天极网

代理猎手深度分析报告<二>
2000-08-23 00:00:00· goodwell·YESKY

　〈砹允制燮氖迪郑� 一把枪在好人手上可以救人，但落在了坏人手上就。。。：）代理猎手就是这样的枪。除开大量的利用猎手进行扫描而获得非法的服务之后，近来还有不少人专门利用猎手多线程的特点找寻特定的端口（如 finger(79),31337(BO),12345(BO)..... 在极有可能造成各种破坏性结果的同时，还占用了大量的带宽；使得网上的正常活动都受到的影响（反正我是非常的不爽啦：）（如何对付这些“好奇心非常强”的同志了？

　　是给他们
　　[A].一个小小的教训;
　　还是
　　[B].只让他们空喜欢一场？

　　下面就是一个linux (gcc) 的Anti-Porxyht 的实现，本来win95 下的我还先做出来，但不好贴上来，而且也不利于大家的理解。总的说来，非阻塞模式的socket（win95) 在写daemon时要比阻塞模式socket(BSD4.3)容易的多，在win95下可以毫不费力的同时监听多个port,而linux下则只有以下几个选择：

　　1.多线程
　　2.截获每个IP包，然后再根据包里的PORT进行处理；
　　3.同时启动多个副本：）
　　4.我就不知到了。。。
　　1&&2 我都不会，只好用3了。：）
　
　　不过一般只要listen to port 8080 就可以了，因为不论猎手怎么扫，8080都不放过的。同上面的一样，本程序也只是为了向你展示如何欺骗猎手从而通过猎手的验证，并没有多余的功能，在以后我可能会加上. 在写本软件的同时我还花了一段时间测试看猎手是否有 overflow 的弱点，在向他发字符传时大小 <=256 我都测了，好象有一次看现象应该是CPU load 100%,可能是我的爱机太 “快” 的问题，其余(20-30次都没有异常。可能与猎手是用 c++ 写的用关，c++的串类很少有可能发生此类情况(overflow). 。如果你测试能够通过发送某个字符串让猎手当机，请告诉我哟！：）尽管是这样，你还是可以加上某个win95&win97 &win98 的漏洞，在 accept(ns,....) 后传给对方。。。。。。：）（最好是先让它通过检验，让对方正“无比”高兴的时候发给他：）））））））（怎么一提到这上面我的兴趣就来了；） test on slackware 2.0.33(maybe irix6.4) . /phs 8080 --> 表示监听 8080端口，在遭扫描后欺骗对方通过猎手的验证（显示：free :) ./phs -n 8080 --> 表示监听8080端口，在遭扫描后欺骗对方通过猎手的验证（显示：需密码：）同样的，该程序的win95版我也写出，可以监听多个端口，只是兄弟幻恢饕常籪tp，也就无法共享了。

　　有的读者可能会问：猎手可以选择不同的字符传来验证，我怎么知道他会向那个网址发送信息，同时他手头的 KEYWORD 是什么了？ohhh, ure g00d b0y：）这个问题很关键，测试表明，如果你发给猎手的字符传中没有KEYWORD 的话（但打头是"HTTP/1.1 200") ，猎手会显示“超时”,如果连"HTTP/1.1 200"都没有，只送一个空字符传，猎手显示“无特征串”，送乱串显示 “非proxy". 那我们如何解决KEYWORD的问题了？由于我们是服务器方，因此主动权在我们手中；有两个方法：

　　１，构建一个大型数据库，如上面程序中的　MSG 字符串，把著名的主页的TITL E都加入其中，我想只要包含有该厂商名字的串就可以了；

　　２。从对方发来的请求代理的命令中过滤出www.xxxx.xxx, 再又发给它，这可通过程序来实现。最好是加上"Corp" "INC. ","LTD."...之类的通用串，（如果你猜口令比较在行的话，这应该不成问题：）１。２　不相矛盾，可结合使用。

　　不过还有一种方法：（纸上谈兵：）　　如果遭攻击时你在场，先发给他一个超时的（或需密码的）　　信息，一般（我想）对方都会第二次来验证的，这期间“跑去”真正的网站然后在第二次扫描时把真正的KEYWORD 发给他。（再次申明：纸上谈兵;）

－－－－－
到此为止，这篇文章就要　over 了，衷心希望太阳风同志在看到这篇文章后能把猎手做得更加完美。（不过最好是留一个overflow的洞来，让我们也过一把隐(^o^)
----------
　　这篇文章应该属于揭示软件bug 的那一类，不管怎样划分，我总算是为大家做了点贡献了。”很久“以前就打算写一个关于入侵欺骗的软件，在遭到扫描时（不是猎手这样的，而是nuess,sscan,...之类的hacker‘scanner）遇到２１p ort的连接请求时发一个仿wuftp 的界面给它。。。。。不过那时我还在linux 下，多端口的监听我还不会，最近转到了c++builder门下，发现可以轻而一举的实现之，想一想，选［A]　时整个 win95在外部看来就是一个linux (redhat 5. 2 apolllo) （对方肯定会用那个wuftp remote of　拼命的试：） [B] is slac kware 2.0.35 [C] is SUNOS 5.5 [D] is ..... ha....够酷吧：）遇到finger @@localhost 时发个超大的passwd给它：）最好连shadow也一起发给他，让他自个乐去吧！：）ohh,对了，再加上一个[E]bsd 0.0.18 那祖传３代的历史书都要翻出来了：））））））任凭那些hacker（初级）用尽脑浆也想不到我这是一台 win95. 这个猎手欺骗只不过是尝试一下，说不定几天后就会有人 (maybe me)写出BO_SPoof,netspy_spoof...别忘了给我一份：）（goodwell注：我这有个仿bo 的，东西是不错！就是现在小黑们太多！一上网老是报警，老是看到在试密码，烦了点！和和！）

【发表评论】【关闭窗口】