黑客入门完整教程-2
CGI & Web Scanner的主要功能有:
(1) 检测203个已知的CGI漏洞
(2) 通过HTTPD辨认服务器类型
(3) 有更新漏洞的功能
(4) Microsoft SQL Server DOS检测
(5) Httpd Overflow检测
(6) IIS Hack检测
(7) ASP检测
(8) DOT 漏洞检测
而且它可以多线程扫描,并对常见的D.O.S(拒绝服务攻击)和Overflow等也进行探测,很适合初级杀手作为武器。至于你关心的使用方法,就更为简单了,输入目标服务器的IP地址,选择需要扫描的漏洞种类点击扫描按键,就开始了。”
“没有想到国产扫描器还有如此优秀的!”
“这个是自然,作为黑客的必备武器之一,国产扫描器有很多优秀的作品,前面我提到的安全焦点的X-Scanner,就是我最为欣赏的扫描器,而且我老人家也时常常的使用,但是不知道为什么,在对X-Scanner进行病毒测试的时候,熊猫和KV3000都能在X-Scanner里面发现两个木马程序。这一点是我们要非常的注意的。当然也要请安全焦点的朋友做做解释工作。”
“前辈既然如此欣赏X-Scanner,那就给我详细介绍一下吧!”
“X-Scanner运行在Windows平台下,它主要针对WindowsNT/Windows 2000操作系统的安全进行全面细致评估,可以扫描出很多Windows系统流行的漏洞,并详细的指出安全的脆弱环节与弥补措施。X-Scanner采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描,支持插件功能,提供了图形界面和命令行两种操作方式。
扫描范围包括:
(1)标准端口状态及端口banner信息;
(2)CGI漏洞;
(3)RPC漏洞;
(4)SQL-SERVER默认帐户;
(5)FTP弱口令;
(6)NT主机共享信息;
(7)用户信息;
(8)组信息;
(9)NT主机弱口令用户等。
X-Scanner会将扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。并对于一些已知漏洞,X-Scanner给出了相应的漏洞描述,利用程序及解决方案。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、 FTP弱口令和共享扫描,他们能揭示出许多麻痹大意的网管犯的一些低级错误。”
“前辈能不能具体说说X-Scanner如何使用呢?”
“打开了X-Scanner,在扫描项目中可以任意的指定单独扫描哪一个特定的项目。比较多的是CGI和SQL或者FTP默认口令,这些都是很致命的服务器漏洞。”
“下一步需要在〖扫描设置〗中进行参数的设置。一般的情况下,只对〖运行参数〗中的扫描范围进行设置。在那里只要填写网站服务器的IP地址就可以,可以填写一个来针对某一个特定的网站或服务器,也可以填写一个IP段范围,来扫描一段IP地址上所有的计算机。具体扫描参数格式如下:
1.命令行:Xscan -h [起始地址]<-[终止地址]> [扫描选项]
其中的[扫描选项]含义如下:
-p: 扫描标准端口(端口列表可通过\dat\config.ini文件定制);
-b: 获取开放端口的banner信息,需要与-p参数合用;
-c: 扫描CGI漏洞;
-r: 扫描RPC漏洞;
-s: 扫描SQL-SERVER默认帐户;
-f: 尝试FTP默认用户登录(用户名及口令可以通过\dat\config.ini文件定制);
-n: 获取NetBios信息(若远程主机操作系统为Windows9x/NT4.0/2000);
-g: 尝试弱口令用户连接(若远程主机操作系统为Windows NT4.0/2000);
-a: 扫描以上全部内容;
-x [代理服务器:端口]: 通过代理服务器扫描CGI漏洞;
-t: 设置线程数量,默认为20个线程;
-v: 显示详细扫描进度;
-d: 禁止扫描前PING被扫主机。
2.示例:
Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a
含义:扫描XXX.XXX.1.1-XXX.XXX.10.255网段内主机的所有信息;
Xscan -h xxx.xxx.1.1 -n -g -t 30
含义:获取XXX.XXX.1.1主机的Netbios信息,并检测NT弱口令用户,线程数量为30;
Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d
含义:扫描xxx.xxx.1.1主机的标准端口状态,通过代理服务器”129.66.58.13:80”扫描CGI漏洞,检测端口banner信息,且扫描前不通过PING命令检测主机状态,显示详细扫描进度。”
“在〖运行参数〗中,有很大的选择余地,比如它可以设置代理服务器来躲避网管的追查,并课以设置扫描的线程。对扫描显示也可以进行详细的选择。然后扫描器就开始工作了。”
“好啊,我去试试。”
“另外我要提醒你注意的是,在使用这些扫描软件的时候一定要看清楚里面有没有可以的程序,以防自己先中了别人的招。此外,虽然你刺客手中有刀,但是现在的网站管理员也会使用这些宝刀,所以说,手中有绝世好刀,不一定就能杀死所有的敌人。好了,你去吧!”
代理、肉鸡、跳板的概念
看到有的网友还用那种8080、80端口的代理,我有话说,也可以说为大家做一点最最基础的黑客教程,大家看完自己去做吧,具体怎么做,我就不说了,可以说我把我所知道的肉鸡和跳板的概念知识全部告诉大家了,我也在几个地方发表过,这是我的原创,我要告诉大家的是真正在黑客抢劫服务器是用的跳板是什么,以及黑客们很少说的跳板知识介绍~~~~~~我有个习惯,
总是喜欢让大家看一篇文章的时候知道:为 什么要看这篇文章?这篇文章要让
自己知道或是学到什么东西,我尽量把自己所 掌握的东西尽量简化后用通俗的
语言表达。大家看完后有什么不好的地方,请指出,我好学习到新的东西,我很高兴自己能
把自己所学到的东西和大家分享,在 这里的认识的网友们有想成为黑客的;有
想随便玩玩;有的想学,但是不久就感
觉学网络安全很难就退却了。我真的很希望大家能找到自己的目标,做自己喜欢
的事情,不要一天就黑小企鹅和一天泡在别人的软件里(至少要尝试读一些简单的
代码),学习黑客知识是孤独的,必须完全靠自己的努力,很少有人能帮你的,
开始你会觉得很无助,但是慢慢的,你将习惯这种感觉和方式,要自己努力才会
有成果的,我和大家一样也在不停的探索网络知识,现在不过是把自己学到的东
西和大家分享罢了。是不是我象大姨妈啊!!呵呵~~~婆婆*!我看到很
多的网友聊代理的时候,概念很模糊,甚至搞出了笑话,所以今天我就谈谈很多
朋友初涉网安的一个
误区(认识代理、跳板、肉鸡)。有的网友说那还不简单,找个运行就能隐藏IP
的软件,我早说过了,我没有见过这种软件或许说根本不存在这种软件(懒惰的
人更勤于此道)再者对抢劫服务器者而言把自己的身家性命放在一个隐藏自己IP的软件
上是很不明智的,要知道抢劫服务器时会尝试很多的连接,在你一不小心的时候你就把
自己卖了(我曾经在一次抢劫服务器完毕后没有用sc32设置好跳板的IE,而是随手在
桌面上双击浏览器去看黑页,结果把自己给卖了,本来没有什么可怕的,但是我
们要养成做任何事都无懈可击的习惯。再者~嘘嘘还好是曰本鬼子的系统
。)所以我根本不相信什么隐藏IP的软件,也许我孤陋寡闻或是真有这样的东西
,但至少我是不会用的,除非有人张罗着把我毙了,那么我可以考虑一下。
我要说此文适合菜鸟阅读,高手止步!!!
我上小企鹅,老有网友问我代理和跳板以及肉鸡是指同一类概念吗?它们怎么样工
作的?
因为在小企鹅上不可能讲很清楚,涉及的东西太多了,因为此文是面向和我一样初
人涉网络网络安全的朋友,那么我就简单的说说。
首先是代理(泛指80;8080;1080端口),很多网友认为用代理猎手设置好
端口之后就可以为自己找个代理在IE、FTP等里面设置后来隐藏IP,这就是肉鸡
或认为这就是跳板,其实不然,为什么呢?就我个人来看这样的代理简直就是垃
圾(有的网友不服气了,等等,我一会告诉你为什么我这么说),1、首先一个
速度比较慢,我用这样的代理用过很多国家,包括国内的,感觉都是其慢,没有
那种快速的感觉;2、不稳定。大家一定都想拥有一个稳定的代理吧~~~呵呵
但是这样的代理通常有原因的,不是服务器自身漏洞就是为了自身利益而增加的
服务,当他的愿望达成以后或是网管发现以后,你就不能再用了。3、多人使用。如果你
用8080、1080、80等端口的代理,我敢保证这个代理不止你一个人用,如果
你想成为一个黑客或是老手的话,拥有一个自己的代理是必须的。4、保密性。
有的代理服务器提供者很可恶,他们利用代理得知你的密码或一些敏感信息,因
为普通代理数据没有经过加密(1080端口除外),用一个嗅探器就可以知道你
输入的数据,别忘了代理的最最基本原理是数据转发哟。好了,有了以上的缺点
你还敢用或是有信心用它吗?这就是我为什么叫它垃圾的原因了。有网友会问:
那什么样的代理才没有这些缺点呢?别急,我下面就要说。
socks5.这是一个很不错的跳板软件,很小(32K)功能却是不凡,它是sock4
的接替者,原来的sock4只支持UDP协议(这个大家去看书吧,我不多说了),
而sock5支持USP和TCP两种协议,还有数据的传输是加密的所以真的很佩服作者的编程能力。如果你简
单的使用它,那你上个小企鹅啊或IRC啦,那是没有什么问题啦,而且它的速度很快
几乎和你使用本地机没有什么差别(当然不能加太多跳板),sock5支持你搭建
255个跳板,也就是你可以用skserverGUI来编辑多达255个安装了sock5的机
器来运行达到你隐藏IP的目的,但我想如果我看见有人这样做的话,我会马上打
电话到精神病院~~~:)而且用sc32来配合skserverGUI的话,那么你的电脑
几乎就没有应用程序不能用代理的。你用过之后一定会说:我喜欢!我选择!sock5的安装也很简单,在此软件的说明书里有,因为我主要是让大家了解代理– —-&g*;跳板——&g*;肉鸡的简单原理;再者因为制作这样的跳板或肉鸡很有攻击性(会构成非法使用
他人电脑),而且网上有很多人不自觉,我可不想以后有人被抓了,说我
曾经为他的犯罪生涯做过贡献。
好了!最后我们来说说肉鸡吧
肉鸡是什么?在小企鹅上也有朋友问我,我认为这是中国黑客对自己开了后门的服
务器为将来自己做一些事时使用的机器的一种自豪而又亲切的叫法.肉鸡是老手
常用的代理,也就是elne的那种,完全是靠自己制作的,端口加密码啦!绝对
只有你一个人用,当然被别人提前下手的话,那你就清除它的后门就可以了,当
你第一次拥有这种服务器的时候你的心情是什么样的?我个人感觉是象初恋一样
。
有3389肉鸡通常可以图形化*作,从而发动拒绝服务攻击,那么我们用什么样
系统的肉鸡呢?~~~~恩!marke这个
问题问的很好~~:)
我喜欢用windows 2000和linux,虽然我一直采用WIN 2000但是告诉大家一个
好消息我刚刚拥有了自己第一台LINUX肉鸡,对我这个正在学习LINUX的家伙来
说,没事到上面熟悉一下LINUX指令是件很愉快的事。要想学用这种肉鸡必须熟
练DOS指令(指windows),因为没有图形界面让你玩的。做一个黑客必须适应字符化的*作
当你elne到一台你服务器里(肉鸡)
你就可以踏雪无痕了,就象“信息公路牛崽”(抢劫服务器五角大楼的美国天才黑客)一
样先连接到曰本、到中东、再绕回美国本土抢劫服务器五角大楼,听上去很神秘吧,其
实用的原理就是这个。
网络监听概念
网络监听工具的提供给管理员的一类管理工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。
但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。
网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。
什么是网络监听
网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机,并取得了这台主机的超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。
在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上,这是大多数黑客的做法。
以太网中可以监听的原因
在电话线路和无线电、微波中监听传输的信息比较好理解,但是人们常常不太理解为什么局域网中可以进行监听。甚至有人问:能不能监听不在同一网段的信息。下面就讲述在以太网中进行监听的一些原理。在令牌环中,道理是相似的。
对于一个施行网络攻击的人来说,能攻破网关、路由器、防火墙的情况极为少见,在这里完全可以由安全管理员安装一些设备,对网络进行监控,或者使用一些专门的设备,运行专门的监听软件,并防止任何非法访关。然而,潜入一台不引人注意的计算机中,悄悄地运行一个监听程序,一个黑客是完全可以做到的。监听是非常消耗CPU资源的,在一个担负繁忙任务的计算机中进行监听,可以立即被管理员发现,因为他发现计算机的响应速度令人惊奇慢。
对于一台连网的计算机,最方便的是在以太网中进行监听,只须安装一个监听软件,然后就可以坐在机器旁浏览监听到的信息了。
以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此,只有与数据包中目标地址一致的那台主机才能接收信包。但是,当主机工在监听模式下,无论数据包中的目标物理地址是什么,主机都将接收。
在Internet上,有许多这样的局域网。几台甚至十几台主机通过一条电缆一个集线器连在一起。在协议的高层或用户看来,当同一网络中的两台主机通信时,源主机将写有目的主机IP地址的数据包发向网关。但是,这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口,即数据链路层。
网络接口不能识别IP地址。在网络接口,由IP层来的带有IP地址的数据包又增加了一部分信息:以太帧的帧头。在帖头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个48位的地址。这个48位的地址是与IP地址对应的。也就是说,一个IP地址,必然对应一个物理地址。对于作为网关的主机,由于它连接了多个网络,因此它同时具有多个IP地址,在每个网络中,它都有一个。发向局域网之外的帧中携带的是网关的物理地址。
在以太网中,填写了物理地址的帧从网络接口中,也就是从网卡中发送出去,传送到物理的线路上。如果局域网是由一条粗缆或细缆连接机而成,则数字信号在电缆上传输,信号能够到达线路上的每一台主机。当使用集线器时,发送出去的信号到达集线器,由集线器再发向连接在信线器上的每一条线路。于是,在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。
数字信号到达一台主机的网络接口时,在正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的确良物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,则所有的数据帧都将被交给上层协议软件处理。
局域网的这种工作方式,一个形象的例子是,大房间就像是一个共享的信道,里面的每个人好像是一台主机。人们所说的话是信息包,在大房间中到处传播。当我们对其中某个人说话时,所有的人都能听到。但只有名字相同的那个人,才会对这些话语做出反映,进行处理。其余的人听到了这些谈话,只能从发呆中猜测,是否在监听他人的谈话。
当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的那些信包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。
许多人会问:能不能监听不在同一个网段计算机传输的信息。答案是否定的,一台计算机只能监听经过自己网络接口的那些信包。否则,我们将能监听到整个Internet,情形会多么可怕。
目前的绝大多数计算机网络使用共享的通信信道。从上面的讨论中,我们知道,通信信道的共享意味着,计算机有可能接收发向另一台计算机的信息。
另外,要说明的是,Internet中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的,通信的双方充分信任的基础之上。因此,直到现在,网络安全还是非常脆弱的。在通常的网络环境下,用户的所有信息,包手户头和口令信息都是以明文的方式在网上传输。因此,对于一个网络黑客和网络攻击者进行网络监听,获得用户的各种信息并不是一件很困难的事。只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。
网络监听常常要保存大量的信息,对收集的信息进行大量的整理工作,因此,正在进行监的机器对用户的请求响应很慢。
首先,网络监听软件运行时,需要消耗大量的处理器时间,如果在此时,就详细地分析包中的内容,许多包就会来不信接收而漏掉。因此,网络监听软件通常都是将监听到的包存放在文件中,待以后再分析。
其次,网络中的数据包非常复杂,两台主机之间即使连续发送和接受数据包,在监听到的结果中,中间必然会夹杂了许多别的主机交互的数据包。监听软件将同一 TCP会话的包整理到一起,已经是很不错了。如果还希望将用户的详细信息整理出眯,需要根据协议对包进行大量的分析。面对网络上如此众多的协议,这个监听软件将会十分庞大。
其实,找这些信息并不是一件难事。只要根据一定的规律,很容易将有用的信息一一提取出来。
系统进程信息
[system process] – [system process] – 进程信息
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描述: Windows页面内存管理进程,拥有0级优先。
alg – alg.exe – 进程信息
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
csrss – csrss.exe – 进程信息
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统,用以控制Windows图形相关子系统。
ddhelp – ddhelp.exe – 进程信息
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
dllhost – dllhost.exe – 进程信息
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
explorer – explorer.exe – 进程信息
进程文件: explorer or explorer.exe
进程名称: 程序管理
描述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
inetinfo – inetinfo.exe – 进程信息
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
internat – internat.exe – 进程信息
进程文件: internat or internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
kernel32 – kernel32.dll – 进程信息
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描述: Windows壳进程用于管理多线程、内存和资源。
lsass – lsass.exe – 进程信息
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
mdm – mdm.exe – 进程信息
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft script Editor脚本编辑器。
mmtask – mmtask.tsk – 进程信息
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
mprexe – mprexe.exe – 进程信息
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描述: Windows路由进程包括向适当的网络部分发出网络请求。
msgsrv32 – msgsrv32.exe – 进程信息
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描述: Windows信使服务调用Windows驱动和程序管理在启动。
mstask – mstask.exe – 进程信息
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
regsvc – regsvc.exe – 进程信息
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描述: 远程注册表服务用于访问在远程计算机的注册表。
rpcss – rpcss.exe – 进程信息
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
services – services.exe – 进程信息
进程文件: services or services.exe
进程名称: Windows Service Controller
描述: 管理Windows服务。
smss – smss.exe – 进程信息
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
snmp – snmp.exe – 进程信息
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
spool32 – spool32.exe – 进程信息
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描述: Windows打印任务控制程序,用以打印机就绪。
spoolsv – spoolsv.exe – 进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序,用以打印机就绪。
stisvc – stisvc.exe – 进程信息
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
svchost – svchost.exe – 进程信息
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描述: Service Host Process是一个标准的动态连接库主机处理服务。
system – system – 进程信息
进程文件: system or system
进程名称: Windows System Process
描述: Microsoft Windows系统进程。
taskmon – taskmon.exe – 进程信息
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
tcpsvcs – tcpsvcs.exe – 进程信息
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
winlogon – winlogon.exe – 进程信息
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
winmgmt – winmgmt.exe – 进程信息
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求
端口全解析(上)
端口可分为3大类:
1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。 0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。 Hacker利用IP欺骗可以发动DoS攻击伪造两个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样 fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的 ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。 5632 (十六进制的0x1600)位交换后是0x0016(使进制的22)。
23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。
25 smtp攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。
53 DNSHacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址 255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件
79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本 setuidroot,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)109 POP2并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。
110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
113 Ident auth .这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T,着将回停止这一缓慢的连接。
119 NNTP news新闻组传输协议,承载USENET通讯。当你链接到诸如:news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运 行Exchange Server吗?是什么版本?这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些vbs(IE5 VisualBasicscripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。
143 IMAP和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。 Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。
161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。
162 SNMP trap 可能是由于错误配置
177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统– Alan J. Rosenthal.
端口全解析(下)
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP 的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
1025 参见1024
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1243 Sub-7木马(TCP)参见Subseven部分。
1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口: 000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻 pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作为其连接企图的前四个字节。
17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent “adbot” 的共享软件。Conducent “adbot”是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ; 216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP) 参见Subseven部分。
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的 木马程序越来越流行。
31789 Hack-a-tack 这一端口的UDP通讯通常是由于”Hack-a-tack”远程访问木马(RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute分。
41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP asquerade)
端口详细说明表(上)
1 tcpmux TCPPortServiceMultiplexer 传输控制协议端口服务多路开关选择器
2 compressnet ManagementUtility compressnet管理实用程序
3 compressnet CompressionProcess 压缩进程
5 rje RemoteJobEntry 远程作业登录
7 echo Echo 回显
9 discard Discard 丢弃
11 systat ActiveUsers 在线用户
13 daytime Daytime 时间
17 qotd QuoteoftheDay 每日引用
18 msp MessageSendProtocol 消息发送协议
19 chargen CharacterGenerator 字符发生器
20 ftp-data FileTransfer[DefaultData] 文件传输协议(默认数据口)
21 ftp FileTransfer[Control] 文件传输协议(控制)
22 ssh SSHRemoteLoginProtocol SSH远程登录协议
23 telnet Telnet 终端仿真协议
24 anyprivatemailsystem 预留给个人用邮件系统
25 smtp SimpleMailTransfer 简单邮件发送协议
27 nsw-fe NSWUserSystemFE NSW用户系统现场工程师
29 msg-icp MSGICP MSG ICP
31 msg-auth MSGAuthentication MSG验证
33 dsp DisplaySupportProtocol 显示支持协议
35 anyprivateprinterserver 预留给个人打印机服务
37 time Time 时间
38 rap RouteAccessProtocol 路由访问协议
39 rlp ResourceLocationProtocol 资源定位协议
41 graphics Graphics 图形
42 nameserver WINSHostNameServer WINS主机名服务
43 nicname WhoIs “绰号”whois服务
44 mpm-flags MPMFLAGSProtocol MPM(消息处理模块)标志协议
45 mpm MessageProcessingModule[recv] 消息处理模块
46 mpm-snd MPM[defaultsend] 消息处理模块(默认发送口)
47 ni-ftp NIFTP NIFTP
48 auditd DigitalAuditDaemon 数码音频后台服务49 tacacs LoginHostProtocol(TACACS) TACACS登录主机协议50 re-mail-ckRemoteMailCheckingProtocol 远程邮件检查协议[未结束]
51 la-maint IMPLogicalAddressMaintenance IMP(接口信息处理机)逻辑地址维护
52 xns-time XNSTimeProtocol 施乐网络服务系统时间协议
53 domain DomainNameServer 域名服务器
54 xns-ch XNSClearinghouse 施乐网络服务系统票据交换55 isi-gl ISIGraphicsLanguage ISI图形语言
56 xns-auth XNSAuthentication 施乐网络服务系统验证
57 ? anyprivateterminalaccess 预留个人用终端访问
58 xns-mail XNSMail 施乐网络服务系统邮件
59 anyprivatefileservice 预留个人文件服务
60 Unassigned 未定义
61 ni-mail NIMAIL NI邮件?
62 acas ACAServices 异步通讯适配器服务
63 whois+whois+ WHOIS+
64 covia CommunicationsIntegrator(CI) 通讯接口
65 tacacs-ds TACACS-DatabaseService TACACS数据库服务
66 sql*net OracleSQL*NET OracleSQL*NET
67 bootps BootstrapProtocolServer 引导程序协议服务端
68 bootpc BootstrapProtocolClient 引导程序协议客户端
69 tftp TrivialFileTransfer 小型文件传输协议
70 gopher Gopher 信息检索协议
71 netrjs-1 RemoteJobService 远程作业服务
72 netrjs-2 RemoteJobService 远程作业服务
73 netrjs-3 RemoteJobService 远程作业服务
74 netrjs-4 RemoteJobService 远程作业服务
75 anyprivatedialoutservice 预留给个人拨出服务
76deos DistributedExternalObjectStore分布式外部对象存储
77 anyprivateRJEservice 预留给个人远程作业输入服务
78 vettcp vettcp 修正TCP?
79 finger Finger 查询远程主机在线用户等信息
80 http WorldWideWebHTTP 全球信息网超文本传输协议81 hosts2-ns HOSTS2NameServer HOST2名称服务
82 xfer XFERUtility 传输实用程序
83 mit-ml-dev MITMLDevice 模块化智能终端ML设备
84 ctf CommonTraceFacility 公用追踪设备
85 mit-ml-dev MITMLDevice 模块化智能终端ML设备
86 mfcobol MicroFocusCobol MicroFocusCobol编程语言
87 anyprivateterminallink 预留给个人终端连接
88 kerberos Kerberos Kerberros安全认证系统
89 su-mit-tg SU/MITTelnetGateway SU/MIT终端仿真网关
90 dnsix DNSIXSecuritAttributeTokenMap DNSIX安全属性标记图91 mit-dov MITDoverSpooler MITDover假脱机
92 npp NetworkPrintingProtocol 网络打印协议
93 dcp DeviceControlProtocol 设备控制协议
94 objcall TivoliObjectDispatcher Tivoli对象调度
95 supdup SUPDUP
96 dixie DIXIEProtocolSpecification DIXIE协议规范
97ft-rvfftRemoteVirturalFileProtocol)快速远程虚拟文件协议98 tacnews TACNews TAC新闻协议
99 metagram MetagramRelay
100 newacct [unauthorizeduse]
101=NICHostNameServer
102=ISO-TSAP
103=GenesisPoint-to-PointTransNet
104=ACR-NEMADigitalImag.&Comm.300
105=MailboxNameNameserver
106=3COM-TSMUX3com-tsmux
107=RemoteTelnetService
108=SNAGatewayAccessServer
109=PostOfficeProtocol-Version2
110=PostOfficeProtocol-Version3
111=SUNRPC
112=McIDASDataTransmissionProtocol
113=AuthenticationService
114=AudioNewsMulticast
115=SimpleFileTransferProtocol
116=ANSAREXNotify
117=UUCPPathService
118=SQLServicessqlserv
119=NetworkNewsTransferProtocol
120=CFDPTKTcfdptkt
121=EncoreExpeditedRemotePro.Call
122=SMAKYNETsmakynet
123=NetworkTimeProtocol
124=ANSAREXTrader
125=LocusPC-InterfaceNetMapSer
126=UnisysUnitaryLogin
127=LocusPC-InterfaceConnServer
128=GSSXLicenseVerification
129=PasswordGeneratorProtocol
130=ciscoFNATIVE
131=ciscoTNATIVE
132=ciscoSYSMAINT
133=StatisticsService
134=INGRES-NETService
135=LocationService
136=PROFILENamingSystem
137=NETBIOSNameService
138=NETBIOSDatagramService
139=NETBIOSSessionService
140=EMFISDataService
141=EMFISControlService
142=Britton-LeeIDM
143=InterimMailAccessProtocolv2
144=NewSnews
145=UAACProtocoluaac
146=ISO-IP0iso-tp0
147=ISO-IPiso-ip
148=CRONUS-SUPPORT
149=AED512EmulationService
150=SQL-NETsql-net
151=HEMShems
152=BackgroundFileTransferProgram
153=SGMPsgmp
154=NETSCnetsc-prod
155=NETSCnetsc-dev
156=SQLService
157=KNET/VMCommand/MessageProtocol
158=PCMailServerpcmail-srv
159=NSS-Routingnss-routing
160=SGMP-TRAPSsgmp-traps
161=SNMP
162=SNMPTRAP
163=CMIP/TCPManager
164=CMIP/TCPAgent
165=Xeroxxns-courier
166=SiriusSystems
167=NAMPnamp
168=RSVDrsvd
169=Send
170=NetworkPostscript
170=NetworkPostscript
171=NetworkInnovationsMultiplex
172=NetworkInnovationsCL/1
173=Xyplexxyplex-mux
174=MAILQ
175=VMNET
176=GENRAD-MUXgenrad-mux
177=XDisplayManagerControlProtocol
178=NextStepWindowServer
179=BorderGatewayProtocol
180=Intergraphris
181=Unifyunify
182=UnisysAuditSITP
183=OCBinderocbinder
184=OCServerocserver
185=Remote-KIS
186=KISProtocolkis
187=ApplicationCommunicationInterface
188=PlusFive’sMUMPS
189=QueuedFileTransport
189=QueuedFileTransport
190=GatewayAccessControlProtocol
190=GatewayAccessControlProtocol
191=ProsperoDirectoryService
191=ProsperoDirectoryService
192=OSUNetworkMonitoringSystem
193=srmp,SpiderRemoteMonitoringProtocol
194=irc,InternetRelayChatProtocl
195=DNSIXNetworkLevelModuleAudit
196=DNSIXSessionMgtModuleAuditRedir
197=DirectoryLocationService
198=DirectoryLocationServiceMonitor
199=SMUX
200=IBMSystemResourceController
201=at-rtmpAppleTalkRoutingMaintenance
202=at-nbpAppleTalkNameBinding
203=at-3AppleTalkUnused
204=AppleTalkEcho
205=AppleTalkUnused
206=AppleTalkZoneInformation
207=AppleTalkUnused
208=AppleTalkUnused
209=TrivialAuthenticatedMailProtocol
210=ANSIZ39.50z39.50
211=TexasInstruments914C/GTerminal
212=ATEXSSTRanet
213=IPX
214=VMPWSCSvmpwscs
215=InsigniaSolutions
216=AccessTechnologyLicenseServer
217=dBASEUnix
218=NetixMessagePostingProtocol
219=UnisysARPsuarps
220=InteractiveMailAccessProtocolv3
221=BerkeleyrlogindwithSPXauth
222=BerkeleyrshdwithSPXauth
223=CertificateDistributionCenter
224=Reserved(224-241)
241=Reserved(224-241)
242=Unassigned#
243=SurveyMeasurement
244=Unassigned#
245=LINKlink
246=DisplaySystemsProtocol
247-255Reserved
256-343Unassigned
344=ProsperoDataAccessProtocol
345=PerfAnalysisWorkbench
346=Zebraserverzserv
347=FatmenServerfatserv
348=CabletronManagementProtocol
349-370Unassigned
371=Clearcaseclearcase
372=UnixListservulistserv
373=LegentCorporation
374=LegentCorporation
375=Hasslehassle
376=AmigaEnvoyNetworkInquiryProto
377=NECCorporation
378=NECCorporation
379=TIA/EIA/IS-99modemclient
380=TIA/EIA/IS-99modemserver
381=hpperformancedatacollector
382=hpperformancedatamanagednode
383=hpperformancedataalarmmanager
384=ARemoteNetworkServerSystem
385=IBMApplication
386=ASAMessageRouterObjectDef.
387=AppletalkUpdate-BasedRoutingPro.
388=UnidataLDMVersion4
389=LightweightDirectoryAccessProtocol
390=UISuis
391=SynOpticsSNMPRelayPort
392=SynOpticsPortBrokerPort
393=DataInterpretationSystem
394=EMBLNucleicDataTransfer
395=NETscoutControlProtocol
396=NovellNetwareoverIP
397=MultiProtocolTrans.Net.
398=Kryptolankryptolan
399=Unassigned#
400=WorkstationSolutions
401=UninterruptiblePowerSupply
402=GenieProtocol
403=decapdecap
404=ncednced
405=ncldncld
406=InteractiveMailSupportProtocol
407=Timbuktutimbuktu
408=ProsperoResourceManagerSys.Man.
409=ProsperoResourceManagerNodeMan.
410=DECLadebugRemoteDebugProtocol
411=RemoteMTProtocol
412=TrapConventionPort
413=SMSPsmsp
414=InfoSeekinfoseek
415=BNetbnet
416=Silverplattersilverplatter
417=Onmuxonmux
418=Hyper-Ghyper-g
419=Arielariel1
420=SMPTEsmpte
421=Arielariel2
422=Arielariel3
423=IBMOperationsPlanningandControlStart
424=IBMOperationsPlanningandControlTrack
425=ICADicad-el
426=smartsdpsmartsdp
427=ServerLocation
429=OCS_AMU
430=UTMPSDutmpsd
431=UTMPCDutmpcd
432=IASDiasd
433=NNSPnnsp
434=MobileIP-Agent
435=MobilIP-MN
436=DNA-CMLdna-cml
437=comscmcomscm
439=dasp,ThomasObermair
440=sgcpsgcp
441=decvms-sysmgtdecvms-sysmgt
442=cvc_hostdcvc_hostd
443=https
444=SimpleNetworkPagingProtocol
445=Microsoft-DS
446=DDM-RDBddm-rdb
447=DDM-RFMddm-dfm
448=DDM-BYTEddm-byte
449=ASServerMapper
450=TServertserver
512=exec,Remoteprocessexecution
513=login,remotelogin
514=cmd,execwithautoauth.
514=syslog
515=Printerspooler
516=Unassigned
517=talk
519=unixtime
520=extendedfilenameserver
521=Unassigned
522=Unassigned
523=Unassigned
524=Unassigned
526=newdate
530=rpccourier
端口详细说明表(下)
531=chatconference
532=readnewsnetnews
533=foremergencybroadcasts
539=ApertusTechnologiesLoadDetermination
540=uucp
541=uucp-rlogin
542=Unassigned
543=klogin
544=kshell
545=Unassigned
546=Unassigned
547=Unassigned
548=Unassigned
549=Unassigned
550=new-who
551=Unassigned
552=Unassigned
553=Unassigned
554=Unassigned
555=dsf
556=remotefs
557-559=rmonitor
560=rmonitord
561=dmonitor
562=chcmd
563=Unassigned
564=plan9fileservice
565=whoami
566-569Unassigned
570=demonmeter
571=udemonmeter
572-599Unassignedipcserver
600=SunIPCserver
607=nqs
606=CrayUnifiedResourceManager
608=Sender-Initiated/UnsolicitedFileTransfer
609=npmp-trapnpmp-trap
610=npmp-localnpmp-local
611=npmp-guinpmp-gui
634=ginadginad
666=DoomIdSoftware
704=errlogcopy/serverdaemon
709=EntrustManager
729=IBMNetViewDM/6000Server/Client
730=IBMNetViewDM/6000send/tcp
731=IBMNetViewDM/6000receive/tcp
741=netGWnetgw
742=NetworkbasedRev.Cont.Sys.
744=FlexibleLicenseManager
747=FujitsuDeviceControl
748=RussellInfoSciCalendarManager
749=kerberosadministration
751=pump
752=qrh
754=send
758=nlogin
759=con
760=ns
762=quotad
763=cycleserv
765=webster
767=phonephonebook
769=vid
771=rtip
772=cycleserv2
774=acmaint_dbd
775=acmaint_transd
780=wpgs
786=Concertconcert
800=mdbs_daemon
996=CentralPointSoftware
997=maitrd
999=puprouter
1023=Reserved
1024=Reserved
1025=networkblackjack
1030=BBNIAD
1031=BBNIAD
1032=BBNIAD
1067=InstallationBootstrapProto.Serv.
1068=InstallationBootstrapProto.Cli.
1080=SOCKS
1083=AnasoftLicenseManager
1084=AnasoftLicenseManager
1155=NetworkFileAccess
1222=SNIR&Dnetwork
1248=hermes
1346=AltaAnalyticsLicenseManager
1347=multimediaconferencing
1347=multimediaconferencing
1348=multimediaconferencing
1349=RegistrationNetworkProtocol
1350=RegistrationNetworkProtocol
1351=DigitalToolWorks(MIT)
1352=/LotusNotelotusnote
1353=ReliefConsulting
1354=RightBrainSoftware
1355=IntuitiveEdge
1356=CuillaMartinCompany
1357=ElectronicPegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=NetworkDataMoverRequester
1364=NetworkDataMoverServer
1365=NetworkSoftwareAssociates
1366=NovellNetWareCommServicePlatform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalViewtoUnixShell
1370=UnixShelltoGlobalView
1371=FujitsuConfigProtocol
1372=FujitsuConfigProtocol
1373=Chromagrafxchromagrafx
1374=EPISoftwareSystems
1375=Bytexbytex
1376=IBMPersontoPersonSoftware
1377=CichlidLicenseManager
1378=ElanLicenseManager
1379=IntegritySolutions
1380=TelesisNetworkLicenseManager
1381=AppleNetworkLicenseManager
1382=udt_os
1383=GWHannawayNetworkLicenseManager
1384=ObjectiveSolutionsLicenseManager
1385=AtexPublishingLicenseManager
1386=CheckSumLicenseManager
1387=ComputerAidedDesignSoftwareIncLM
1388=ObjectiveSolutionsDataBaseCache
1389=documentManager
1390=StorageController
1391=StorageAccessServer
1392=PrintManagericlpv-pm
1393=NetworkLogServer
1394=NetworkLogClient
1395=PCWorkstationManagersoftware
1396=DVLActiveMail
1397=AudioActiveMail
1398=VideoActiveMail
1399=CadkeyLicenseManager
1400=CadkeyTabletDaemon
1401=GoldleafLicenseManager
1402=ProsperoResourceManager
1403=ProsperoResourceManager
1404=InfiniteGraphicsLicenseManager
1405=IBMRemoteExecutionStarter
1406=NetLabsLicenseManager
1407=DBSALicenseManager
1408=SophiaLicenseManager
1409=HereLicenseManager
1410=HiQLicenseManager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBMMQSeriesibm-mqseries
1415=DBStardbstar
1416=NovellLU6.2novell-lu6.2
1417=TimbuktuService1Port
1417=TimbuktuService1Port
1418=TimbuktuService2Port
1419=TimbuktuService3Port
1420=TimbuktuService4Port
1421=GandalfLicenseManager
1422=AutodeskLicenseManager
1423=EssbaseArborSoftware
1424=HybridEncryptionProtocol
1425=ZionSoftwareLicenseManager
1426=Satellite-dataAcquisitionSystem1
1427=mloaddmonitoringtool
1428=InformatikLicenseManager
1429=HypercomNMSnms
1430=HypercomTPDUtpdu
1431=ReverseGosipTransport
1432=BlueberrySoftwareLicenseManager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBMCISCibm-cics
1436=Satellite-dataAcquisitionSystem2
1437=Tabulatabula
1438=EiconSecurityAgent/Server
1439=EiconX25/SNAGateway
1440=EiconServiceLocationProtocol
1441=CadisLicenseManagement
1442=CadisLicenseManagement
1443=IntegratedEngineeringSoftware
1444=MarcamLicenseManagement
1445=ProximaLicenseManager
1446=OpticalResearchAssociatesLicenseManager
1447=AppliedParallelResearchLM
1448=OpenConnectLicenseManager
1449=PEportpeport
1450=TandemDistributedWorkbenchFacility
1451=IBMInformationManagement
1452=GTEGovernmentSystemsLicenseMan
1453=GenieLicenseManager
1454=interHDLLicenseManager
1454=interHDLLicenseManager
1455=ESLLicenseManager
1456=DCAdca
1457=ValisysLicenseManager
1458=NicholsResearchCorp.
1459=ProshareNotebookApplication
1460=ProshareNotebookApplication
1461=IBMWirelessLAN
1462=WorldLicenseManager
1463=Nucleusnucleus
1464=MSLLicenseManager
1465=PipesPlatform
1466=OceanSoftwareLicenseManager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=ActiveAnalysisLimitedLicenseManager
1470=UniversalAnalytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=TaligentLicenseManager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=MiteksysLicenseManager
1483=AFSLicenseManager
1484=ConfluentLicenseManager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=FedericoHeinzConsultora
1500=VLSILicenseManager
1501=Satellite-dataAcquisitionSystem3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EvbsoftwareEngineeringLicenseManager
1505=FunkSoftware,Inc.
1524=ingres
1525=oracle
1525=ProsperoDirectoryServicenon-priv
1526=ProsperoDataAccessProtnon-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshareconfaudio
1652=proshareconfvideo
1653=proshareconfdata
1654=proshareconfrequest
1655=proshareconfnotify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=ciscolicensemanagement
1987=ciscoRSRBPriority1port
1988=ciscoRSRBPriority2port
1989=ciscoRSRBPriority3port
1989=MHSnetsystemmshnet
1990=ciscoSTUNPriority1port
1991=ciscoSTUNPriority2port
1992=ciscoSTUNPriority3port
1992=IPsendmsgipsendmsg
1993=ciscoSNMPTCPport
1994=ciscoserialtunnelport
1995=ciscoperfport
1996=ciscoRemoteSRBport
1997=ciscoGatewayDiscoveryProtocol
1998=ciscoX.25service(XOT)
1999=ciscoidentificationport
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=DataLintchReadPortNumber
2067=DataLintchWritePortNumber
2201=AdvancedTrainingSystemProgram
2500=ResourceTrackingsystemserver
2501=ResourceTrackingsystemclient
2564=HP3000NS/VTblockmodetelnet
2784=worldwideweb-development
3049=ccmail
3264=ccmail,cc:mail/lotus
3333=dec-notes
3984=MAPPERnetworknodemanager
3985=MAPPERTCP/IPserver
3986=MAPPERworkstationserver
3421=BullAppriseportmapper
3900=UnidataUDTOS
4132=NUTSDaemonnuts_dem
4133=NUTSBootpServer
4343=UNICALL
4444=KRB524
4672=remotefileaccessserver
5002=radiofreeethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimediaconferencecontroltool
5145=rmonitor_secure
5190=aol,America-Online
5300=HAclusterheartbeat
5301=hacl-gs#HAclustergeneralservices
5302=HAclusterconfiguration
5303=hacl-probeHAclusterprobing
5305=hacl-test
6000-6063=x11XWindowSystem
6111=sub-processHPSoftBenchSub-ProcessControl
6141/=meta-corpMetaCorporationLicenseManager
6142=aspentec-lmAspenTechnologyLicenseManager
6143=watershed-lmWatershedLicenseManager
6144=statsci1-lmStatSciLicenseManager-1
6145=statsci2-lmStatSciLicenseManager-2
6146=lonewolf-lmLoneWolfSystemsLicenseManager
6147=montage-lmMontageLicenseManager
7000=afs3-fileserverfileserveritself
7001=afs3-callbackcallbackstocachemanagers
7002=afs3-prserverusers&groupsdatabase
7003=afs3-vlservervolumelocationdatabase
7004=afs3-kaserverAFS/Kerberosauthenticationservice
7005=afs3-volservolumemanagmentserver
7006=afs3-errorserrorinterpretationservice
7007=afs3-bosbasicoverseerprocess
7008=afs3-updateserver-to-serverupdater
7009=afs3-rmtsysremotecachemanagerservice
7010=ups-onlineonlinetuninterruptablepowersupplies
7100=XFontService
7200=FODMSFLIP
7626=冰河
8010=Wingate
8181=IMail
9535=man
45576=E代时光专业代理端口
org菜鸟进阶(1)
常用类软件:
黑白屋: http://www.play8.net/
华军软件 http://www.newhua.com/ (根据物理位置自行选择速度快的镜像)
中国下载 http://download.com.cn/ (使用查找功能可找到大部份软件)
东丽在线 http://www.tjdl.net/softdown/ (不错的软件下载站,类似华军)
世纪下载 http://www.21sx.com/ (也是一个不错的下载站)
安全类软件:
黑白屋:http://www.play8.net/index2.htm
安全焦点 http://www.xfocus.net/tool.php
安全资讯 http://www.aurorasafe.com/list.asp
天天安全 http://www.ttian.net/download/list.php
网嗅下载 http://netsill.com/download/default.asp
灰色轨迹 http://www.sandflee.net/down/list.asp
鹰派下载 http://211.155.27.112/~technic/down/
(一些大型精典安全软件下载,不过有时候就上不去)
校园黑客联盟 http://www.schoolhacker.com
(这两天要推出软件下载专栏,即将有一套崭新的下载程序,大家尽请关注!!)
找代理在这里:
代理使用方法 http://extend.hk.hi.cn/~sunbird/freeproxy_why.html
(各种代理使用方法介绍)
代理服务器地址 http://www.salala.com/proxy_index.htm
(每日更新的,大部份是HTTP代理)
代理服务器地址 http://www.emaga.net/8341/myann
(每日更新的,大部份是SOCKS代理,既QQ代理)
注册码在这里:
第六空间 http://www.sixthroom.com/down/qt/ser.rar (注册码大全下载)
注册码搜索 http://www.netpaste.com/code/
孤月注册码 http://www.guyue.com/key/
菜鸟进阶(2)
关于被入侵
简单说明:
经常有帖子说:“我中木马啦,怎么办?”、“我被攻击了”,“我的windows有问题,是不是被入侵啦?”等等。哪么如果你怀疑系统被入侵的话,请你首先看看日志的记录或是有什么变化,然后你应该查看可疑进程(win98需要用相关工具)、注册表启动项、服务、开放端口等,然后更新病毒库,杀毒。前提是你要有一定的电脑常识并对你的系统比较了解,才能分别正常与否。如果你自己对电脑一窍不通,那在论坛别人也很难帮助你。其实就像对付现实中的病毒一样,应该预防为主。杀毒软件和网络防火墙可以抵御绝大部分危险,自身安全知识的提高则是最根本的保障。最新的病毒相关知识可以到杀毒软件公司的主页上找。另外,系统不正常也可能是操作失误引起的。这里不是“电脑零起点”,所以关于系统修复的问题,请不要在论坛提了。
相关工具:
Active Ports 监视自己电脑的端口,并做出相应处理。http://www.sixthroom.com/down/aq/cn_aports.rar
windows优化大师5.1 它的进程管理功能不错。更是目前最好的系统优化软件。 http://www.sixthroom.com/down/aq/wom.rar
Windows 基准安全分析器 1.0 (特别推荐,详细资料看下载说明吧)
http://www.sixthroom.com/down/admin/aq/mbsasetup.msi
Fport-2.0 查看端口关联的进程 (应用于9x/me)http://www.sixthroom.com/down/admin/aq/fport.zip
mport 比fport更胜一筹的工具 http://www.sixthroom.com/down/admin/aq/mport.zip
KV3000江民杀毒王(正式版+钥匙盘)
http://www.kxweb.net/down/down.asp?downid=1&id=14
金山毒霸2003正式版
http://www.kxweb.net/down/down.asp?downid=1&id=11
相关资料:
黑白屋文档中心:http://www.play8.net/cgi-bin/news/article/list.cgi
104种木马的清除方法http://asp2.6to23.com/ebug88/net/article/net004.htm
清除恶意网页的破坏 http://assistant.3721.com/safe.htm
2000系统进程总列表 http://sinbad.zhoubin.com/read.html?board=Win&num=73
木马的检测、清除及其预防 天网安全检测 http://sky.net.cn/main/view.php?cid=170
蓝盾安全检测 http://www.bluedon.com/bluedonserver.asp
校园黑客联盟 http://www.schoolhacker.com
菜鸟进阶(3)
基础知识和入侵步骤
简单说明:
电脑和网络知识可算是做黑客的基础的基础,至少你要先了解了它们再来看下面的文章。看完这部分的文章,你也只是算站到了门口,路还长着呢。这里我再多说几句关于入侵步骤的话,给新手做个引导。所谓入侵,可以理解为未授权的访问。既然是未授权的,就需要借助一些非常规的手段,即通常所说的利用漏洞。
基础知识网址:
http://tech.163.com/tm/010213/010213_14563.html
http://tech.163.com/tm/010213/010213_14564.html
http://tech.163.com/tm/010214/010214_14632.html
http://tech.163.com/tm/010214/010214_14634.html
http://tech.163.com/tm/010214/010214_14638.html
一、要利用漏洞首先要发现它。端口扫描和漏洞扫描就是“敲门砖”。可以对大量目标做一般扫描,也可以对单一目标做重点扫描。或者两者结合。当你对漏洞熟悉时,你可以只通过端口扫描就能了解目标的可能有的漏洞。这样既提高效率又不易被记录日志。
几种扫描器的简单使用教程:http://www.chinesehack.org/file/show.asp?id=5614
入侵技术介绍–目标探测:http://www.sixthroom.com/ailan/f … 2&RootID=279&ID=279
二、找到漏洞后的利用问题,是千差万别的。这正是新手学要学习的地方之一。很多要依@@自己的知识积累及对系统的掌握及熟悉程度,这里就不多说了。下面提供几个提供漏洞资料的网站供大家参考。
天极网 http://www.myhard.com/76284138209935360/index.shtml
绿盟科技 http://www.nsfocus.net/index.php?act=sec_bug
五月安全网 http://bgbbs.www70.cn4e.com/article.asp?cat_id=2
中国信息安全 http://www.chinafirst.org.cn/ruodian/advisory.php
三、利用漏洞的目的是什么呢?是控制对方,即是获得远程shell。shell这个概念是从UNIX下继承过来的,是指与操作系统核心的一种交互方式和界面。典型的例子是telnet。得到shell的办法有很多种,比如通过系统自带的telnet,终端服务。或者用木马和工具提供的,如winshell,冰河等等。以下介绍两篇SHELL编程的文章给大家。
中国软件 http://www.csdn.net/develop/article/14/14219.shtm
程序春秋 http://www.cbinews.com/developer/showconte…?articleid=2193
四、shell是有权限差别的。最高权限–管理员权限才是我们的目标。所以有时会有提升权限的问题。当然,这也是利用了漏洞。以下介绍几篇文章。
Win2K 提升权限漏洞
http://www.yesky.com/20010530/182273.shtml
Microsoft SQL Server Webtasks权限提升漏洞
http://it.rising.com.cn/newSite/ … 10/31-153502052.htm
Linux kernel ptrace提升权限漏洞
http://levinstorm.myetang.com/main/holes/unix/005.html
NT/2000提升权限的方法小结
http://home.lufeng.net/wolf/Computer/luodong/2000tisheng.htm
IIS提升权限漏洞
http://www.ddhome.net/hole/14.htm
五、有了shell还要扩大它,就是进一步获得更好用的shell。命令行的到图形的、功能少的到多的。于是才有了“怎么开3389”,“怎么上传”之类问题。在这介绍给大家介绍一下现在最流行的3389吧。更多的文章请www.sixthroom.com。
远程开启3389终端服务
http://www.sandflee.net/wawa/3389-1.htm
建立你的3389肉鸡
http://www.sandflee.net/wawa/sz-3389.htm
六、为了下次还能控制目标,你需要保持shell。做一个好的后门又是一种“学问”。克隆帐号、埋木马、破administrator的密码,手段不一而足。各位慢慢学吧。
永远的后门 http://www.ttian.net/article/show.php?id=259
Win2000 下Ping 后门的简单实现
http://www.landun.org/wenzhang/images/xiao…rticle/154.html
帐号克隆
http://www.netXeyes.org/CA.exe
帐号检查
http://www.netXeyes.org/CCA.exe
暴力破解LC4
http://www.andyxu.net/banana/tools_2/lc4.rar
端口知识介绍:
相关工具:
扫描端口是扫描器的基本功能,工具太多了。提供两个给大家,更多的参看后面。
X-Port.zip下载 http://www.xfocus.net/download.php?id=327
PortReady下载 http://dotpot.533.net/dpsoft/PortReady1.6.zip
相关资料:
端口扫描简介 http://www.netscreen.com.cn/suml/zhishiyy/…/duankougj.htm0
系统服务及木马默认端口表
http://www.pttc.yn.cninfo.net/dtsy/nettech…an/41250634.htm
端口大全 http://www.sixthroom.com/ailan/f … 2&RootID=268&ID=268
常用默认端口列表及功能中文注解 http://www.sixthroom.com/ailan/f … 2&RootID=267&ID=267
常见端口详解及部分攻击策略 http://www.sixthroom.com/ailan/f … 2&RootID=266&ID=266
相关资料:
如何成为一名黑客 http://263.aka.org.cn/Docs/hacker-howto_2001.html
提问的技巧 http://bbs.online.sh.cn/eliteart … 44fb3b6efa4377e48ae
TCP/IP基础 http://www.linkwan.com/gb/routertech/netbase/tcpip.htm
网络攻防教程 http://www.netsill.com/wenzhang/list.asp?id=115
网络入侵步骤及思路 http://www.iamguo.com/bh3/hackguide2.htm
拒绝背后黑手的窥探 IPC$漏洞大揭秘
http://computer.szptt.net.cn/2002-04-27/nw…042700109.shtml
全球ip分配表 http://519519.vicp.net/lb5000//usr/3/3_11.txt
黑客入门教程 http://www.pttc.yn.cninfo.net/dtsy/nettech…an/43934529.htm
菜鸟XXX客快速入门
http://netsafe.ayinfo.ha.cn/sqxw/2002117172333.htm
几种流行的入侵工具与讲解
http://www.pttc.yn.cninfo.net/dtsy/nettech…an/44188520.htm
常见端口详解及部分攻击策略
http://www.pttc.yn.cninfo.net/dtsy/nettech…quan/-90637.htm
攻击的各种级别
http://www.pttc.yn.cninfo.net/dtsy/nettech…an/39825935.htm
菜鸟进阶(4)
关于命令的使用
简单说明:
windowsNT/2000下有丰富的cmd可供使用,其作用也是巨大的。完全值得去熟练掌握她它们。windows2000本身就提供了详细的命令帮助。在开始菜单–》帮助中可以搜索到“windows 2000 命令参考”。强烈建议各位新手花些时间仔细看一遍。装了比如IIS等软件,就会有新的命令(iisreset),在命令行方式下加/?或-h参数可以查看帮助,其他内置的命令当然也可以。还有就是掌握一些常用的DOS命令也是非常有必要的。因为WINSOWS不管发展到哪一天,它也都不可能取代DOS,至少现在还不行。NET命令更是最常用的网络命令,想做一个黑客,更是你所必需掌握的。掌握一些LINUX命令也是很有必要的。希望下面的资料对大家有所帮助。
相关帖子:
DOS下常用网络相关命令解释
http://www.jiejingwang.com/list.asp?id=521
入门网络命令
http://www.jiejingwang.com/list.asp?id=520
Win2000命令全集 http://www.sixthroom.com/ailan/f … 2&RootID=343&ID=343
Windows XP下cmd命令详解 http://www.sixthroom.com/ailan/f … 2&RootID=366&ID=366
ftp命令: http://www.hotcy.org/chem/campous/article/ftp.htm
telnet命令简介:http://www22.brinkster.com/lastknife/netbase/telnetorder.htm (以上地址简单介绍了TELNET命令,http://www.sixthroom.com/ailan/f … 2&RootID=277&ID=277
net命令基本用法:http://www.yy0730.com/1/1/1/wen/list.asp?id=12
tftp命令: 由于TFTP命令过于简单,请自行使用“TFTP /?”进行查询。下面在给出一个参照的
实例:http://levinstorm.myetang.com/main/tutorials/hacking/006.html
一般入侵所需要的几个常用命令:
http://www.yixindz.com/badschool/hacker/hack_commands.htm
Linux 的常用网络命令
http://www.jiejingwang.com/list.asp?id=522
菜鸟进阶(5)
关于windows98
简单说明:
这类问题有两种:一是怎样入侵win98系统,二是在win98怎样入侵。
由于98的网络功能并不完善,使得问题的解决远没有像对2000那样“丰富多采”。98默认没有什么网络服务启动,众所周知漏洞是由于各种服务的功能设计并不完美,所以才产生的,也就是说没有漏洞也就很难入侵,找不到什么可利用的漏洞。这给入侵带来的困难是难以想像的.共享入侵,算是最常见的攻击方式了。
相关资料:
共享入侵 http://www.sixthroom.com/ailan/f … 2&RootID=269&ID=269
入侵windows98系统 http://www.sixthroom.com/ailan/f … 2&RootID=270&ID=270
win98入侵网吧详解 http://www.sixthroom.com/ailan/f … 2&RootID=271&ID=271
其实还有些方法,比如嗅探密码、发病毒和木马到信箱、甚至用QQ“联络感情”再传个绑木马的Flash等,没什么意思,就此打住(这是前辈说的,他老人家都说打住了,哪我也打住,其实是我也不知道说什么,呵呵)。
基于同样的理由,98不是一个好的攻击平台。如果只是端口扫描,那么superscan可以胜任。web类的漏洞扫描x-scan也可以。但涉及ipc$的弱口令、漏洞、远程控制工具以及连接一些服务(如sql)就要“基于NT技术构建”的os了。好在3389终端服务的客户端可以是98,所以先搞一台开 3389的肉鸡就算是回避了问题。如果你还在用98,诚恳的建议你:请用2000。如果你在网吧,先试试入侵网吧服务器。(在这里我也要加一句就是如果你是用98系统的话,哪么选择榕哥的流光98版也是不错的。不过有很多功能也还是无法使用)。
鉴于98的问题技术含量不高、没有深入探讨价值,所以就谈到这里吧。(个人观点)
相关工具:
NetPass 1.0 破解98共享密码 http://lovezxd.myetang.com/indexpage/indextool/NetPass.zip
cain v2.5 综合破解工具 http://www.qq888.com/down/download.asp?Did=968
exeBinderZ 1.3 EXE捆绑机 http://www.heibai.net/download/show.php?id=3028&down=3
SUPERSCAN3.0中文版下载 http://download.pchome.net/php/d … erscanv30.exe&svr=3
X-SCAN2.3下载 http://www.xfocus.net/download.php?id=366
流光98下载 http://www.netxeyes.com/cfluxay2k1for98set…妥约喝フ野桑??/a>
终端服务客户端 http://arm.533.net/hack/winterminal.zip (既3389连接器)
第6章——关于ipc$、空连接和默认共享
简单说明:
** 首先需要指出的是空连接和ipc是不同的概念。空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。ipc是不同的概念。空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。ipc是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限。有许多的工具必须用到ipc。默认共享是为了方便远程管理而开放的共享,包含了所有的逻辑盘(c。默认共享是为了方便远程管理而开放的共享,包含了所有的逻辑盘(c,d,e,e……)和系统目录winnt或windows(admin)。∗∗∗∗∗∗个人认为这段很重要,因为很多人根本就不知道什么是空连接什么是IPC)。∗∗∗∗∗∗个人认为这段很重要,因为很多人根本就不知道什么是空连接什么是IPC.建议不知道的朋友仔细看一下吧.这种问题,不应该不知道的.
相关帖子:
拒绝背后黑手的窥探 IPC$漏洞大揭秘
http://www.sixthroom.com/ailan/f … 2&RootID=281&ID=281
IPC入侵全攻略 http://www.sixthroom.com/ailan/f … 2&RootID=278&ID=278
win2k中C驱等的默认共享是怎么回事
http://www.sixthroom.com/ailan/f … 2&RootID=282&ID=282
取消默认共享≠安全 http://js00.TT86绿色上网!/23/wudi/show. … p;id=20021017212524
常见问题和回答:
一、怎样建立空连接,它有什么用?
答:使用命令 net use \IPipc””/user:””就可以简单地和目标建立一个空连接(需要目标开放ipc””/user:””就可以简单地和目标建立一个空连接(需要目标开放ipc)。
对于NT,在默认安全设置下,借助空连接可以列举目标用户、共享,访问everyone权限的共享,访问小部分注册表等,没有什么利用价值。对2000作用就更小了。而且实现也不方便,需借助工具。如果你不理解“没用”的东西为什么还会存在,就看看“专业”的解释吧:
在NT/2000下的空连接 http://www.sixthroom.com/ailan/f … 2&RootID=280&ID=280
解剖WIN2K下的空会话 http://www.sixthroom.com/ailan/f … 2&RootID=283&ID=283
二、为什么我连不上IPC?答:1,只有nt/2000/xp及以上系统才可以建立ipc?答:1,只有nt/2000/xp及以上系统才可以建立ipc。如果你用的是98/me是没有该功能的。
2、确认你的命令没有打错。正确的命令是: net use \目标IPipc“密码”/user:”用户名”注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用”“表示。3,根据返回的错误号分析原因:错误号5,拒绝访问:很可能你使用的用户不是管理员权限的,先提升权限;错误号51,Windows无法找到网络路径:网络有问题;错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);错误号67,找不到网络名:你的lanmanworkstation服务未启动;目标删除了ipc“密码”/user:”用户名”注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用”“表示。3,根据返回的错误号分析原因:错误号5,拒绝访问:很可能你使用的用户不是管理员权限的,先提升权限;错误号51,Windows无法找到网络路径:网络有问题;错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);错误号67,找不到网络名:你的lanmanworkstation服务未启动;目标删除了ipc;
错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc,请删除再连。错误号1326,未知的用户名或错误密码:原因很明显了;错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动。(连接域控会出现此情况)错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。4,关于ipc,请删除再连。错误号1326,未知的用户名或错误密码:原因很明显了;错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动。(连接域控会出现此情况)错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。4,关于ipc连不上的问题比较复杂,本论坛没有总结出一个统一的认识,我在肉鸡上实验有时会得出矛盾的结论,十分棘手。而且知道了问题所在,如果没有用其他办法获得shell,很多问题依然不能解决。问题过于细致后就不适合在本文章里探讨了。各位看着办吧,呵呵。
三、怎样打开目标的IPC?答:首先你需要获得一个不依赖于ipc?答:首先你需要获得一个不依赖于ipc的shell,比如sql的cmd扩展、telnet、木马。当然,这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc来开放目标的ipc来开放目标的ipc。从上一问题可以知道,ipc能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法)。还是不行的话(比如有防火墙,杀不了)建议放弃。四、怎样映射和访问默认共享?答:使用命令netusez:\目标IPc能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法)。还是不行的话(比如有防火墙,杀不了)建议放弃。四、怎样映射和访问默认共享?答:使用命令netusez:\目标IPc 密码” /user:”用户名” 将对方的c盘映射为自己的z盘,其他盘类推。
如果已经和目标建立了ipc,则可以直接用IP加盘符加,则可以直接用IP加盘符加访问。比如 copy muma.exe \IPdpathmuma.exe。或者再映射也可以,只是不用用户名和密码了:netusey:\IPdpathmuma.exe。或者再映射也可以,只是不用用户名和密码了:netusey:\IPd 。然后 copy muma.exe y:pathmuma.exe 。当路径中包含空格时,须用”“将路径全引住。
五、如何删除映射和ipc连接?答:用命令netuse\IPipc连接?答:用命令netuse\IPipc /del 删除和一个目标的ipc连接。用命令netusez:/del删除映射的z盘,其他盘类推。用命令netuse∗/del删除全部。会有提示要求按y确认。六、连上ipc连接。用命令netusez:/del删除映射的z盘,其他盘类推。用命令netuse∗/del删除全部。会有提示要求按y确认。六、连上ipc然后我能做什么?
答:能使用管理员权限的帐号成功和目标连接ipc,表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具(比如pstools系列、Win2000SrvReskit、telnethack等)获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享(没开你就帮他开),你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具(木马)还具有直接控屏的功能。如果是2000server,还可以考虑开启终端服务方便控制。这里提到的工具的使用,请看自带的说明或相关教程。七、怎样防止别人用ips,表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具(比如pstools系列、Win2000SrvReskit、telnethack等)获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享(没开你就帮他开),你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具(木马)还具有直接控屏的功能。如果是2000server,还可以考虑开启终端服务方便控制。这里提到的工具的使用,请看自带的说明或相关教程。七、怎样防止别人用ips和默认共享入侵我?
答:A、一种办法是把ipc和默认共享都删除了。但重起后还会有。这就需要改注册表。1,先把已有的删除netshareipc和默认共享都删除了。但重起后还会有。这就需要改注册表。1,先把已有的删除netshareipc /del
net share admin/delnetsharec/delnetsharec /del
…………(有几个删几个)
2,禁止建立空连接
首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous(DWORD)的键值改为:00000001。
3,禁止自动打开默认共享
对于server版,找到如下主键 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters] 把AutoShareServer(DWORD)的键值改为:00000000。
对于pro版,则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks(DWORD)的键值改为:00000000。
B、另一种是关闭ipc和默认共享依赖的服务(不推荐)netstoplanmanserver可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。C、最简单的办法是设置复杂密码,防止通过ipc和默认共享依赖的服务(不推荐)netstoplanmanserver可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。C、最简单的办法是设置复杂密码,防止通过ipc穷举密码。但如果你有其他漏洞,ipc$将为进一步入侵提供方便。
D、还有一个办法就是装防火墙,或者端口过滤。防火墙的方法就不说了,端口过滤看这里:
过配置本地策略来禁止139/445端口的连接:
http://www.sixthroom.com/ailan/f … 2&RootID=284&ID=284
菜鸟进阶(6)
关于扫描出的漏洞
简单说明:
很多扫描器都有漏洞扫描功能。当你获得了一些主机的漏洞列表时,不要急着把它们帖在论坛上,期望别人来为你分析和告诉你利用的方法。你应该首先尝试自己完成这些。扫描出的漏洞并不是都有用的,一部分漏洞过时了,一部分是误报。如果你希望了解的多一些,最好经常到发布漏洞比较快的网站走一走,漏洞的利用是一个不段积累的过程。时间长了相信你就体会到了。
漏洞搜索:
绿盟的引擎 http://www.nsfocus.net/index.php?act=sec_bug
蓝盾的引擎 http://www.landun.org/zhongyao/sousuo.htm
补天网的引擎 http://www.patching.net/otherweb/leak/leakindex.asp
安全焦点的引擎 http://www.xfocus.net/vuln/index.php
小凤居的引擎 http://lilitou1.myetang.com/
相关帖子:
一个CGI漏洞的发现和利用
http://www.sixthroom.com/ailan/f … 2&RootID=285&ID=285
cgi漏洞大全 http://www.sixthroom.com/ailan/f … 2&RootID=293&ID=293
常见CGI漏洞及应对二 http://www.sixthroom.com/ailan/f … 2&RootID=286&ID=286
常见CGI漏洞及应对一 http://www.sixthroom.com/ailan/f … 2&RootID=287&ID=287
Windows 2000漏洞集锦1 http://www.sixthroom.com/ailan/f … 2&RootID=288&ID=288
Windows 2000漏洞集锦2 http://www.sixthroom.com/ailan/f … 2&RootID=289&ID=289
Windows 2000漏洞集锦3
http://www.sixthroom.com/ailan/f … 2&RootID=290&ID=290
Windows 2000漏洞集锦4
http://www.sixthroom.com/ailan/f … 2&RootID=291&ID=291
Windows 2000漏洞集锦5
http://www.sixthroom.com/ailan/f … 2&RootID=292&ID=292
ASP漏洞大全 http://www.sixthroom.com/ailan/f … 2&RootID=294&ID=294
IIS漏洞整理一 http://www.sixthroom.com/ailan/f … 2&RootID=295&ID=295
IIS漏洞整理二 http://www.sixthroom.com/ailan/f … 2&RootID=296&ID=296
中国网络安全响应中心各种漏洞大全 http://www.cns911.com/holes/linux/list.php
第8章——关于提升权限
简单说明:
黑客的最终目标就是得到root(即win中的admin)权限。一个真正的黑客会把一次入侵当做是自己的一件作品,不会轻易放弃,但是有些漏洞(典型的如Unicode漏洞、ASP木马)不能直接获得管理员权限,所以必然需要提升权限。一些新手可能会犯这类错误,以为中了木马、获得了shell就能控制一切。结果就出现“为何不能加用户”、“为何不能开3389”等问题。2000及更高版本os承袭了NT的安全结构,多重机制环环相扣来保障安全,特别是帐户安全。无奈安全系统过于庞大,多少会出现漏洞,于是我们就有机会了。还要补充一点,就是在拿到一个现成的后门软件,或是一个木马的时候,一定要先看看说明。至少你应该知道这个后门运行后的效果吧?更有些人上传了某个后门软件或是木马到目标后就认为完事了,你不执行它就是传个地雷上去又有什么用呢?
相关工具:
erunasx 利用Debug Registers漏洞提升权限 http://www.qq888.com/down/download.asp?Did=796
Windows NT/2000权限提升工具,可以将任意用户提升到SYSTEM级别的权限。漏洞出在smss.exe中的DEBUG子系统,所有普通用户都可以通过该漏洞获得对系统中任意进程或线程句柄的控制,从而可以以SYSTEM或管理员权限执行任意命令。2、使用方法:假设我们已经获得一台机器上的一个GUEST 用户(或其他普通用户),现在我们要这个工具来获得系统最高权限。进行如下步骤:把ERunAsX.exe和ERunAsX.dll这两个文件复制到目标主机上可访问的目录下,例如C:下。以GUEST身份运行”ERunAsX 要执行命令”,例如”ERunAsX cmd.exe”,这时执行的命令是以SYSTEM 权限运行的…(请注意:具体使用以软件内英文说明为准,内附该BUG解决办法)
PipeUpAdmin 对sp1及更低有效 http://maopao.com/down/download.asp?Did=69
ISPC 利用IIS的漏洞,详见自带说明 http://www.cnsq.net/sq88/down/show.asp?id=572&down=1
PHPBB论坛权限提升 http://www.newyouth.org/softdown … .0.exploit_code.zip
WIN帮助文件溢出(可用于XP) http://www.newyouth.org/softdown … ack/chmoverflow.zip
NT/2K权限提升工具GetAdmin下载 http://www.csdn.net/cnshare/soft/openfile.asp?kind=1&id=9807
相关帖子:
NT/2000提升权限的方法小结 http://www.sixthroom.com/ailan/f … 2&RootID=297&ID=297
关于WIN2000的入侵,以及安全防御等问题(文章包含一次利用U漏洞提高权限的过程)
http://www.sixthroom.com/ailan/f … 2&RootID=298&ID=298
UNICODE漏洞介绍及入侵
http://www.sixthroom.com/ailan/f … 2&RootID=299&ID=299
怎样提升权限,做后门
http://www.sixthroom.com/ailan/f … 2&RootID=300&ID=300
一般用户获取NT服务器Admin权限的方法
http://www.sixthroom.com/ailan/f … 2&RootID=302&ID=302
Windows NT4的安全结构(对新手有些难,了解一下吧) http://www.sixthroom.com/ailan/f … 3&RootID=303&ID=303
菜鸟进阶(7)
关于做代理和跳板
简单介绍:
代理服务器英文全称是Proxy Cerver,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。在一般情况下,我们使用网络浏览器直接去连接其他 Internet站点取得网络信息时,须送出Request信号来得到回答,然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且,大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率。更重要的是:Proxy Server (代理服务器)是 Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联 (OSI) 模型的对话层,有了对代理的了解,相信你也认识到了什么是跳板。
相关工具:
SocksCap 2.2 SOCKS调度工具 http://www.123gz.com/dzc/download/sc32r231.exe
SkSockServer1.04 代理跳板 http://www.123gz.com/dzc/download/sksockserver.zip
Snake跳板傻瓜版 http://www.123gz.com/dzc/download/sgtb.zip
代理猎手V3.1Beta1简装版 http://www.123gz.com/dzc/download/proxyhunter.zip
FTP Serv-U 4.0 正式汉化版,最常用的ftp服务程序 http://61.159.224.188/makesoftur … 627E207574756375737
slimftp 隐蔽的ftp服务器 http://www.whitsoftdev.com/files/slimftpd.zip
天雁WEB服务器 不用安装的小型web服务程序 http://www.cnzzz.com/download/do … 33352254709&Url=100
多种服务程序下载
http://www.zdnet.com.cn/download/windows/b…r,00.htm?sort=5
相关帖子:
代理、肉鸡、跳板的概念 http://www.sixthroom.com/ailan/f … 2&RootID=305&ID=305
代理服务器(Proxy)完全解析 http://www.sixthroom.com/ailan/f … 2&RootID=307&ID=307
如何使用代理服务器 http://www.sixthroom.com/ailan/f … 2&RootID=309&ID=309
简单制作跳板 http://www.123gz.com/dzc/sksockserver-cusky.htm
Serv-U设置教程 http://www.enanshan.com/ftp/
SocksCap32 使用详解 http://www.123gz.com/dzc/sockscap32.htm
在肉鸡上安装FTP服务器 http://www.sixthroom.com/ailan/f … 2&RootID=306&ID=306
利用 unicode 漏洞,轻松建立自己的代理服务器
http://www.123gz.com/dzc/sksockserver-nicky-1.htm#top1
特别推荐猎手与蚂蚁收藏馆 http://www.123gz.com/ (绝对值得一看)
菜鸟进阶(8)
关于终端服务(3389)
简单说明:
windows终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。图形界面和不影响当前本地用户的特性是它的最大优点。由于它是2000server及以上版本自带的功能,因此成为一个绝好的“后门”而倍受青睐。而且win98也可以成为客户端,这使得在网吧“工作”成为可能。有一点需要强调一下使用客户端登陆远程主机对当前工作的用户没有影响,而且一切动作本地用户都是看不到的。也就是说远程登陆和本地用户是在不相同的空间,两者互不干扰。
相关工具:
WIN2000客户端
http://zudu2000.myetang.com/soft/win2k.rar
winxp下的客户端 功能比2000下的更强大
http://zudu2000.myetang.com/soft/windowsXP.zip
终端服务程序的一个补丁 使本地和远程间能复制文本 http://www.sandflee.net/wawa/tools/rdpclip_hotfix.exe
web版终端客户端 使用浏览器调用ActiveX控件访问终端服务
http://www.enanshan.com/down/tswebsetup.exe
C3389.EXE 修改终端服务端口号的工具
http://www.sandflee.net/down/show.asp?id=228&down=1
Win2k终端服务器端所需文件包
http://www.netsill.com/download/download.asp?Did=1965
3389自动安装程序-djshao正式版5.0
http://netsill.com/download/download.asp?Did=2019
开启3389工具(如果要想让远程主机开启WIN2000的终端服务,请把3389.exe也传到远程主机上并运行。然后等待一个漫长的时间(由于是无人执守安装)。就可以看到远程主机的3389端口会被打开。)
http://netsill.com/download/download.asp?Did=1991
W2K终端服务客户端安装版
http://www.sandflee.net/down/show.asp?id=39&down=1
关于远程启动终端服务的帖子 http://www.sixthroom.com/ailan/f … 2&RootID=385&ID=385
终端服务问题常见问答
http://www.sixthroom.com/ailan/f … 2&RootID=386&ID=386
图文讲解输入法漏洞入侵
http://www.sandflee.net/txt/list.asp?id=22
3389自动安装工具教程
http://netsill.com/download/download.asp?Did=2068
3389动画教程(密码china)
http://netsill.com/download/download.asp?Did=1990
修改终端客户端端口动画教程
http://netsill.com/download/download.asp?Did=2009
3389资料 http://www21.brinkster.com/srob/wawa/wawa/3389txt.htm
菜鸟进阶(9)
关于克隆帐号
简单说明:
克隆帐号的原理简单的说是这样:在注册表中有两处保存了帐号的SID相对标志符,一处是SAMDomainsAccountUsers下的子键名,另一处是该子键的子项F的值中。这里微软犯了个不同步它们的错误,登陆时用的是后者,查询时用前者。当用admin的F项覆盖其他帐号的F项后,就造成了帐号是管理员权限但查询还是原来状态的情况。即所谓的克隆帐号。(前辈就是前辈把大家想到的都写出来了,我实在不知道这里在加些什么了。看来也只有这样了。大家如果还有什么不明白的就到论坛里发贴子吧。
具体的看这里:
解剖安全帐号管理器(SAM)结构 http://www.sixthroom.com/ailan/f … 3&RootID=387&ID=387
明白原理后就可以手动或者用现成的工具克隆帐号了。
相关工具:
克隆ca.exe http://www.netxeyes.org/CA.exe
检查克隆cca.exe http://www.netxeyes.org/CCA.exe
手动克隆需要SYSTEM权限,用它 psu.exe
http://www.sandflee.net/down/show.asp?id=176&down=1
相关帖子:
工具克隆:ca和cca 请访问作者主页 http://www.netxeyes.org/main.html
psu用法:psu.exe提升为system权限 http://www.sixthroom.com/ailan/f … 2&RootID=390&ID=390
手动克隆:如何克隆管理员帐号 http://www.sixthroom.com/ailan/f … 3&RootID=388&ID=388
如何克隆管理员帐号的补充 http://www.sixthroom.com/ailan/f … 3&RootID=389&ID=389
木马防范及一些端口的关闭
一、防范木马应该注意的一些问题
1、不到不受信任的网站上下载软件运行
2、不随便点击来历不明邮件所带的附件
3、及时安装相应的系统补丁程序
4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库
5、为系统所有的用户设置合理的用户口令
口令设置要求:
1.口令应该不少于8个字符;
2.不包含字典里的单词、不包括姓氏的汉语拼音;
3.同时包含多种类型的字符,比如
o大写字母(A,B,C,..Z)
o小写字母(a,b,c..z)
o数字(0,1,2,…9)
o标点符号(@,#,!,$,%,& …)
win2000口令设置方法:
当前用户口令:在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。
其他用户口令:
在开始->控制面板->用户和密码->选定一个用户名->点击设置密码
二、检查和清除木马可能会使用到命令
1、如何进入命令行方式?
win98下在开始–>运行中输入command点确定
winnt、win2000、winxp下在开始–>运行中输入cmd后点确定
2、如何使用netstat命令?
netstat是用来显示网络连接、路由表和网络接口信息的命令,使用方法是在命令行下输入netstat -an后回车,输出结果格式如下:
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 :
UDP 0.0.0.0:2967 :
UDP 0.0.0.0:38037 :
这其中Proto项代表是协议类型,Local Address项代表的是本地IP地址和端口(冒号后面为端口号),Foreign Address项代表的是外部IP地址和端口,State表示的是当前状态。上面这个结果表示这台机器开放了TCP的135、445、1025和1026 端口,UDP的445、2967和38027端口
3、如何使用Fport命令?
Fport是查看系统进程与端口关联的命令,使用方法是在命令行方式下输入Fport后回车,输出结果格式如下:
Pid Process Port Proto Path
472 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 445 TCP
580 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe
8 System -> 1026 TCP
8 System -> 445 UDP
444 rtvscan -> 2967 UDP C:\Program Files\NavNT\rtvscan.exe
812 MsgSys -> 38037 UDP C:\WINNT\System32\MsgSys.EXE
这其中port下面代表的是系统当前开放的端口而path下面列出的是与该端口关联的程序及其所在位置。
从上面这个结果看,系统上135、445端口是与C:\winnt\system32\svchost.exe程序关联的1025、1026、445 (udp)端口与 c:\winnt\system32\mstask.exe程序关联的2967(udp)端口是与C:\Program Files\NavNT\rtvscan.exe程序关联的38027(udp)端口是与 C:\WINNT\System32\MsgSys.EXE 程序关联的
注:fport仅适用于winnt、win2000和winxp,在win98下无法使用
4、如何编辑注册表?
请在开始–〉运行中输入regedit后点确定进入注册表编辑状态。注册表编辑框左边显示的是注册表的项,右边显示的是注册的键值,要删除键值请点中该键值后点右键选择其中的删除。要修改键值请点中该键值后点鼠标右键选择修改。要删除项请选中该项后点右键选删除。
5、如何关闭服务?
开始–>控制面版–>管理工具–>服务进入服务管理工具,选中要关闭的服务后点右键选停止
注:上面方法仅适用于WINNT、WIN2000和WINXP
6、如何进入安全模式?
系统启动时按F8
7、如何杀进程?
win98下按ALT+CTRL+DEL,在弹出的对话框中选中你要结束的进程后点关闭,winnt、win2000和winxp下按ALT+CTRL+DEL弹出窗口后选择任务管理器,在进程一项里选中你要结束的进程后点击结束进程
三、常见木马及控制软件的服务端口与关闭方法
注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整
win98系统: c:\windows c:\windows\system
winnt和win2000系统: c:\winnt c:\winnt\system32
winxp系统: c:\windows c:\windows\system32
根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\windows改为D:\windows依此类推大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:
例:113端口木马的清除(仅适用于windows系统):
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\winnt\system32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如,rscan.exe、psexec.exe、 ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)
6.重新启动机器。
以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:
707端口的关闭:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
停止服务名为WINS Client和Network Connections Sharing的两项服务
删除c:\winnt\SYSTEM32\WINS\目录下的DLLHOST.EXE和SVCHOST.EXE文件
编辑注册表,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值
1999端口的关闭:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
使用进程管理工具将notpa.exe进程结束
删除c:\windows\目录下的notpa.exe程序
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\windows
otpa.exe /o=yes的键值
2001端口的关闭:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
首先使用进程管理软件将进程windows.exe杀掉
删除c:\winnt\system32目录下的windows.exe和S_Server.exe文件
编辑注册表,删除将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为windows的键值
将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除
修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1为C:\WINNT\NOTEPAD.EXE %1
修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\ winnt\system32\S_SERVER.EXE %1键值改为C:\WINNT\NOTEPAD.EXE %1
2023端口的关闭:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
使用进程管理工具结束sysrunt.exe进程
删除c:\windows目录下的sysrunt.exe程序文件
编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
重新启动系统
2583端口的关闭:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = “c:\windows\server.exe”键值
编辑win.ini文件,将run=c:\windows\server.exe改为run=后保存退出
重新启动系统后删除C:\windows\system\ SERVER.EXE
3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
win2000关闭的方法:win2000server 开始–>程序–>管理工具–>服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始–>设置–>控制面板–>管理工具–>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
winxp关闭的方法:在我的电脑上点右键选属性–>远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口的关闭:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
使用进程管理工具结束msblast.exe的进程
编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的”windows auto update”=”msblast.exe”键值
删除c:\winnt\system32目录下的msblast.exe文件
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
请在开始–>运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
关闭的方法:
首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\explorer.exe)
在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\winnt\explorer.exe)
删除C:\winnt\fonts\中的explorer.exe程序。
删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值。
重新启动机器。
