个人主机入侵网络攻击的步骤 个人主机入侵网络攻击的步骤
第一步:隐藏自已的位置
为了不在目的主机上留下自己的IP地址,防止被目的主机发现,老练的攻击者都会尽 量通过“跳板”或&ld... 09-06-13
2、攻击开始
扫描到有开放的端口,下一步自然是针对相关端口发起攻击,针对不同端口常见攻击方式有 :
139/445:“永恒”的ipc$(未发现此漏洞)
说是“永恒”,主要是因为这种漏洞基本已经只能存在于记忆中了。
什么是ipc,ipc是共享“命名管道”的资源,主要用于程序间的通讯。在远程管理计算机和 查看计算机的共享资源时使用。什么是“空连接”,利用默认的ipc我们可以与目标主机建 立一个空的连接(无需用户名与密码),而利用这个空的连接,我们就可以得目标主机上的 用户列表。
得到用户列表有什么用?我们可以利用ipc,访问共享资源,导出用户列表,并使用一些字 典工具,进行密码探测。得到了用户权限后,我们可以利用ipc共享访问用户的资源。但所 谓的ipc漏洞ipc漏洞,其实并不是真正意义上的漏洞,windows设计初衷是为了方便管理员 的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c,d,e ……)和系统目录winnt或windows(admin)。所有的这些,初衷都是为了方便管理员的管理, 但好的初衷并不一定有好的收效,曾经在一段时间,ipc$已经成为了一种最流行的入侵方式 。
ipc$需要在nt/2000/xp下运行,通常如果扫描出目标开放了139或445端口,往往是目标开启 ipc$的前兆,但如果目的主机关闭了ipc $连接共享,你依然无法建立连接,同样如果管理 员设置禁止导出用户列表,你就算建立ipc$连接也无法看到对方的用户列表。另外提醒一下 ,winxp系统中,已经禁止了远程用户的访问权限,因此,如果对方是xp的操作系统,就别 费这个劲了。
如何防范ipc$入侵
1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit,找到如下组建 [hkey_local_machine\system\currentcontrolset\control\lsa]把restrictanonymous = dword的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些win的服务出现 问题等等)
2禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)修改注册表
运行-regedit
server版:找到如下主键 [hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters]把 autoshareserver(dword)的键值改为:00000000。
pro版:找到如下主键 [hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters]把 autosharewks(dword)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)
5设置复杂密码,防止通过ipc$穷举密码
除了ipc$,我们还可以利用例如smbcrack通过暴力猜解管理员口令,如果对方未打补丁,我 们还可以利用各种rpc漏洞(就是冲击波、震荡波用的那些漏洞),通过各种溢出程序, 来得到权限提升(原理和病毒感染的原理是一样的)。
版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。
我要评论
发表评论