📄 513.htm
字号:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>CTerm非常精华下载</title>
</head>
<body bgcolor="#FFFFFF">
<table border="0" width="100%" cellspacing="0" cellpadding="0" height="577">
<tr><td width="32%" rowspan="3" height="123"><img src="DDl_back.jpg" width="300" height="129" alt="DDl_back.jpg"></td><td width="30%" background="DDl_back2.jpg" height="35"><p align="center"><a href="http://apue.dhs.org"><font face="黑体"><big><big>apue</big></big></font></a></td></tr>
<tr>
<td width="68%" background="DDl_back2.jpg" height="44"><big><big><font face="黑体"><p align="center"> ● UNIX网络编程 (BM: clown) </font></big></big></td></tr>
<tr>
<td width="68%" height="44" bgcolor="#000000"><font face="黑体"><big><big><p align="center"></big></big><a href="http://cterm.163.net"><img src="banner.gif" width="400" height="60" alt="banner.gif"border="0"></a></font></td>
</tr>
<tr><td width="100%" colspan="2" height="100" align="center" valign="top"><br><p align="center">[<a href="index.htm">回到开始</a>][<a href="502.htm">上一层</a>][<a href="514.htm">下一篇</a>]
<hr><p align="left"><small>发信人: cloudsky (晓舟·轩辕明月), 信区: Security <br>
标 题: 用协议分析软件分析proxy工作机制 <br>
发信站: 武汉白云黄鹤站 (Mon Oct 11 20:32:41 1999), 站内信件 <br>
<br>
分析一. 从client通过proxyServer ftp 到 ftpServer <br>
<br>
在root身份下运行linuxkiller开始抓包, <br>
./linuxkiller -i <ftpServer ip> -o 0x88 2> proxyftp.txt <br>
这里抓到的都是proxyServer和ftpServer之间的包 <br>
<br>
同时用NetXray开始抓client与proxyServer之间的通信数据, <br>
指定过滤规则为2121/2323端口。 <br>
<br>
在client上输入 <br>
ftp <br>
open proxyServer 2121 <br>
<br>
NetXray抓到5个包,和wingate本身安全验证机制有关,与ftp无关 <br>
<br>
在client上输入 <br>
scz@ftpServer:21 <br>
******** <---- 口令,没有回显,没有*号 <br>
连接成功。 <br>
连接成功。 <br>
<br>
NetXray陆续抓到含有如下数据的几个包 <br>
USER scz@ftpServer:21\x0d\x0a <br>
PASS ********\x0d\x0a <---- 口令明文 <br>
SYST\x0d\x0a <br>
这里暴露了用户最终想连接的ftpserver和ftp user/pass等等 <br>
<br>
pwd <br>
ls <br>
bin <br>
get mbox <---- /home/scz下有个普通文件mbox <br>
bye <br>
<br>
NetXray陆续抓到含有如下数据的个包 <br>
PWD\x0d\x0a <br>
PORT *,*,*,*,4,148\x0d\x0a <----server ip,用逗号分隔 <br>
LIST\x0d\x0a <br>
TYPE I\x0d\x0a <br>
PORT *,*,*,*,4,149\x0d\x0a <----server ip,用逗号分隔 <br>
RETR mbox\x0d\x0a <br>
QUIT\x0d\x0a <br>
<br>
<br>
要正常看到这些信息可以不通过代理,client直接ftp到ftpServer <br>
ftp <br>
debug <----开启调试模式,看原始的ftp协议命令,默认是关闭的 <br>
open ftpServer <br>
以后凡是 ---> 指示的命令就是上面这些用NetXray抓下来的包 <br>
USER scz <br>
PASS XXXX <----在调试模式下口令依旧不回显,但的确是明文传输 <br>
SYST <br>
PWD <br>
PORT *,*,*,*,4,154 <br>
LIST <br>
TYPE I <br>
PORT *,*,*,*,4,155 <br>
RETR mbox <br>
QUIT <br>
<br>
注意使用代理和不使用代理的唯一区别在于USER命令,其余命令都保持 <br>
了原状,使用代理的时候,client通过USER命令告诉代理最终的ftpServer。 <br>
在操作上的区别还有一个地方,就是open的时候,使用代理则应该 <br>
open proxyServer 2121,不使用代理则open ftpServer <br>
这里client是Linux,使用命令行上的ftp,如果是Pwin9x下的cuteftp, <br>
则选择user@site模式,但我没有来得及抓包分析。 <br>
使用wingate代理的时候,不一定在ftpServer后跟上:21。 <br>
<br>
显然要做检查,只需要关注NetXray抓下的这些包即可,考虑使用防火墙 <br>
外部代理的情况。如果防火墙允许访问这个外部代理,但又不允许通过 <br>
这个外部代理访问某些指定站点,则不但要在防火墙上限制直接访问, <br>
还要考虑通过代理访问。找到USER关键字,分析出ftpServer,用RST杀! <br>
顺便把PASS弄下来。但这里有一个问题,ftpServer是IP地址的时候好办, <br>
可惜ftpServer可以是名字,不一定是全称域名,proxyServer不一定使用 <br>
DNS解析,可以利用hosts文件,可以利用自己控制下的DNS。当防火墙 <br>
解析一个ftpServer的时候可能发现无法解析,此时根据没有明确允许 <br>
就是禁止原则杀掉。当防火墙解析成功并且认为是允许访问站点的时候, <br>
proxyServer上的域名解析机制完全可以将它解析成另外的IP地址,比如 <br>
一个防火墙本来不允许访问的站点,防火墙失败。考虑在防火墙允许连接 <br>
的外部广大范围的IP地址中挑一个,自己建立或者内外勾结建立一个 <br>
proxyServer,这不是不可能的,相反,有人已经在这样干。 <br>
<br>
(待续) <br>
<br>
<br>
-- <br>
我问飘逝的风:来迟了? <br>
风感慨:是的,他们已经宣战。 <br>
我问苏醒的大地:还有希望么? <br>
大地揉了揉眼睛:还有,还有无数代的少年。 <br>
我问长空中的英魂:你们相信? <br>
</small><hr>
<p align="center">[<a href="index.htm">回到开始</a>][<a href="502.htm">上一层</a>][<a href="514.htm">下一篇</a>]
<p align="center"><a href="http://cterm.163.net">欢迎访问Cterm主页</a></p>
</table>
</body>
</html>⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -