● 139端口NetBios之菜鸟版 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ethanwy (朽木儿), 信区: Security
标  题: 139端口NetBios之菜鸟版
发信站: 荔园晨风BBS站 (Fri Jan 18 09:46:25 2002), 转信

　　国内的刮起的一股黑客热，确实让不少人知道了网络安全、系统安全的重要性。特
别是一些刚入门的初学者，首当其冲的就是针对WINDOWS的139端口共享入侵。很多朋友
都问我关于139端口这样或者那样的问题，虽然也有不少指导如何入侵139端口的文章，
可网友们都是似懂非懂，于是我觉得有写一篇的必要，至少可以省多问题、省很多时间
、省很多口水、省~~~~~~（一厨子举着菜刀，凶神恶煞的吼道：你再罗嗦，小心剁你做
叉烧包，省我买猪肉的钱！！！）我怕~~~怕~~~！进入正题吧：）
由于是菜鸟版，我就不多说什么理论了，到底实践是重要的：）
如果用扫描程序报告一个主机开着139端口，下面我们自然可以通过NetBios端口来获取
信息，当然要花费一些时间。NetBios一般被看做是开销很大的大容量协议，速度往往很
慢。我们首先要用到的是nbtstat命令，用来查询涉及到NetBios信息的网络机器。要注
意的参数也只有两个，无用的俺们不说。[cmd>nbtstat -A IP-address]这个命令的作用
是列出为其IP地址提供的远程计算机名字表（也就是收集对方的就算机名和工作组）。
[cmd>nbtstat -R]意思是消除和重新加载远程高速缓存器名字表。
我们已经通过第一个命令获得对方的主机名及工作组，那么我们就可以用来修改lmhost
s.sam文件。有很多人都不知道lmhosts文件的用途，其实它用于把NetBios名字映射到I
P地址。如果打开lmhosts文件，就可以看到这个文件的说明和使用方法，我们把得到的
计算机名、工作组、IP地址按照以下方法写入lmhosts文件，[eg：102.54.94.97 rhino
#PRE #DOM:networking]#PRE标签表示应该把表目预加到netbios高速缓存器中。#DOM标
签表示域活动。这时，网络入侵者就会发出一个[cmd>nbtstat -R]命令，把表目预加载
到他的高速缓存器中。从技术角度来看，这个预加载会使表目看起来好像已经由一些网
络功能解析过，并使名字解析起来更快捷。
下一步，我们就要视操作系统而定了，如果是WIN9X，就发出[cmd>net view \\IP-addr
ess]命令列出远程共享列表。如果是NT以上的操作系统，那么我们就还必须插入一步，
很多初学者都听说了IPC$（进程间通信），可就是不明白是什么意思，我就简单说明一
下：IPC$共享是NT主机上一个标准的隐藏共享，主要用于服务器与服务器之间的通信。
NT主机用来互相连接并通过这个共享获得各种必要信息。通过这个共享，网络入侵者从
技术上就能够实现与你的服务器的有效连接。如果是有空连接的漏洞，那么我们就可以
在不需要提供任何身份证明的情况下建立这一连接。我们可以打入[cmd>net use \\IP-
address\ipc$ “” /user：“”]尝试空连接，一旦连接成功，我们就可以用[net vie
w]命令列出已知共享。附带一句：如果是WIN9X要对NT进行IPC$空连接，就必须使用一下
格式[cmd>net use \\IP-address\ipc$ \user：]。
我们已经获得对方的共享列表，那么就可以用[cmd>net use X: \\IP-address\sharena
me]将对方共享夹映射成自己的网络硬盘。我们知道NT都有自己的隐藏共享，如：C$、D
$、ADMIN$等，空连接成功后，我们就尝试将这些隐藏映射，当然是只有当共享不设密码
或分配给everyone群组时这一攻击才有效。
现在我们已经进入对方的机器，能够做什么我也不再述下去了。也许你对上面的一些IP
C$连接、共享文件设置有密码还耿耿于怀，那么我就推荐几个软件，如：网络刺客、SI
D工具、NAT等，可以到黑狐狸软件库里下载：http://www.sthacker.com。如果你还想知
道nbtstat、net等WINDOWS自带命令的用法和139端口的防护文章，就到我的主页http:/
/otherworld.126.com，有详细说明！
--

       \_\/                       .-==/~\
      ___/_,__,_ __ ____ ____ __)/   /{~}}
      ---,---,------------------,\'-' {{~}
                                  '-==\}/

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.33.42]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店