445端口入侵(445端口入侵怎么办?)
一、如何利用445端口进行入侵渗透 445端口入侵原因详细解析
1首先,我们先建立一个空会话(当然,这需要目标开放 ipc$)
命令: net use\\ip\ipc$""/user:""
注意:上面的命令包括四个空格, net与 use中间有一个空格, use后面一个,密码左右各一个空格。
2查看远程主机的共享资源
命令: net view\\ip
解释:前提是建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共享,可以得到如下面的结果,但此命令不能显示默认共享。
在\\*.*.*.*的共享资源
资源共享名类型用途注释
-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。
3查看远程主机的当前时间
命令: net time\\ip
解释:用此命令可以得到一个远程主机的当前时间。
4得到远程主机的 NetBIOS用户名列表(需要打开自己的 NBT)
命令: nbtstat-A ip
用此命令可以得到一个远程主机的 NetBIOS用户名列表,返回如下结果:
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
SERVER<00> UNIQUE Registered
OYAMANISHI-H<00> GROUP Registered
OYAMANISHI-H< 1C> GROUP Registered
SERVER<20> UNIQUE Registered
OYAMANISHI-H<1B> UNIQUE Registered
OYAMANISHI-H<1E> GROUP Registered
SERVER<03> UNIQUE Registered
OYAMANISHI-H<1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services< 1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered
MAC Address= 00-50-8B-9A-2D-37
以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:建立 IPC$连接的操作会在 Event Log中留下记录,不管你是否登录成功。好了,那么下面我们就来看看 ipc$所使用的端口是什么?
五 ipc$所使用的端口
首先我们来了解一些基础知识:
1 SMBServer Message Block) Windows协议族,用于文件打印共享的服务;
2 NBTNETBios Over TCP/IP)使用 137( UDP) 138( UDP) 139( TCP)端口实现基于 TCP/IP协议的 NETBIOS网络互联。
3在 WindowsNT中 SMB基于 NBT实现,即使用 139( TCP)端口;而在 Windows2000中, SMB除了基于 NBT实现,还可以直接通过 445端口实现。
有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:
对于 win2000客户端(发起端)来说:
1如果在允许 NBT的情况下连接服务器时,客户端会同时尝试访问 139和 445端口,如果 445端口有响应,那么就发送 RST包给 139端口断开连接,用 455端口进行会话,当 445端口无响应时,才使用 139端口,如果两个端口都没有响应,则会话失败;
2如果在禁止 NBT的情况下连接服务器时,那么客户端只会尝试访问 445端口,如果 445端口无响应,那么会话失败。
对于 win2000服务器端来说:
1如果允许 NBT,那么 UDP端口 137, 138, TCP端口 139, 445将开放( LISTENING);
2如果禁止 NBT,那么只有 445端口开放。
我们建立的 ipc$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听 139或 445端口, ipc$会话是无法建立的。
六 ipc管道在 hack攻击中的意义
ipc管道本来是微软为了方便管理员进行远程管理而设计的,但在入侵者看来,开放 ipc管道的主机似乎更容易得手。通过 ipc管道,我们可以远程调用一些系统函数(大多通过工具实现,但需要相应的权限),这往往是入侵成败的关键。如果不考虑这些,仅从传送文件这一方面,ipc管道已经给了入侵者莫大的支持,甚至已经成为了最重要的传输手段,因此你总能在各大论坛上看到一些朋友因为打不开目标机器的 ipc管道而一筹莫展大呼救命。当然,我们也不能忽视权限在 ipc管道中扮演的重要角色,想必你一定品尝过空会话的尴尬,没有权限,开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限,那么 ipc管道这把双刃剑将显示出它狰狞的一面。
七 ipc$连接失败的常见原因
以下是一些常见的导致 ipc$连接失败的原因:
1 IPC连接是 Windows NT及以上系统中特有的功能,由于其需要用到 Windows NT中很多 DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有 nt/2000/xp才可以相互建立 ipc$连接, 98/me是不能建立ipc$连接的;
2如果想成功的建立一个 ipc$连接,就需要响应方开启 ipc$共享,即使是空连接也是这样,如果响应方关闭了 ipc$共享,将不能建立连接;
3连接发起方未启动 Lanmanworkstation服务(显示名为: Workstation):它提供网络链结和通讯,没有它发起方无法发起连接请求;
4响应方未启动 Lanmanserver服务(显示名为: Server):它提供了 RPC支持、文件、打印以及命名管道共享, ipc$依赖于此服务,没有它主机将无法响应发起方的连接请求,不过没有它仍可发起 ipc$连接;
5响应方未启动 NetLogon,它支持网络上计算机 pass-through帐户登录身份(不过这种情况好像不多);
6响应方的 139, 445端口未处于监听状态或被防火墙屏蔽;
7连接发起方未打开 139, 445端口;
8用户名或者密码错误:如果发生这样的错误,系统将给你类似于'无法更新密码'这样的错误提示(显然空会话排除这种错误);
9命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号可以省略,如果密码为空,可以直接输入两个引号""即可;
10如果在已经建立好连接的情况下对方重启计算机,那么 ipc$连接将会自动断开,需要重新建立连接。
二、445端口受到网络攻击,怎么办
网上抄过来的
其实你只要把445端口对应的服务关掉就行了
根本解决方法
找到攻击你的那台电脑然后帮他杀个毒就行了
1.端口排除法
单击“开始”→“设置”→“网络和拨号连接”→“Internet连接”,选中“属性”选项,弹出Internet连接属性窗口;
打开“常规”标签页面,选中“Internet协议(TCP/IP)”,单击“属性”,再单击属性页面中的“高级”按钮,打开高级TCP/IP设置窗口,选中“选项”标签,并在该标签页面的“可选的设置”项中,将“TCP/IP筛选”选中,同时单击“属性”,打开设置窗口
由于445端口属于一种TCP端口,你可以在对应“TCP端口”的设置项处,将“只允许”项选中,激活下面的“添加”按钮,单击该按钮,在其后打开的“添加筛选器”窗口中,将必须用到的几个服务端口号码,都添加进来,而将用不到的445端口号码排除在外,设置完毕后,单击“确定”按钮,就可以让设置生效了。
2。服务关闭法
考虑到文件夹或打印机共享服务,才会利用到445端口,因此直接将文件夹或打印机共享服务停止掉,同样也能实现关闭445端口的目的:
按前面方法,打开“Internet连接”属性窗口;在“常规”标签页面中,将“此连接使用下列选定的组件”列表框中的“Microsoft网络的文件或打印机共享”选项取消,再单击“确定”,重新启动系统就可以了。
当然,你也可以利用本地安全设置中的“用户权利指派”功能,指定Internet上的任何用户都无权访问本地主机,从而实现间接关闭445端口的目的:
依次单击“开始”→“程序”→“管理工具”→“本地安全设置”选项,展开“安全设置”→“本地策略”→“用户权利指派”文件夹,双击“拒绝从网络访问这台计算机”(如图2);继续单击“添加”,选中“everyone”选项,再单击“添加”、“确定”,这样任何一位外来访问者,都无法从网络访问到本地主机了。不过该方法,“打击”范围比较广,造成的后果是无论是“敌人”,还是“良民”,都无法访问到共享资源了,因此这种方法,适宜在保存有绝对机密信息的服务器中使用。
3。注册表设置法
种方法,是通过修改注册表,将用于文件夹或打印机共享的服务禁止掉,具体操作方法为:
依次展开注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,在右边窗口中新创建“SMBDeviceEnabled”双字节值,再将其设置为“0”,然后重新启动一下系统就OK了。
4.防火墙设置法
这种方法,是利用防火墙的安全过滤规则,将通过445端口的任何数据包拦截下来。比方说,启动“KV3000的反黑王防火墙”,单击“防火墙控制”处的“规则设置”按钮,再单击“增加规则”,打开图3界面;
在该界面的名称设置项处,输入“关闭445端口”,在“网络条件”处,选中“接受数据包”,并将对方IP地址设置为“任何地址”,将本地IP地址设置为“指定本地IP地址”,然后输入本地主机的IP地址。
单击“TCP”标签,并在本地端口处,选中“指定端口”,并输入“445”;在“对方端口”处,选中“任一端口”选项。
图3
在“规则对象”处,选中“系统访问网络时”,在“当所有条件满足时”处,选中“拦截”,最后单击“确定”,完成安全过滤规则的创建。返回到反黑王防火墙的规则设置窗口,选中刚刚创建好的“关闭445端口”的过滤规则,如此一来,来自445端口的各种非法入侵,都会被反黑王防火墙自动拦截。
组策略设置法
依次单击“开始”→“程序”→“管理工具”→“本地安全策略”,打开一个本地组策略编辑界面,右击“IP安全策略,在本地机器”,执行“创建IP安全策略”命令,弹出一个创建向导界面;
单击“下一步”,在“名称”处,输入“关闭445端口”,再单击“下一步”,选中“激活默认响应规则”,其余参数均设置为默认值,就可以完成新安全策略的创建操作了;单击“添加”,继续单击“下一步”,选中“此规则不指定隧道”,然后将“网络类型”设置为“所有网络连接”,接着选中“Windows 2000默认值……”选项,再单击“下一步”,在IP筛选器列表界面中单击“添加”,将IP筛选器名称设置为“阻止445端口”,单击“添加”,再将源地址设置为“任何IP地址”,将目标地址设置为“我的IP地址”,继续单击“下一步”,选中“TCP”;
在随后的窗口中,选中“从任意端口到此端口”,并输入“445”,最后依次单击“完成”、“关闭”,返回到IP筛选器列表页面;然后选中“阻止445端口”筛选器,单击“下一步”,选中“拒绝”选项,再依次单击“下一步”、“完成”按钮,就能将“阻止445端口”的筛选器,添加到名为“关闭445端口”的IP安全策略中了,再单击“确定”按钮,返回到“本地安全设置”窗口中。
最后,在“本地安全设置”窗口中,右击“关闭445端口”策略,从弹出的快捷菜单中,依次单击“所有任务”/“指派”命令,就能使上述设置生效了。
三、445端口如何入侵可以入侵的端口有哪几个
通过135端口入侵实际上是利用RPC漏洞来攻击计算机的。一般情况下135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)
协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;
使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。
下面我就来介绍一下通过135端口入侵的方法。
(1)通过135端口入侵,攻击者首先需要查找网络上存在135端口漏洞的主机地址,在查找此类主机过程中,可以使用一些扫描工具,比如SuperScan就是典型的端口工具之一。在SuperScan“开始”文本框中输入需要扫描的起始地址,然后在“结束”文本框里填写好扫描结束的IP地址,在“扫描类型”选项中选择“所有端口定义”单选按钮,并在右侧的文本框中输入“135”。再点击“开始”按钮即可开始扫描。扫描结束后,在下方的列表中可以查看目标主机打开的端口。然后再点击“Save”按钮选好保存路径,把里面有漏洞的IP整理下即可。
(2)得到有漏洞后,我们还有一个功能强大的扫描工具,比如NTSscn汉化版。然后在“主机文件“处点击“打开”按钮找到我们刚才保存的IP路径,在连接共享$处选择“WMI扫描”,在“扫描打开端口的主机”处填写135端口。最后点击“开始”即可。要不了多久就会有结果显示。
(3)获得漏洞主机用户名以后,我们需要一个开启的工具,那就是Recton v2.5。好了,万事具备之欠那“东风”拉。把刚刚扫描的IP输入TELNET界面的“远程主机”处,以及用户名和密码,不过一般情况下密码都是空。下一步点击“开始执行”按钮等待把TELNET打开吧。打开后按WIN+R输入CMD进入再输入Telnet IP回车,会提示让你输入用户名,把用户名输入后,回车即可进入主机。而且得到的还是SYSTEM权限。
下一步就是为我们加了拥有管理员权限的用户,看看我杰作。最后我们可以上传一些远程性木马软件作为后门,比如灰鸽子,冰河等。在这里我就不在展示。我还是喜欢3389端口,那我就给他上传个开启3389的脚本,不过对于开启3389端口的工具网上还真的不少,比如Recton v2.5就有这个功能。好了3389端口已经成功开启大家看我连接的。怎么样,就这么轻松得到了一台。是不是很过瘾啊。