


01

技术细节 选择协议

首先我们要远程唤醒,必然是要选择一种网络协议的。为了满足我们的需求,传输层及以传输层以上的协议是必然不能选择的。物理层和数据链路层是我们无法控制的。所以我们只能选择网络层的协议。网络层的协议(IP/ICMP/ARP/RARP/BGP)有以上协议供我们选择。


ARP协议(局域网中的工作情况)

ARP协议是设计用来通过网络地址(ip)定位MAC地址。在以太网协议中规定,同一局域网中的一台主机要和另一台主机进行直接通信,必须要知道目标主机的MAC地址。而在TCP/IP协议中,网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的主机的IP地址。于是需要一种方法,根据目的主机的IP地址,获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析(address resolution)就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。在windows操作系统上使用arp -a即可看到自己的arp缓存表。


ARP报文结构

穿透Windows防火墙唤醒后门

如果目的端主机的硬件地址是FF:FF:FF:FF:FF:FF,那么这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。


02

后门设计

ARP默认防火墙是放行的,我们在受害者机器上监听ARP广播,如果有我们的特征码传过来,则唤醒后门进行下一步操作。在此我们使用scapy进行模拟。

listener.pyfrom __future__ import print_functionfrom scapy.all import *import sys def arp_display(pkt): if pkt[ARP].op == 1: # who-has (request) if pkt[ARP].pdst == 'xxxxxxx': os.system('xxxxx') return 'Request: {} is asking about {}'.format(pkt[ARP].psrc, pkt[ARP].pdst) if pkt[ARP].op == 2: # is-at (response) return '*Response: {} has address {}'.format(pkt[ARP].hwsrc, pkt[ARP].psrc) sniff(prn=arp_display, filter='arp', store=0, count=100)
hacker.pyfrom scapy.all import *def ip1(ip): pkt = send(ARP(op=ARP.who_has, psrc="hacker", pdst=ip),loop=1) x = sniff(filter="arp", count=10) print (x.summary()) print ("done")
ip1("xxxx")

在受害者上运行listener.py,监听arp广播,攻击者运行hacker.py,广播寻找一个ip地址,受害者监听到这个广播地址,则会唤醒后门。


02

总结

在渗透测试的过程中,只要有信息交换的地方,都有可能被设计为C&C或者用来唤醒后门或者用来偷数据,比如360研究的ghost tunnel,比如arp。

穿透Windows防火墙唤醒后门

【相关精选文章】


Soar 可视化扫描器内测申请啦

洞态IAST实现思路分享及讨论


火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火线小助手]加入。


我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!


欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!

穿透Windows防火墙唤醒后门

穿透Windows防火墙唤醒后门




本文始发于微信公众号(火线Zone):穿透Windows防火墙唤醒后门

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: