不用木马也能入侵?这不是天方夜谭吗?嘿嘿!这是网络上一种基于NetBIOS(Network Basic Input/Output System)的简单Windows入侵法,就算是你是菜鸟,也可以轻松掌握这种方法哦!或许你会说,好端端的,干吗要进入人家的计算机?呵呵,因为人都有很强烈的好奇心啊,谁知道你在Oicq上面说的话是不是骗我呢?所以,我要进你的计算机去看看你收藏了什么东西。嗯,很好的入侵理由!^_^
一、共享入侵的实现
1、 如何发现可以入侵的主机?
怎样在网络上发现我们能进去“瞧瞧”的计算机呢?首先,必须知道我们要找的计算机的IP地址。有些朋友会问:什么是IP地址呀?哇噻,如果这个你都不懂,还想在网络上搞“破坏”?!回家卖红薯算了!简单的说,IP地址就是我们在网络上的“名字”!在网络上,每个人的计算机都有这样一个各不相同、独立的“名字”。打个比喻来说,IP地址就像一个护照一样,有了它你就可以全世界到处溜达了。怎样知道对方的IP地址?为了能更方便、快捷地满足我们的好奇欲望,无数程序员努力工作,做出了很多优秀的扫描工具让我们来锁定要“瞧瞧”的目标。
2、 扫描端口工具的使用
端口是什么呢?端口就是Port。我们在网上冲浪的时候,IE浏览器和Oicq要在网上使用,都要使用一个唯一的Port来区别于其他网络软件的网络通讯。比方说,你的计算机是一个住了很多人的大杂院(IP地址是100.100.100.1),Oicq先生住在门牌(端口)是4000号的院子里,于是,你的朋友寄了一封信(UDP数据包)给Oicq先生(其实就是Oicq聊天啦),信封上面写着地址100.100.100.1,门牌(端口)号4000,于是,邮递员(路由器,负责网络IP数据包传递)把这封信送到你的大杂院里(100.100.100.1),大杂院门卫(Socket接口,负责www.it8g.com端口管理)再把这封信送到4000号院子里。当然了,假如你的Oicq先生不只一位(打开了多个Oicq),这几位Oicq先生会毫不客气地自个儿往门牌(端口)4001、4002、4003院子里面扎营,只要事先和门卫(Socket)打个招呼就行了。
(1)使用Shadow Scan或Port Scan工具扫描
以扫描端口工具而言,Shadow Scan、Port Scan是这方面的佼佼者,我们主要利用这些工具来确定对方的IP地址,再来扫出对方的139端口(NetBIOS服务)是否打开。
首先启动Shadow Scan的SANT(我用的是SANT 1.01.014.3),在Port Scaner的Address里面填入对方的IP地址,例如100.100.100.1,在From里面填入扫描起始的端口号,嗯,就填139吧,To里面就填入扫描结束的IP地址,也填139吧。然后“Start Scan”, 假如发现右下角的框框里面有了东西,如图1。那么,嘿嘿,说明对方打开了NetBIOS服务了。但是如何进去呢?别急,下一步介绍。
同样,Port Scan也可以把对方的139端口状态(139 CONNECT-139端口可连接)显示出来,见图2。
(2)使用Legion扫描
嘿嘿,现在介绍的Legion v2.1可是元老级的软件了,它能直接找出可以“进去”的主机,把对方不小心共享的硬盘给找出来。有两种扫描方式,Scan Range(指定IP范围扫描)和Scan List(指定IP地址扫描),我们通常用的都是Scan Range啦。Scan List对付固定的IP比较有用,对于拨号上网的普通主机(动态IP)就没什么作用了。例如我们填入Start IP(起始IP)100.100.100.1和End IP(结束IP)100.100.100.5,根据你的上网速度选择Connection Speed(连接速度),要量力而行,不要胡乱选择,假如你的扫描范围过大,或连接速度选择过快,呵呵!带来的后果就是任你等到海枯石烂也扫不出结果来。设置好后,点击Scan,我们可以坐下来喝口茶了,不过你要是专线上网的话,等的时间就只可能是喝口茶水,因为扫描结果很快就出来了,见图3。
(3)使用网络刺客II扫描
网络刺客II是一款优秀的国产扫描软件,扫描方式同Legion大同小异,我们只要在“主机资源”菜单下“搜索共享主机”里面,填好搜索范围,就可以等它帮我们把那些可以“进去”的主机找出来了,见图4。
3、 确定对方主机的NetBIOS协议生效
这个问题刚才已谈过,假如扫描的时候,对方主机的139端口已打开(可以连接),我们至少可得出两个结论,一、对方主机系统90%的可能是Windows(98/Me/NT/2000)系统;二、对方主机的防火墙可能没有打开或没装。虽然还不能肯定能否进去,不过,对入侵者来说已是有一线希望了!
4、 判断对方主机系统的类型
我们在“进入”之前,先要判断对方所用的系统是什么类型的,免得一头撞在墙上了,嘻嘻!
(1)Oicq端口判断法
我们用一般的Oicq聊天是很经常的事,不过,现在的高手不甘寂寞,制造出了一些水平高、有“特异功能”的Oicq了,什么么特异功能呢?就是显示你好友的IP、端口的Oicq了,假如我们看到对方是这样的IP——100.100.100.1:4000是什么意思呢?那多半说明对方IP——100.100.100.1的Oicq端口是4000,是在家上网了,而且是Windows系统的。假如看到的是100.100.100.1:63261呢?端口63261?!唉,端口在6万以上的,你还是死心吧。人家的Oicq是经过Unix或Linux系统代理的,你的“瘟酒吧”跟人家的系统不是一个级别的,别想进去搞什么名堂了,趁早打道回府吧!
(2)Twwwscan判断法
我不甘心,一定要看看对方的系统是什么东西,这时,Twwwsacn就派上用场了,只要对方主机提供了HTTP(端口80)服务,它就能告诉你对方用了什么系统以及出现了什么漏洞,使用很简单,在Dos模式下键入twwwscan 100.100.100.1 80,它就自动生成一个Html报告,当前最新版是1.2版,很好用的,不妨试试。
(3)其他的端口判断法
这个方法其实就是扫描对方的端口了。你可以使用追捕“追”一下对方的IP,“捕”回来对方的系统类型,或者还是使用老牌的Shadow Scan或Port Scan,快速扫描法——从端口1一直扫到1024,从对方的主机开放端口判断系统类型。
5、 针对主机的入侵
嘿嘿,看到这里,大家要注意了,可能脖子都等长了吧?嘻嘻!前面说过,使用Legion和网络刺客II扫描出一大堆可以“进去”的主机IP后,我们可以马上Map(映射)对方的硬盘,这样,在“我的电脑”里面就可以看到一大堆暂时属于我们的硬盘了。现在祈求对方不要下网断线吧,不过,我自己觉得还是没有使用IE直接进入方便,比如说对方的地址是100.100.100.1,我们可以在IE地址栏输入\\100.100.100.1,静待几十秒,对方共享出来的硬盘就出来了,假如没有共享密码提示框,就可以进去看看啦。不过只可远观而不可不亵玩耶!你还可以试试\\100.100.100.1\C$或者\\100.100.100.1\D$一直到Z$!
二、NetBIOS的共享原理
其实Windows系统的NetBIOS协议不但提供了139端口TCP连接(session support——会话支持),还提供了137端口UDP的name support(名字支持)和138端口UDP的atagram support(数据报支持)。这些端口有什么作用呢?139端口Windows系统对外提供了共享TCP连接,假如你的硬盘已经共享的话,139端口就是入侵者的必经之路了,入侵者会使用1024以上的端口来和你的主机139端口建立共享连接,138端口则是负责NetBIOS协议的UDP数据包的发送和接收,137端口则提供了该系统的NetBIOS名字服务,假如各位看到还是有点迷糊的话,可以运行WRY(追捕)来体验一下,“追捕”自己,看看发生了什么?嘿嘿,原来自己主机的域名、机器名和工作组以及提供了NetBIOS服务这些信息都给捕获出来了,见图5。
三、共享入侵的防范
我们已经了解了那些捣蛋鬼是如何利用我们的共享漏洞来“进入”主机的,现在来对那些捣蛋鬼说“不”吧!咦?有些朋友可能会奇怪,你刚才不是还在教大家如何去入侵别人吗?怎么现在又教大家“自卫术”了?知己知彼才能百战不殆呀!为了让大家更好地防御共享入侵,首先必须了解共享入侵的原理和手法,不得已扮了一回奸,现在还是恢复我的本来面目——忠吧。
1.启动防火墙
假如你想问,“防火墙是什么?我的系统里面没有它”之类的话,估计你可能早已遭受攻击和入侵多次了。你可以下载一个天网防火墙,把“防止互联网上的机器探测机器名称”和“禁止互联网上的机器使用我的共享资源”打上小勾,让它生效,如图6所示。
其实这两条规则就是封锁137和139端口的,拦截所有通向这两个端口的UDP和TCP数据包,假如你使用了其他防火墙,你只要把137、139端口封锁住就可以了(嘿嘿,我怕死,我自己的做法是封住了100至140的端口),效果是一样的。不过,天网没有网络通讯的实时监测状态图,不能不说是一个遗憾。
2.删除Windows系统的vserver.vxd(共享虚拟设备驱动程序)
在共享自己的硬盘时我们大多会把硬盘共享加上密码,以为这样会万无一失,其实这是错误的。有一个叫做Share的木马,在Windows注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan键下面增加了几个键值,分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$,把“Flags”的键值设置成dword:00000302(正常共享的键值是402),这样就会秘密共享我们的硬盘,别人可输入“\\IP地址\ CJT_C$”就可以进入我们的主机,严格来说,share并不是一匹server/client端的木马,只是修改了注册表而已。针对这种做法,我们可以采取如下的措施。
(1)把“网络邻居”属性“文件及打印共享”里面的“允许其他用户访问我的文件”和“允许其他计算机使用我的打印机”前面的小勾去掉,重启计算机。这样,就算你运行N次Share木马,也不会共享了,见图7所示。
(2)狠一点,把Windows\system\下面的Vserver.vxd(Microsoft 网络上的文件与打印机共享,虚拟设备驱动程序)删掉,再把HKEY_LOCAL_MACHINE\System\Current
ControlSet\Services\VxD\下的VSERVER键值删掉,永绝这类“木马”的后路,这种方法更安全;当确实需要硬盘共享的时候,运行Windows的“系统文件检查器”(sfc.exe),把Vserver.vxd重新提取出来即可。
(3)扫描自己的主机端口
这是最后一个步骤,嘿嘿。假如你对防火墙还是有点不太放心的话,使用Shadow Scan或Port Scan扫描自己的137至139端口,检验一下这些端口是否真的被封锁住了,你要是要足够的耐心,也不妨扫一下自己机器的1至65536端口,也可以在Windows的“Ms-dos”方式下输入“netstat -a -n”, 看看有没有什么端口打开了,这对于判断你的主机内有没有木马很有帮助。
好了,我们这期的网络共享入侵的实现、原理和预防就全部讲完了。如果你渴望成为一个黑客或者防黑高手,就赶快去亲自实践一下吧。不过记住,千万不要干坏事呀!^_^
