【注意】瑞星防火墙有漏洞
最近,在国内权威黑客杂志《黑防》上看到一篇文章《突破防火墙的非管道ShellCode》,其中提到国产防火墙在ShellCode和规则配置中存在问题。例如,当允许一个程序,如client.exe访问网络时,即使改变其访问端口或者改为外连其他机器的某个端口,仍然没有弹出警告信息。可见,国产防火墙对应用程序访问网络的控制测略是粗位度的,正是这种粗位度的控制造成了问题。而国外的防火墙,如诺顿,卡巴,基本不存在这个问题。
如果一个系统进程,防火墙默认是允许访问网络的,更要命的是存在溢出漏洞,那么我们把它溢出后,可以采取两种方式ShellCode获得Shell。目标机器开一个端口,然后用nc连过去,另一种则是在攻击机上用nc开一个端口,让目标机器上的ShellCode反连过来。后者的成功可能更大,反弹木马也是利用这个原理。