浅谈139/445与入侵2K主机

简介:
原创文章,转载请保留以下信息
作者:ipist (ipist#126.com) 
来源:[url]http://www.xfocus.net[/url]
 
   SMB(Server Message Block),Windows协议族,用于文件和打印共享服务。在Win9X/NT中SMB基于NBT实现,NBT(NetBIOS over TCP/IP)使用137, 138 (UDP) and 139 (TCP)来实现基于TCP/IP的NETBIOS网际互联;而在Win2K以后,SMB除了基于NBT的实现,还可以直接运行在TCP/IP上,而没有额外的NBT层,使用TCP445端口。

    当Win9X/NT(允许NBT)作为client来连接SMB服务器时,由于设计时并没有考虑到445端口因此只会连接服务器的139端口;而当Win2K/XP(允许NBT)作为client来连接SMB服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,以455端口通讯来继续.当445端口无响应时,才使用139端口。

    假如我们的扫描结果显示对方打开了TCP139或445,这无疑方便了我们今后对它的文件传输和管理,使用NET命令对服务器进行远程管理操作,还有像NTCMD、Enum、Letmein、SMBCrack之类的工具都要基于这些端口来完成任务。但是要想成功利用这些端口,本地作为client还要满足一定的要求。

    如果对方只有139,要想利用它,本机必须“网络连接/属性/TCPIP协议/属性/高级/WINS”中设置启用NBT(NetBIOS over TCP/IP),将你的本地防火墙设置为允许这3个端口的通信,否则将无法与对方建立连接。使用普通拨号上网的用户就需要在拨号连接的网络属性里面通过选中“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”这两个组件来启用NBT,否则如果本地为Win9X/WinNT则直接显示无法连接,如果本地为Win2K/XP则直接尝试连接对方的445而跳过连接NBT,结果连接失败。

    如果对方只有445,本机要是Win2K以后的系统就可以直接连接,但如果本机是Win9X/WinNT,由于Win9X/WinNT所实现的SMB只能基于NBT,因而此时本机只会尝试139而不能和445建立连接,此时本机就无法使用基于SMB的工具。所以说入侵NT/2000最好还是使用Win2K。

    要是2个端口都开了,那就最好了,只要满足其中任一个连接要求就可以。
 



   本文转自ipist 51CTO博客,原文链接:http://blog.51cto.com/ipist/11117 ,如需转载请自行联系原作者



相关文章
|
2月前
|
安全 NoSQL Redis
服务器又被攻击了,我这样做...
近期遭遇阿里云服务器频繁报警,经分析发现是由于测试服务器所有端口对公网开放,导致自动化程序对其扫描。黑客可能利用类似Redis的未授权访问漏洞进行攻击。为避免此类问题,建议:1. 不开放不必要的端口;2. 避免以root权限运行服务;3. 设置服务器IP白名单;4. 定期更换密码。保持良好安全习惯可保障服务器安全。
359 3
服务器又被攻击了,我这样做...
|
2月前
|
SQL 监控 安全
如何发现服务器被入侵了,服务器被入侵了该如何处理?
如何发现服务器被入侵了,服务器被入侵了该如何处理?
|
云安全 存储 运维
如何防护勒索软件攻击 - 主机安全
如何防护勒索软件攻击 - 主机安全
196 0
|
安全
网站被主机攻击断网 871
网络攻击871是怎么回事?
2787 0
|
安全 Java JavaScript
服务器攻击日常
服务器为什么会被攻击呢一、服务器漏洞服务器存在漏洞和服务器处理配备由差错的时候可能被被黑客攻击二、桌面漏洞桌面漏洞有很多,例如我们平时用的浏览器,如果不常常下载更新补就存在被黑客攻击的风险。他们不需要通过同意就能够自动下载非法软件代码,这种也被叫做隐藏式下载。
739 0
|
网络协议 安全
新DNS木马可感染整个局域网内计算机
  北京时间3月17日消息,据国外媒体报道,互联网安全专家警告称,近日出现了一种新形式的恶意软件攻击,可以劫持局域网中大量设备的安全设置,即便这些设备被进行了安全防护或并不使用Windows操作系统,也难以幸免。
1004 0
|
安全 Java 应用服务中间件
爆破Tomcat服务器,GandCrab 4.3勒索病毒成功入侵企业内网
原文作者:腾讯电脑管家   原文地址:http://www.freebuf.com/articles/es/184424.html  前言 近日,腾讯御见威胁情报中心拦截到专攻企业局域网的勒索病毒GandCrab,这个臭名昭著的勒索病毒版本号已升级到4.3。
1172 0
|
安全 网络协议 网络虚拟化
|
监控 安全 Linux