1. 漏洞描述
NetBIOS 即Network Basic Input Output System(网络基本输入输出系统),是一种应用程序接口(API),
系统可以利用W I N S 服务、广播及L m h o s t 文件等多种模式将N e t B I O S 名解析为相应的I P 地址,从而实现信息通
讯。在局域网内部使用N e t B I O S 协议可以非常方便地实现信息通讯,但是如果在网上,N e t B I O S 就相当于一个后
门程序,黑客可以利用N e t B I O S 漏洞发起攻击。
当我们在接入互联网时,实际上只需要安装T C P / I P 协议,但在安装协议时,N e t B I O S 也被W i n d o w s 作为默
认设置载入了电脑,电脑也因此具有了N e t B I O S 本身的开放性,1 3 9 端口被打开。换句话讲,在不知不觉间,上
网电脑已被打开了一个危险的“后门”。通过这个后门,黑客可以利用专门的工具扫描出我们共享的资源(包括
W i n d o w s 2 0 0 0 的默认共享),再利用破解共享密码的工具破解密码(甚至有些共享根本就没有密码)后,就可
以进入相应的文件夹或磁盘,那时简直是想要做什么都可以。
NetBIOS 漏洞的攻击主要是针对Windows 9x 的机器,因为Windows 2000 至少还有一个登录密码在把
关,没有账户和密码不易连接。
2. 利用NetBIOS 漏洞进行攻击
想要利用个人用户的远程共享漏洞很容易,只要使用扫描软件进行网络扫描,就会发现很多提供了共
享的肉机,S h e d 就是这类可搜索共享资源软件中的佼佼者。
Shed 软件是一个绿色软件,无需安装。下面我们来看看利用Shed 软件如何扫描具有NetBIOS 漏洞的Windows
9 x 肉机。
具体的操作步骤如下:
① 只要双击Shed.exe 程序就可以打开主界面,如图2-2-1 所示,然后在起始IP 和终止IP 的框中写上想要
扫描的I P 地址范围,然后点击“开始扫描”按钮。
·32·
② S h e d 的扫描速度极快,扫描结束后,会在主界面的“已探索共享资源”列表中显示扫描到设置了网络
共享的主机,双击驱动器图样的主机标识就可以展开该主机,显示其共享的磁盘或共享的文件夹,如图2 - 2 - 2
所示。
③ 如果可以双击任何一个共享硬盘或文件夹,而目标机是W i n d o w s 9 x 的操作系统,且没有设置共享密码
的话,那可就真是如入无人之境了,只需点击其中“生活文摘”共享文件夹,就可以直接看到详细的资料信息
了,如图2 - 2 - 3 所示。点击鼠标右键中的复制,然后粘贴到本地硬盘,就把目标机的资料盗到本地来了。
图2-2-3 查看到的详细资料
如果共享文件夹设有共享密码,或是使用Windows 2000 的机器,会被要求输入共享用户名和密码,如图2 -
2-4 所示。
图2-2-4 要求输入用户和密码
图2-2-1 Shed 程序的运行主界面图2-2-2 扫描结果显示
·33·
对于使用Windows 9x 的机器,可以利用一个专门破解Windows 9x 网络邻居密码的工具软件Pqwak 来破解。
直接运行P q w a k . e x e 程序,输入机器名、共享名、I P 地址等信息,点击确定,很快就会在右下角显示出密码,如
图2 - 2 - 5 所示的“1 2 3 4 5 6”即为破解出来的密码。
图2-2-5 用PQwak 破解出共享文件夹密码
Pqwak.exe 是破解网络邻居密码的工具软件,可用此工具查出共享密码的系统有:Windows 95、Windows
98、Windows 98 第二版、Windows Me。
在图2 - 2 - 4 的对话框中,在用户名一栏填入机器名,对于W i n d o w s 9 x 机器来说,一般用户名就是机器名,
在密码栏输入由P Q w a k 破解出来的密码,点击确定即可进入相应文件夹。
如果目标机使用的是W i n d o w s 2 0 0 0,P q w a k 程序就破解不出密码,此时只能采用别的方法如流光之类的工
具,先破解目标机的弱口令密码后再破解共享文件夹。在第2 . 2 . 2 节,我们在针对I P C $ 漏洞的入侵与防御中将
讲解获取Windows 2000 中弱口令账户的方法。
3.防御方法
如果平时不需要N e t B I O S 提供的共享文件和打印之类的功能,就可以禁用N e t B I O S 协议或是关闭1 3 9 端口。
① 解开文件和打印机共享绑定
鼠标右击桌面上的“网络邻居| 属性| 本地连接| 属性”,去掉“M i c r o s o f t 网络的文件和打印机共享”前
面的钩,如图2 - 2 - 6 所示,解开文件和打印机共享绑定,这样就会禁止所有从1 3 9 和4 4 5 端口来的请求,别人也
就看不到本机的共享了。
图2-2-6 解开文件和打印机共享绑定
·34·
② 禁用TCP/IP 上的NetBIOS
鼠标右击桌面上“网络邻居| 属性| 本地连接| 属性”,
打开“本地连接属性”对话框。选择“Internet 协议(TCP/
IP)| 属性| 高级|WINS”,选中下侧的“禁用TCP/IP 上的
NetBIOS”一项即可解除,如图2-2-7。
③ 使用IPSec 安全策略阻止对端口139 和445 的访问
选择“我的电脑| 控制面板| 管理工具| 本地安全策略
| I P 安全策略,在本地机器”,在这里定义一条阻止任何I P
地址从TCP139 和TCP445 端口访问我的IP 地址的IPSec 安全
策略规则,如图2 - 2 - 8 所示,这样别人使用扫描器时,本
机的1 3 9 和4 4 5 两个端口也不会给予任何回应。
④ 停止Server 服务
选择“我的电脑| 控制面板| 管理工具| 服务”,进入
服务管理器,关闭S e r v e r 服务,如图2 - 2 - 9 所示,这样虽
然什么端口都不会关,但可以中止本机对其他机器的服
务,当然也就中止了对其他机器的共享。但是关闭了该服
务会导致很多相关的服务无法启动,机器中如果有I I S 服
务,则不能采用这种方法。
⑤ 使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。
如在“天网个人防火墙”中,选择一条空规则,设置数据
包方向为“接收”,对方I P 地址选“任何地址”,协议设定
为“T C P”,本地端口设置为“1 3 9 到1 3 9”,对方端口设置
为“0 到0 ”,设置标志位为“S Y N ”,动作设置为“拦截”,
最后单击“确定”按钮,并在“自定义I P 规则”列表中勾
选此规则即可启动拦截1 3 9 端口攻击,如图2 - 2 - 1 0 所示。
以上的几种方法中,根据机器本身的具体情况,选择
一种方法执行便可达到关闭N e t B I O S 协议的目的。
图2-2-7 禁用TCP/IP 上的NetBIOS
图2-2-8 用IPSec 安全策略阻止对端口139 和445 的访问
图2-2-9 停止Server 服务图2-2-10 使用防火墙拦截139 攻击
·35·
除了关闭N e t B I O S 协议或是关闭端口以外,我们也可以采用以下方法来简单防范:
①关闭不需要共享的目录和外设属性,这是防范共享入侵的一种有效方法。
②使用复杂的字符来命名共享名称,这样往往会让N e t V i e w 命令输出与一些扫描失效。
扫一扫
11-20
2935
2935
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
