445端口入侵(基于445端口漏洞的入侵试)

一、某个ip试图连接您的445端口 啥意思怎样防范

445端口是一个毁誉参半的端口，他和139端口一起是IPC$入侵的主要通道。有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉！我们所能做的就是想办法不让黑客有机可乘，封堵住445端口漏洞。

利用了Windows2000系统的端口排除功能将来自于445端口的所有信息包全部禁止掉，让“大恶人”们无法接近你的主机，下面是这种方法的具体实现步骤：

端口排除

打开Windows

2000系统的开始菜单，选中“设置”项下面的“网络和拨号连接”图标，并用鼠标右键单击之，从其后的快捷菜单中，单击“浏览”命令；

将“Internet协议(TCP/IP)”项选中，然后再单击一下“属性”按钮，打开Internet协议(TCP/IP)属性设置页面；

继续单击该页面中的“高级”按钮，打开高级TCP/IP设置窗口，选中其中的“选项”标签，并在该标签页面的“可选的设置”项中，将“TCP/IP筛选”选中，再单击一下对应的“属性”按钮，打开如图1所示的设置窗口；

由于445端口属于一种TCP端口，你可以在对应“TCP端口”的设置项处，将“只允许”项选中，激活下面的“添加”按钮，单击该按钮，在其后打开的“添加筛选器”窗口中，将必须用到的几个服务端口号码，都添加进来，而将用不到的445端口号码排除在外，设置完毕后，单击“确定”按钮，就可以让设置生效了。

二、如何利用445端口进行入侵渗透 445端口入侵原因详细解析

1首先，我们先建立一个空会话（当然，这需要目标开放 ipc$）

命令： net use\\ip\ipc$""/user:""

注意：上面的命令包括四个空格， net与 use中间有一个空格， use后面一个，密码左右各一个空格。

2查看远程主机的共享资源

命令： net view\\ip

解释：前提是建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下面的结果，但此命令不能显示默认共享。

在\\*.*.*.*的共享资源

资源共享名类型用途注释

-----------------------------------------------------------

NETLOGON Disk Logon server share

SYSVOL Disk Logon server share

命令成功完成。

3查看远程主机的当前时间

命令： net time\\ip

解释：用此命令可以得到一个远程主机的当前时间。

4得到远程主机的 NetBIOS用户名列表（需要打开自己的 NBT）

命令： nbtstat-A ip

用此命令可以得到一个远程主机的 NetBIOS用户名列表，返回如下结果：

Node IpAddress: [*.*.*.*] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status

---------------------------------------------

SERVER<00> UNIQUE Registered

OYAMANISHI-H<00> GROUP Registered

OYAMANISHI-H< 1C> GROUP Registered

SERVER<20> UNIQUE Registered

OYAMANISHI-H<1B> UNIQUE Registered

OYAMANISHI-H<1E> GROUP Registered

SERVER<03> UNIQUE Registered

OYAMANISHI-H<1D> UNIQUE Registered

..__MSBROWSE__.<01> GROUP Registered

INet~Services< 1C> GROUP Registered

IS~SERVER......<00> UNIQUE Registered

MAC Address= 00-50-8B-9A-2D-37

以上就是我们经常使用空会话做的事情，好像也能获得不少东西哟，不过要注意一点：建立 IPC$连接的操作会在 Event Log中留下记录，不管你是否登录成功。好了，那么下面我们就来看看 ipc$所使用的端口是什么？

五 ipc$所使用的端口

首先我们来了解一些基础知识：

1 SMBServer Message Block) Windows协议族，用于文件打印共享的服务；

2 NBTNETBios Over TCP/IP)使用 137（ UDP） 138（ UDP） 139（ TCP）端口实现基于 TCP/IP协议的 NETBIOS网络互联。

3在 WindowsNT中 SMB基于 NBT实现，即使用 139（ TCP）端口；而在 Windows2000中， SMB除了基于 NBT实现，还可以直接通过 445端口实现。

有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：

对于 win2000客户端（发起端）来说：

1如果在允许 NBT的情况下连接服务器时，客户端会同时尝试访问 139和 445端口，如果 445端口有响应，那么就发送 RST包给 139端口断开连接，用 455端口进行会话，当 445端口无响应时，才使用 139端口，如果两个端口都没有响应，则会话失败；

2如果在禁止 NBT的情况下连接服务器时，那么客户端只会尝试访问 445端口，如果 445端口无响应，那么会话失败。

对于 win2000服务器端来说：

1如果允许 NBT,那么 UDP端口 137, 138, TCP端口 139, 445将开放（ LISTENING）；

2如果禁止 NBT，那么只有 445端口开放。

我们建立的 ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听 139或 445端口， ipc$会话是无法建立的。

六 ipc管道在 hack攻击中的意义

ipc管道本来是微软为了方便管理员进行远程管理而设计的，但在入侵者看来，开放 ipc管道的主机似乎更容易得手。通过 ipc管道，我们可以远程调用一些系统函数（大多通过工具实现，但需要相应的权限），这往往是入侵成败的关键。如果不考虑这些，仅从传送文件这一方面，ipc管道已经给了入侵者莫大的支持，甚至已经成为了最重要的传输手段，因此你总能在各大论坛上看到一些朋友因为打不开目标机器的 ipc管道而一筹莫展大呼救命。当然，我们也不能忽视权限在 ipc管道中扮演的重要角色，想必你一定品尝过空会话的尴尬，没有权限，开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限，那么 ipc管道这把双刃剑将显示出它狰狞的一面。

七 ipc$连接失败的常见原因

以下是一些常见的导致 ipc$连接失败的原因：

1 IPC连接是 Windows NT及以上系统中特有的功能，由于其需要用到 Windows NT中很多 DLL函数，所以不能在Windows 9.x/Me系统中运行，也就是说只有 nt/2000/xp才可以相互建立 ipc$连接， 98/me是不能建立ipc$连接的；

2如果想成功的建立一个 ipc$连接，就需要响应方开启 ipc$共享，即使是空连接也是这样，如果响应方关闭了 ipc$共享，将不能建立连接；

3连接发起方未启动 Lanmanworkstation服务（显示名为： Workstation）：它提供网络链结和通讯，没有它发起方无法发起连接请求；

4响应方未启动 Lanmanserver服务（显示名为： Server）：它提供了 RPC支持、文件、打印以及命名管道共享， ipc$依赖于此服务，没有它主机将无法响应发起方的连接请求，不过没有它仍可发起 ipc$连接；

5响应方未启动 NetLogon，它支持网络上计算机 pass-through帐户登录身份（不过这种情况好像不多）；

6响应方的 139， 445端口未处于监听状态或被防火墙屏蔽；

7连接发起方未打开 139， 445端口；

8用户名或者密码错误：如果发生这样的错误，系统将给你类似于'无法更新密码'这样的错误提示（显然空会话排除这种错误）；

9命令输入错误：可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号""即可；

10如果在已经建立好连接的情况下对方重启计算机，那么 ipc$连接将会自动断开，需要重新建立连接。

三、445端口如何入侵可以入侵的端口有哪几个

通过135端口入侵实际上是利用RPC漏洞来攻击计算机的。一般情况下135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）

协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；

使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。

下面我就来介绍一下通过135端口入侵的方法。

（1）通过135端口入侵，攻击者首先需要查找网络上存在135端口漏洞的主机地址，在查找此类主机过程中，可以使用一些扫描工具，比如SuperScan就是典型的端口工具之一。在SuperScan“开始”文本框中输入需要扫描的起始地址，然后在“结束”文本框里填写好扫描结束的IP地址，在“扫描类型”选项中选择“所有端口定义”单选按钮，并在右侧的文本框中输入“135”。再点击“开始”按钮即可开始扫描。扫描结束后，在下方的列表中可以查看目标主机打开的端口。然后再点击“Save”按钮选好保存路径，把里面有漏洞的IP整理下即可。

（2）得到有漏洞后，我们还有一个功能强大的扫描工具，比如NTSscn汉化版。然后在“主机文件“处点击“打开”按钮找到我们刚才保存的IP路径，在连接共享$处选择“WMI扫描”，在“扫描打开端口的主机”处填写135端口。最后点击“开始”即可。要不了多久就会有结果显示。

（3）获得漏洞主机用户名以后，我们需要一个开启的工具，那就是Recton v2.5。好了，万事具备之欠那“东风”拉。把刚刚扫描的IP输入TELNET界面的“远程主机”处，以及用户名和密码，不过一般情况下密码都是空。下一步点击“开始执行”按钮等待把TELNET打开吧。打开后按WIN+R输入CMD进入再输入Telnet IP回车，会提示让你输入用户名，把用户名输入后，回车即可进入主机。而且得到的还是SYSTEM权限。

下一步就是为我们加了拥有管理员权限的用户，看看我杰作。最后我们可以上传一些远程性木马软件作为后门，比如灰鸽子，冰河等。在这里我就不在展示。我还是喜欢3389端口，那我就给他上传个开启3389的脚本，不过对于开启3389端口的工具网上还真的不少，比如Recton v2.5就有这个功能。好了3389端口已经成功开启大家看我连接的。怎么样，就这么轻松得到了一台。是不是很过瘾啊。