| 能否入侵网吧内的电脑的解析 |
| 责任编辑:admin 更新日期:2005-7-6 |
|
|
首先要说的是国内现在有两种不同类型的网吧,一种是传统的网吧(网吧内的电脑是
有主机和分机之分的,所有分机的要求都要经过主机的处理,然后才会到达internet)
第二种是DDN网吧,这类网吧没有主机和分机之分,所有在网吧内的电脑是共享一条或
多条专线,但每台电脑都有一个静态的IP,而且是直接连接上internet上的。
在第二种类型的网吧中,因为网吧的电脑是直接连上internet的,所以要用木马控制
是完全没有问题的,下面就谈一谈传统网吧
因为传统网吧中,只有主机是连接上internet的,网吧内的其它分机想和internet
进行数据通讯时就必须先向主机提送一个请求,在主机上运行的代理服务程序(wingatesygatewinproxy等等)就会对这些请求进行处理,将处理向internet中发送,当收到回应时就将数据向那台请求的分机发回去,在这种情况下,主机的作用不但是中介传送,还可以充当一个防火墙,因为所有向外(向internet)或向内(向分机)的请求都必须经过主机的处理,所以所有的请求要到达分机就必须经过主机了,这一点就成了
为什么在家里的单机不能控制到这类型网吧内的分机了。大部份的木马的服务器端
程序在一台电脑上执行后,就会在那台电脑打开一个端口等待客户端的连接,例
如一台在网吧内的电脑执行了冰河,那冰河就在那台电脑打开7626这个端口,然后
就是等待。这里就要解析一下内部IP和外部IP的问题了,在这里类型的肉吧中,每
一台分机都有一个内部IP(由网卡分配的),内部IP主要是用于在局部网内电脑间的
通讯),在整个网吧中,所有的电脑都只有一个外部IP的,这外部IP是由主机连接上
internet时网络商分配的。好了,现在假设那台感染冰河的网吧电脑的内部IP是
192.12.12.12,外部IP是61.61.61.61当在家里使用的单机或在网络上的电脑尝
试去连接冰河时,如果使用的IP是192.12.12.12的话,因为192.12.12.12这个IP在
internet上根本不存在的(有几段IP是专用于设置内部IP的)如果这个IP不存在的话
,你就得不到回应了。当你使用61.61.61.61这个IP尝试去连接时,你的连接的请求
首先会被那个网吧的主机收到(主机的防火墙和中介作用)主机没有感染冰河,所以
你的连接请求马上会被拒绝,连接就失败了,对于这种传统类型的网吧,大部份的木
马都是不可以控制到网吧内的电脑的,下面我们说说要控制网吧内的电脑的可能性.
由上述我们可知道,由外界向网吧内的分机发送连接请求时,主机会拒绝这类的请求的,但如果由网吧内的分机向某个特定的IP发送连接请呢?有什么情形发生呢?
举个例子,某台分机使用浏览器观看www.yahoo.com.cn这个网站时,实质上就是分机
向www.yahoo.com.cn发送一个请求,www.yahoo.com.cn收到请求时就会回应,然后数
据向那台分机发回去,首先这些数据会经过主机,因为是由分机向外提出请求的,当
有数据回应时,主机上的代理服务程序就会将数据向那台分机发去。在这种情况下,
连接就顺利产生了,利用这个由原理,就可以实现控制网吧内电脑的可能性了。蔬菜
的那个木马就是利用这种原理,由木马的服务器端程序向外产生连接(传统木马是由
客户端向服务器端产生连接的)这样就解决问题了。除了蔬菜的木马外,BioNet中的
irc功能亦可以实现这样可能的,不过可能会有些限制。BioNet这个木马中有一个功能
就是irc通知功能,就是当服务器程序启动时,就会向指定的irc服务器上产生连接,
然后在irc内那个指定的房间(channel)内待侯命令,这种情形和拒绝服务攻击那些
等侯命令的服务器是一样的,因为这种连接是由服务器端(感染了木马的那台电脑)
发出的,所以如果网吧内的主机不拒绝分机的这种连接的话(因为irc使用的默认端口
是6667所以主机的服务器程序不一定会允许的,蔬菜的木马是使用ftp那个端口,
那个端口一般是不会拒绝的)这样分机就可以连接上irc的服务器上了,如果可以连接
上的话,连接就已经产生了,这样由irc服务器上向分机发向命令就不再会被主机所
拒绝了,虽然BioNet在irc服务器向木马服务端使用的命令是限的,但起码都有上载,
远程执行和攻击这几个命令在,虽说是命令不够丰富,但因为irc上的限制,有这几
种功能都算是不错的了。还有一个可以控制网吧内电脑的木马是remote-anything,
3.6版以上才有这个功能的,而且有一个条件就是,必须是网吧的主机亦有感染remote
这个木马.在主机上的remote就充当一个"网关"的功能,将向分机的请求都转向到分机
上去,这种功能几乎就是一种端口转向的功能(所谓端口转向功能,就是将对某个端口
的请求转向到其它电脑上例如在主机上运行了一个端口转向的程序,这个程序将会把
所有将向主机7777端口的请求都转向到某台分机上的7626端口去,假设分机的内部IP
是12.12.12.12,而且感染了冰河,打开的端口是7626主机的外部IP是13.13.13.13
那个在主机上运行的端口转向程序将向13.13.13.13端口7777的请求转到12.12.12.12
的7626那个端口去当有人向主机13.13.13.13的7777端口时发送冰河连接的请求时,
这时口转向程序就发生作用了,马上将这个请求转向到那台12.12.12.12.分机上的
7626那个端口去因为12.12.12.12那台分机是感染了冰河的,所以这台分机会马上
作去回应,这样连接就会产生了,亦是说可以使用冰河控制网吧内的分机的),remote
在主机上的"网关"功能就和上述的端口转向原理是差不多的。虽然说要在主机感染了
remote才可以控制网吧内感染remote的分机是一种限制,但总比没有这个功能要强,
冰河的话,就算网吧主机感染了冰河,分机亦感染木马,你亦是只能够控制主机,根
本是没办法控制分机(除非你是在那个网吧内使用其中的一台分机去控制,这就另当别论
 |
|
| 上一篇文章: asp木马配合servu取得管理员权限 |
| 下一篇文章: 内网数据库服务器入侵实战 |
|
|
|
|
