找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1863|回复: 0

攻击windows xp自带的防火墙

[复制链接]
发表于 2009-6-2 21:02:41 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
需要用到的软件:Setup2Go     注册表编辑器     木马程序
内容:
Windows XP自带了防火墙,虽然这个免费的软件功能并不强大,但还是给黑客入侵带来了一些麻烦,因此有必要去深入的了解它。
1.使用Setup2Go安装程序绕过防火墙
Windows自带的防火墙其工作模式为:当有应用程序试图连接网络时,Windows防火墙会先将该程序与允许列表试图匹配,如果发现允许列表
中没有这个程序,则弹出是否允许该程序访问网络的对话框。如果用户选择了“是”,它就自动将该程序的路径和文件名记录到注册表的特
定键值中,并且做好允许访问的标志;否则就禁止。
既然这些认证信息被保存在注册表中,而且它只会记录程序的路径和文件名,那么想悄悄绕过它就不难了。
思路:
捆绑文件-安装时修改注册表-执行木马后门程序-成功绕过系统防火墙
Setup2Go就是一款便利的安装程序制作工作,能够用它生成自己的安装程序,我们就正是利用了它的植入文件和修改注册表的特性达到目
的。
第一步:准备注册表文件
用记事本将如下内容输入并保存为一个扩展名为.reg的注册表文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
"C:\Program Files\Tencent\QQ\QQ.exe"="C:\Program Files\Tencent\QQ\QQ.exe:*:Enabled:测试"
第二步:制作捆绑装程序
启动Setup2Go安装程序制作工具,找一个具有欺骗性的程序导入到“文件”选项中。但我们真正的目的是要将木马或后门程序,当然我们也
可以直接把这类程序连同正常程序一并导入到“文件”选项中,但为了隐蔽期间,我们可以把这类程序放在正常程序以外的地方,比如放
到"windowssystem32"目录下,则我们就可以在左侧目录中展开Windows目录,再新建一个System32目录,然后把木马或后门程序导入进去即
可。
接着切换到“注册表”选项下,右击注册表根目录,选择“从.reg文件导入“菜单命令,将第一步准备好的注册表文件导入其中即可。
全部设置妥当后,选择”编译“菜单中的”建立安装程序“命令,即可生成一个安装程序了。
这样编译后的安装程序表面上与普通安装程序一样,但背后却悄悄修改了Windows注册表,让我们的木马或后门程序神不知鬼不觉地越过了防
火墙。
2.通过注册表消灭防火墙
上面介绍了绕过防火墙的思路,其好处是不会影响到防火墙的功能,当有其他的新程序请求访问网络时,防火墙仍然能够显示有程序请求连
接网络的提示,用户快速检查时也显示防火墙是启用状态的,从而增强了隐蔽性。
如果要干掉防火墙该怎么实现呢?比如我们植入的后门端口和文件名等具有随意性时,干掉防火墙是比较简便且精明的做法。
其实禁用防火墙的途径与上述办法完全一样,所不同的仅仅是注册表内容的不同而已。
以下内容的注册表文件导入注册表后可以立即禁用防火墙:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile]
"EnableFirewall"=dword:00000000
将上述注册表键值导入后,防火墙就不声不响地关闭了!
3.命令行修改Windows防火墙
Windows XP中自带一个netsh的命令,使用它也可以配置Windows防火墙。
1.查看当前防火墙配置
命令:netsh firewall show allowedprogram
2.打开远程桌面端口
命令:netsh firewall set portopening TCP 3389 Enable
3.添加后门程序并允许连接网络
假如我们将后门程序植入到了C:Program FilesTencentQQQQ.exe
命令:netsh firewall set allowedprogram C:Program FilesTencentQQQQ.exe QQ Enable
4.添加特定IP地址到允许范围
比如目标机器已经开放了远程桌面,但我们仍然不能连接,则一般是由于管理员在远程桌面项目中限制了可用连接的范围。通过本命令就可
以很容易的突破限制了。
命令:netsh firewall set portopenting TCP 3389 远程桌面 Enable Custom 192.168.0.1  
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|小黑屋|维修人员 ( 鲁ICP备17033090号 )

GMT+8, 2024-12-23 13:47 , Processed in 0.199655 second(s), 17 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表