C语言课上,很多同学都直接从老师的FTP站点下载kylin的作业,又上传到自己的目录,便完成了作业。kylin心说:“抄我作业?看我怎么玩你。” kylin使用的是黑客新手最容易掌握的135端口入侵,它可以通过系统漏洞对目标电脑进行控制,可以任意地给对方上传下载文件,危害极大。我们知道,系统中每一个端口都对应一个服务,而135端口对应的就是RPC(远程过程调用)服务。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。于是,kylin打算利用这个服务的漏洞来远程开启对方的telnet服务,从而很容易地入侵目标电脑。
135端口入侵过程
为了找到开有135端口且有漏洞的电脑,kylin使用了著名黑客“啊D”写的一款名为“啊D网络工具包”的网络辅助工具,其中的一个功能可以很快地扫描一个IP段内开放特定端口的IP。kylin的IP是121.62.1.113,于是他扫描的IP段是121.62.1.1-121.62.6.62,这样扫到的IP基本上都是自己学校里的,而且都是正在使用的电脑。选择“IP端口扫描”功能,填写IP段及要扫描的端口,点击“开始扫描”,不要两分钟,附近正在使用的电脑凡是揩油135端口的都被记录了下来。
kylin将扫描到的内容复制出来,存放在一个记事本中,以方便他后面的工作。然后kylin又拿出一个工具―NTSCAN。这是一款很出名的扫描空密码的工具。由于NTSCAN中导入列表的格式和kylin用啊D网络工具包导出的格式不一样,所以他需要稍做调整。把“135号端口打开”替换成无,就可以删掉这些影响使用的文字了(图1)。
NTSCAN也叫变态扫描器,因为它扫描速度极快,功能比较专一。在上面勾选“主机文件”,并点击“打开”选择他刚才得到的扫描结果,将扫描方式改为WMI,端口改为135,即可开始扫描了。等待两分钟,一个个可爱诱人的IP就显示了出来。
由于很多电脑都是重装过系统的,一般都没有密码,账户也是默认的administrator,这为kylin的入侵提供了很多便利。NTSCAN自身的功能并不多,所以kylin需要再利用另一款工具来进行下一步的入侵。Kylin从他那万恶的工具包中取出了Recton,使用Recton,只要你有一远程主机的管理员密码,并且远程主机的135端口和WMI服务都开启,那么你就可以通过这个小程序远程控制对方电脑。
135端口入侵该怎么防御
从入侵的过程中我们发现,弱口令和135端口是必经之路。简单的防御就是把Windows的管理员密码改得复杂一些,高级的防御手段就是关闭135端口。关闭135端口在XP系统下比较容易。依次打开网络连接中的“本地连接→属性”→打开Internet协议(tcp/ip)属性,选择“高级TCP/IP设置→TCP/IP筛选→属性”,打开TCP/IP筛选即可。
Windows7中有些麻烦,首先运行SECPOL.MSC,选IP安全策略。然后在IP安全策略右面窗口右键点击创建IP安全策略,点击下一步,出现创建窗口,然后,凡是以后步骤看到有使用“添加向导”的都取消,全手动创建。在策略属性上点添加,会出现新规则属性,里面有IP筛选器列表,在IP筛选器列表的页面上点“添加”,在新出现窗口里填写名称,然后点“添加”(图2)。
在出现的窗口中,源地址选“任何IP”,目标地址选“我的IP”,然后选TCP协议,下面的选“到此端口”,然后填写135进去,点击确定,返回上级菜单。此时出现你刚才做的筛选器的名称。选中后点“筛选器操作→添加→阻止→常规”,自己起个名字“阻止”。确定后返回上级会看到一个新的列表及操作方法的条目,到这里已经做好一条策略记录了。
kylin通过135端口完成了一次入侵,可是还有一些密码复杂的电脑该怎么办呢?敬请期待kylin的下一次入侵。