端口和CGI的扫描实现<首发于2003年黑客防线11期>
WriteBy: LionD8
email: liond8@eyou.com
Website: http://liond8.126.com
一. DIY一个端口扫描器之-高级技术
端口的扫描技术到现在大致分为两种,一种就是低级传统的扫描器,还有就是高级技术的。今天我们就来讲讲高级技术的原理及其实现在基本代码。
经过测试我们知道正在LISTEN的端口,如果接收在一个SYN包(就是TCP握手的第一次)那么它就会返回一个SYN|ACK(0x12)包,如果一个 关闭的端口接收到SYN包就会返回一个PSH|RST|SYN(0x14)的包并且SYN序列号为0。如果远程主机不存在,那么不返回任何数据包。
根据上面的分析我们就可以构造一个扫描器了。
如果我们对目标机器发一个SYN包,如果接收到一个SYN|ACK(0x12)的包我们就知道远程端口是存活的。如果接收到PSH|RST|SYN(0x14)那么就确定那个端口没有开放。
好的那么我们在发包前就需要建立一个侦听线程来接收返回的数据包,并加一分析。
1.定义侦听线程:
DWORD WINAPI ListeningFunc(LPVOID lpvoid)
{
首先就需要建立一个原始套结字。
SOCKET rawsock=socket(AF_INET,SOCK_RAW,IPPROTO_IP);
然后取得本机的IP地址,确定一个端口绑定rawsock。
struct hostent *pHostent;
CHAR name[100]={0};
gethostname(name, 100);
pHostent=gethostbyname(name);
把本机IP地址复制到addr_in.sin_addr.S_un.S_addr中。
memcpy(&addr_in.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length);
绑定。
int ret=bind(rawsock, (struct sockaddr *)&addr_in, sizeof(addr_in));
设置SIO_RCVALL 接收所有的数据包
DWORD lpvBuffer = 1;
DWORD lpcbBytesReturned = 0;
WSAIoctl(rawsock, SIO_RCVALL, &lpvBuffer, sizeof(lpvBuffer), NULL, 0, &lpcbBytesReturned, NULL, NULL);
然后剩下的就是对数据包的捕获分析了。用一个死循环来不断的捕获接收到的数据包,分析如果是存活端口返回的包就打出来,不是的话就放弃,不做任何处理,继续捕获下一个数据包。
while (TRUE)
{
SOCKADDR_IN from={0};
int size=sizeof(from);
char RecvBuf[256]={0};
//接收数据包