Windows作业系统的port139入侵

1Windows作業系統的port139入侵報告人:郭祐誠吳尚霖2內容簡介1.Port139功能2.Port139入侵步驟3.如何防護Port139入侵4.磁碟共享入侵(Win9x,WinME)5.WinNT、Win2K的預設共用漏洞6.如何取得磁碟讀寫權利31.Port139功能Port139為NetBIOS(NetBasicInput/OutputSystem,網路基本輸入/輸出系統)所使用的埠號，也就是網路資源分享所使用的埠號，如果有開資源分享，則port139就會開啟。42.Port139入侵步驟被駭者電腦是否打開Port139?是否打開port135利用RPC入侵NY是否打開port21利用FTP入侵Y是否打開port23利用Telnet入侵Y是否打開port3389猜中密碼入侵Y使用WinNTor2K?利用預設共用漏洞入侵植入共享磁碟機碼是否磁碟共享?是否有共享磁碟?利用系統漏洞/電子郵件/Windows當機/惡作劇NNNNNNNYYY接下頁下頁接至5是否要輸入密碼使用Win9XorWinMe?猜出密碼來入侵YN利用密碼漏洞破解是否成功?是否成功?磁碟是否可讀寫?植入磁碟可讀寫木馬或機碼N可進行各種駭客任務或植入病毒可進行有限度的駭客任務植入共享磁碟機碼YYYYN接至上頁NNNY來至上頁63.如何防護Port139入侵是否接至區域網路?是否提供Internet上的Windows連線?徹底關閉Port139NN關閉所有共享資源是否磁碟需要給其他連線電腦使用?使用Win9XorWinMe?YYYN設定個別使用者權限與密碼(Win2K/WinXP適用)N修補密碼漏洞是否提供唯讀(ReadOnly)Y設定只可唯讀Y設定不易猜到的密碼與用戶名稱N7關閉Port1391.網路卡連線項目上按滑鼠右鍵,選擇“內容”(2)此項目打勾取消(1)點選此項(3)按下此按鈕8(1)點選此項(2)點選此項(3)按下此按鈕9不可關閉Port139的4種情況1.若你需要透過Internet與其他電腦進行Windows連線,就不可以關閉。2.如果你同時有上網與連接辨公室或學校內部的區域網路,只需要將上網那個裝置的Port139關閉即可,不需要將連接內部區域網路的網路卡的Port139也關閉,否則區域網路中其他電腦就無法與你這台電腦連接。3.若你的電腦是經由區域網路中的其他電腦來連接Internet,則以不能關閉Port139。4.如果你本身是駭客則由於要使用Port139來進行IP掃描程式,就不可以將Port139關閉。104.磁碟共享入侵磁碟共享與密碼破解流程(WindowsXP)是否成功?入侵你的電腦Y建立最高權限帳號N猜測磁碟共享密碼是否成功?YN其它方式入侵11駭客手法1.將機碼檔(.reg)夾帶在電子郵件或網頁中騙取你執行它,由於目前大部分的防毒軟體都無法判斷機碼檔是否會對你的電腦造成破壞,因此仍有許多人可能會受騙上當而執行它,廣義的定義可以將它視為機碼病毒。2.利用OutlookExpress的MIME自動執行漏洞,將機碼檔夾帶在電子郵件當中,讓具有此漏洞的OutlookExpress一收到信件後就自動執行該機碼。3.利用ActiveX修改登錄機碼值漏洞,將設定磁碟共享機碼放在HTML信件中寄給對方,或釋放在網頁中任對方來瀏覽後趁機更改機碼值設定磁碟共享。12如何防護狀況1---Internet或區域網路都不提供磁碟共享不論你的電腦連接到Internet或LAN,只要磁碟跟印表機不需要給別人讀取,就可以將資源共享的項目刪除,操作如下頁…131.選擇此項2.按下此按鈕移除3.然後再將Windows系統所在的目錄下的System\Vserver.vxd刪除14狀況2---區域網路要磁碟共享但Internet不要如你的電腦有連接區域網路而且磁碟會給區域網路中的其他電腦存取使用,那就不能將資源共享與Vserver.vxd刪除,只好將連接到Internet那個網路裝置TCP/IP項目中FileandPrintersharingforMicrosoftNetworks打勾取消。狀況3---Internet需要共享磁碟如你的電腦需要給Internet上的人使用,那就不可以刪除也不可以關閉資源共享,只好經常檢查登錄資料中是否有被更改你不知道的磁碟共享,有就將其刪除,步驟如下:15按確定16HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\shares175.WinNT、Win2K的預設共用漏洞Windows2000/XP/2003版本的作業系統提供了預設共用功能，這些預設的共用都有“$”標誌，意為隱含的，包括所有的邏輯硬碟（C$，D$，E$……）和系統目錄Winnt或Windows（admin$）。帶來的問題：微軟的初衷是便於網管進行遠端管理，這雖然方便了局域網用戶，但對我們個人用戶來說這樣的設定是不安全的。如果電腦連上網路，網路上的任何人都可以通過共用硬碟，隨意進入你的電腦。所以我們有必要關閉這些共用。更為可怕的是，駭客可以通過連接你的電腦實現對這些預設共用的入侵。18關閉這些預設共用的方法:方法一:到“電腦管理”視窗中某個共用項（比如H$）上右鍵單擊，選擇“停止共用”並確認後就會關閉這個共用，它下面的共用圖示就會消失，重複幾次所有的項目都可以停止共用。注意:此方法治標不治本19方法二:開始-執行-command在命令字元下輸入：netshareC:\DccumentsandSettings\mynamenetshare出現目前在網路上所共享的資源：共用名稱資源說明-------------------------------------------------------------brIPC$遠端IPCD$D:\預設共用ADMIN$C:\WINDOWS遠端管理C$C:\預設共用E$E:\預設共用命令執行成功。-------------------------------------------------------------------如果覺得關閉比較妥的話就輸入netshareD$/DELETE出現以下訊息：C:\DccumentsandSettings\mynamenetshareD$/DELETED$已經刪除20方法三:1.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”項，雙擊右側視窗中的“AutoShareServer”項將鍵值由1改為0，這樣就能關閉硬碟各分區的共用。如果沒有AutoShareServer項，可自己新建一個再改鍵值。2.然後還是在這一視窗下再找到“AutoShareWks”項，也把鍵值由1改為0，關閉admin$共用。3.“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”項處找到“restrictanonymous”，將鍵值設為1，關閉IPC$共用。注意：要重新開機21方法四:右擊“網路芳鄰”選“內容”，在彈出的“區域連線”視窗中右擊“FileandPrinterSharingforMicrosoftNetworks”解除安裝。226.如何取得磁碟讀寫權利Win9x與WinME:寄磁碟共享機碼給對方。WinNT,Win2k與WinXP:方法如下頁…23建立最高權限帳戶*原理與說明---Windows系統本身會提供一個小工具net.exe,執行它即可建立最高權限帳戶netuserhacker1234/addNet指令這裡不變密碼,自己取用戶名稱自取這裡不變netlocalgroupadministratorshacker/add這裡改成你自己取的用戶名稱,其餘不變24駭客手法1.將前述的net命令批次檔夾帶在電子郵件中騙取你執行它,由於現在大多數的防毒軟體都無法判斷批次檔到底是否會對你的電腦造成破壞,因此有許多人可能會受騙上當而執行它,可是為批次檔病毒。2.利用OutlookExpress的MIME自動執行漏洞,將批次檔夾帶在電子郵件當中,讓具有此漏洞的OutlookExpress一收到信件後就自動執行該機碼。3.利用ActiveX執行程式的功能,將設定最高權限的批次檔放在HTML信件中寄給對方,收信後趁機執行。駭客防護—最好的方法就是不執行任何人寄來的檔案。