必威体育Betway必威体育官网
当前位置:首页 > IT技术

NetBIOS 漏洞的入侵与防御

时间:2019-05-31 20:41:03来源:IT技术作者:seo实验室小编阅读:86次「手机版」
 

netbios-ssn

1. 漏洞描述

NetBiOS 即Network Basic Input Output System(网络基本输入输出系统),是一种应用程序接口(API),

系统可以利用W I N S 服务、广播及L m h o s t 文件等多种模式将N e t B I O S 名解析为相应的I P 地址,从而实现信息通

讯。在局域网内部使用N e t B I O S 协议可以非常方便地实现信息通讯,但是如果在网上,N e t B I O S 就相当于一个后

门程序,黑客可以利用N e t B I O S 漏洞发起攻击。

当我们在接入互联网时,实际上只需要安装T C P / I P 协议,但在安装协议时,N e t B I O S 也被W i n d o w s 作为默

认设置载入了电脑,电脑也因此具有了N e t B I O S 本身的开放性,1 3 9 端口被打开。换句话讲,在不知不觉间,上

网电脑已被打开了一个危险的“后门”。通过这个后门,黑客可以利用专门的工具扫描出我们共享的资源(包括

W i n d o w s 2 0 0 0 的默认共享),再利用破解共享密码的工具破解密码(甚至有些共享根本就没有密码)后,就可

以进入相应的文件夹或磁盘,那时简直是想要做什么都可以。

NetBIOS 漏洞的攻击主要是针对windows 9x 的机器,因为Windows 2000 至少还有一个登录密码在把

关,没有账户和密码不易连接。

2. 利用NetBIOS 漏洞进行攻击

想要利用个人用户的远程共享漏洞很容易,只要使用扫描软件进行网络扫描,就会发现很多提供了共

享的肉机,S h e d 就是这类可搜索共享资源软件中的佼佼者。

Shed 软件是一个绿色软件,无需安装。下面我们来看看利用Shed 软件如何扫描具有NetBIOS 漏洞的Windows

9 x 肉机。

具体的操作步骤如下:

① 只要双击Shed.exe 程序就可以打开主界面,如图2-2-1 所示,然后在起始IP 和终止IP 的框中写上想要

扫描的I P 地址范围,然后点击“开始扫描”按钮。

·32·

② S h e d 的扫描速度极快,扫描结束后,会在主界面的“已探索共享资源”列表中显示扫描到设置了网络

共享的主机,双击驱动器图样的主机标识就可以展开该主机,显示其共享的磁盘或共享的文件夹,如图2 - 2 - 2

所示。

③ 如果可以双击任何一个共享硬盘或文件夹,而目标机是W i n d o w s 9 x 的操作系统,且没有设置共享密码

的话,那可就真是如入无人之境了,只需点击其中“生活文摘”共享文件夹,就可以直接看到详细的资料信息

了,如图2 - 2 - 3 所示。点击鼠标右键中的复制,然后粘贴到本地硬盘,就把目标机的资料盗到本地来了。

图2-2-3 查看到的详细资料

如果共享文件夹设有共享密码,或是使用Windows 2000 的机器,会被要求输入共享用户名和密码,如图2 -

2-4 所示。

图2-2-4 要求输入用户和密码

图2-2-1 Shed 程序的运行主界面图2-2-2 扫描结果显示

·33·

对于使用Windows 9x 的机器,可以利用一个专门破解Windows 9x 网络邻居密码的工具软件Pqwak 来破解。

直接运行P q w a k . e x e 程序,输入机器名、共享名、I P 地址等信息,点击确定,很快就会在右下角显示出密码,如

图2 - 2 - 5 所示的“1 2 3 4 5 6”即为破解出来的密码。

图2-2-5 用PQwak 破解出共享文件夹密码

Pqwak.exe 是破解网络邻居密码的工具软件,可用此工具查出共享密码的系统有:Windows 95、Windows

98、Windows 98 第二版、Windows Me。

在图2 - 2 - 4 的对话框中,在用户名一栏填入机器名,对于W i n d o w s 9 x 机器来说,一般用户名就是机器名,

在密码栏输入由P Q w a k 破解出来的密码,点击确定即可进入相应文件夹。

如果目标机使用的是W i n d o w s 2 0 0 0,P q w a k 程序就破解不出密码,此时只能采用别的方法如流光之类的工

具,先破解目标机的弱口令密码后再破解共享文件夹。在第2 . 2 . 2 节,我们在针对I P C $ 漏洞的入侵与防御中将

讲解获取Windows 2000 中弱口令账户的方法。

3.防御方法

如果平时不需要N e t B I O S 提供的共享文件和打印之类的功能,就可以禁用N e t B I O S 协议或是关闭1 3 9 端口。

① 解开文件和打印机共享绑定

鼠标右击桌面上的“网络邻居| 属性| 本地连接| 属性”,去掉“M i c r o s o f t 网络的文件和打印机共享”前

面的钩,如图2 - 2 - 6 所示,解开文件和打印机共享绑定,这样就会禁止所有从1 3 9 和4 4 5 端口来的请求,别人也

就看不到本机的共享了。

图2-2-6 解开文件和打印机共享绑定

·34·

② 禁用TCP/IP 上的NetBIOS

鼠标右击桌面上“网络邻居| 属性| 本地连接| 属性”,

打开“本地连接属性”对话框。选择“Internet 协议(TCP/

IP)| 属性| 高级|WINS”,选中下侧的“禁用TCP/IP 上的

NetBIOS”一项即可解除,如图2-2-7。

③ 使用IPSec 安全策略阻止对端口139 和445 的访问

选择“我的电脑| 控制面板| 管理工具| 本地安全策略

| I P 安全策略,在本地机器”,在这里定义一条阻止任何I P

地址从TCP139 和TCP445 端口访问我的IP 地址的IPSec 安全

策略规则,如图2 - 2 - 8 所示,这样别人使用扫描器时,本

机的1 3 9 和4 4 5 两个端口也不会给予任何回应。

④ 停止Server 服务

选择“我的电脑| 控制面板| 管理工具| 服务”,进入

服务管理器,关闭S e r v e r 服务,如图2 - 2 - 9 所示,这样虽

然什么端口都不会关,但可以中止本机对其他机器的服

务,当然也就中止了对其他机器的共享。但是关闭了该服

务会导致很多相关的服务无法启动,机器中如果有I I S 服

务,则不能采用这种方法。

⑤ 使用防火墙防范攻击

在防火墙中也可以设置阻止其他机器使用本机共享。

如在“天网个人防火墙”中,选择一条空规则,设置数据

包方向为“接收”,对方I P 地址选“任何地址”,协议设定

为“T C P”,本地端口设置为“1 3 9 到1 3 9”,对方端口设置

为“0 到0 ”,设置标志位为“S Y N ”,动作设置为“拦截”,

最后单击“确定”按钮,并在“自定义I P 规则”列表中勾

选此规则即可启动拦截1 3 9 端口攻击,如图2 - 2 - 1 0 所示。

以上的几种方法中,根据机器本身的具体情况,选择

一种方法执行便可达到关闭N e t B I O S 协议的目的。

图2-2-7 禁用TCP/IP 上的NetBIOS

图2-2-8 用IPSec 安全策略阻止对端口139 和445 的访问

图2-2-9 停止Server 服务图2-2-10 使用防火墙拦截139 攻击

·35·

除了关闭N e t B I O S 协议或是关闭端口以外,我们也可以采用以下方法来简单防范:

①关闭不需要共享的目录和外设属性,这是防范共享入侵的一种有效方法。

②使用复杂的字符来命名共享名称,这样往往会让N e t V i e w 命令输出与一些扫描失效。

相关阅读

网站漏洞渗透检测过程与修复方案

什么是网站渗透测试? 该如何做网站安全检测网站的渗透测试简单来 说就是模拟攻击者的手法以及攻击手段去测试网站的漏洞,对网站进行

深入解析sprintf格式化字符串漏洞

深入解析sprintf格式化字符串漏洞 0x00 前言 从相遇到相识 从相识到相知 ......... 不过你真的懂ta吗 这次故事的主角是PHP中的

Metasploit利用MS08-067漏洞

环境 攻击机器:ubuntu 18.04被攻击机器:windows xp sp2 可能使用的工具 metasploitnessusnmap等 正文 首先搭建所需要的靶机环境

苹果手机FaceTime出现隐私漏洞:官方关停视频功能

A5创业网(公众号:iadmin5)1月30日报道,近日不少媒体曝出了苹果iPhone手机中的FaceTime功能出现了隐私漏洞,当用户在使用该功能时,可以在

网站漏洞中的渗透测试详情

最近忙于工作没有抽出时间来分享渗透测试文章,索性今天由我们Sinesafe的高级渗透大牛给大家详细讲下主要在业务中发现逻辑和越权

分享到:

栏目导航

推荐阅读

热门阅读