0×01背景
現在的很多遠控/后門因為目前主流防火墻規則的限制，基本上都采用TCP/UDP反彈回連的通訊形式；但是在較高安全環境下，尤其負責web相關業務的環境，因為安防設備（防火墻，IDS,IPS等）規則的嚴格限制，TCP/UDP(HTTP/HTTPS/DNS)甚至ICMP等隧道都不能很輕易從內網訪問Internet，只接受外部的請求。在這種場景下，攻擊者在拿到了webshell的前提下，考慮植入除webshell以外的后門就需要考慮如何來繞過防火墻等安防設備的限制了。
實際上關于端口復用這一古老的后門技術，一直研究者眾多，也提出了一些卓有成效的方法和工具，其中很多的解決方案都是通過劫持web服務器相關進程/服務的內存空間、系統API甚至劫持網絡驅動去達到目的，手法相當精妙，不過因為動作較大在不經意間就會觸發主動防御。本文將從IIS 6.0以后的微軟提供的原生機制出發，討論一種較自然的端口復用的技術：Net.tcp Port Sharing，直譯是為“端口共享”。
本文將通過分析Net.TCP Port Sharing這個機制，最后實現一個基于端口復用的正向后門，目的是分享一些攻防技術的研究成果，請勿作為非法用途。
0×02 Net.TCP Port Sharing 機制
在以前的Web應用中，一個Web應用綁定一個端口，若有其他應用則需要綁定其他的端口才能是西安監聽。如下圖所示，Web Application 1綁定了80端口后，Web Application 2再去綁定80端口會出錯。

現在使用微軟提供的NET.TCP Port Sharing服務，只要遵循相關的開發接口規則，就可以實現不同的應用共享相同的web服務器端口。如下圖中Web Application1 和Web Application2同時綁定在80端口。

Net.TCP Port Sharing服務是WCF（Windows Communication Foundation）中的一個新的系統組件，這個服務會開啟net.tcp 端口共享功能以達到在用戶的不同進程之間實現端口共享。這個機制的最終是在HTTP.sys中實現的，目前將許多不同HTTP應用程序的流量復用到單個TCP端口上的HTTP.SYS模型已經成為Windows平臺上的標準配置。這為防火墻管理員提供了一個共同的控制點，同時允許應用程序開發人員最小化構建可利用網絡新應用程序的部署成本。跨多個 HTTP應用程序共享端口的功能一直是Internet信息服務（IIS）的一項功能。實際上，HTTP.SYS允許任意用戶進程共享專用于HTTP流量的TCP端口。
HTTP.sys是在Windows Server 2003最開始引進的，這個驅動監聽HTTP流量，然后根據URL注冊的情況去分發，這樣多個進程可以在同一個端口監聽HTTP流量了。微軟公開了HTTP Server API庫，像httpcfg,netsh.exe等都是基于它的。如下圖。

整個過程描述如下：
（1）當IIS或者其他的應用使用HTTP Server API去監聽請求路徑的時候，這些應用需要在HTTP.SYS上面注冊url prefix ，關于注冊URL的規則，可以參考MSDN: https://msdn.microsoft.com/en-us/library/windows/desktop/aa364698(v=vs.85).aspx 。這是注冊的過程。
（2）當一個請求到來并被http.sys獲取到，它需要分發這個請求給注冊當前url對應的應用，這是路由的過程。
0×03 后門實現方式研究
微軟提供了HTTP Server API庫用于構建在Windows上的Web服務器，原生支持基于Net.tcp Port Sharing的Web Application 開發。目前HTTP Server API有兩個版本，推薦使用HTTP Server API 2.0。微軟提供了HTTP Server API 1.0的一個demo，地址在： https://msdn.microsoft.com/en-us/library/windows/desktop/aa364640(v=vs.85).aspx。
這是一個簡單的基于HTTP Server API 1.0的web server 例子，通過修改可以實現遠程命令執行的功能。
開發的應用只需要注冊與當前系統不沖突的URL（綁定的地址是一致的，只是URL路徑有差別），就可以實現URL注冊，瀏覽器（或者自定義開發的客戶端網絡程序）訪問對應的URL，服務端網絡程序會根據自身注冊的URL去解析執行客戶端的命令。基于此，完全可以通過服務器注冊一些特殊URL與客戶端訪問這些URL來達到一個HTTP一問一答的訪問模式的正向后門。
0×04 功能演示
環境：Windows 2008 R2 x64
IIS 7.0（默認設置）
防火墻狀態默認開啟
權限要求：功能需要Adminstrator用戶的完整性級別，即使沒有啟用Administrator，通過UAC提高程序完整性級別即可運行程序。
達到的目的：與Web服務器綁定同一端口，自身程序不監聽端口，通過注冊回調函數等待系統服務分發流量。服務器通過解析客戶端發送的請求（GET/POST或者其它方法）載荷，解析執行命令，然后以HTTP Response 的形式返回給客戶端。 
（1）在部署IIS的服務器上，后門程序注冊一個URL

　　當前編寫的只是一個demo，若是要做用戶態Rootkit，就需要做自身隱藏的功能，請讀者朋友們自由發揮，在這個過程中需要注意權限的控制。 （2）使用控制器連接目標機器的URL

當前控制器作為一個demo實現了一個交互式的CMD SHELL，代碼優化后會開源出來。
0×05 緩解措施與對抗策略研究
（1）防火墻/IDS/IPS與web服務器配合使用，在其規則中采用白名單機制去判斷是否屬于web服務器當前允許的ACL URL。
（2）請大家提出更多的建議。