以前看过武侠小说中,某人学武功,因为资质差劲,再加上不刻苦修炼,怎么学也出不了师,但是自己还非要去江湖上闯荡一番,结果师傅教给他一套“保命三式”,用来在危急时刻脱身保命的绝招,虽然招式不能制敌,却能护己。
我这“菜鸟三式”没有“保命三式”这么厉害,在防黑领域可能连三脚猫的功夫也算不上,但是对于保护系统安全是有一定效果的。
我这“菜鸟三式”没有“保命三式”这么厉害,在防黑领域可能连三脚猫的功夫也算不上,但是对于保护系统安全是有一定效果的。
这套“菜鸟三式”虽然不是我所创,也不是我的独门武功,但我对它情有独钟,这“菜鸟三式”却是我给命名的。(版权所有,违者必究,如有雷同,实属巧合)
最近在其他鸟面前闲着没事耍一套我的“菜鸟三式”来炫耀一下我的“深厚功力”。嘎嘎
不过这套“绝世武功”也不能总耍来着,长时间不耍可能会忘记,特此写进BK做个网络备忘。同时和鸟兄鸟弟们做个经验交流。
最近在其他鸟面前闲着没事耍一套我的“菜鸟三式”来炫耀一下我的“深厚功力”。嘎嘎
不过这套“绝世武功”也不能总耍来着,长时间不耍可能会忘记,特此写进BK做个网络备忘。同时和鸟兄鸟弟们做个经验交流。
第一式:禁止建立空连接
默认情况下,任何用户通过Windows提供的IPC$,通过空连接连上服务器,进而枚举出账号,猜测密码。
网上有很多关于IPC攻击的文章,说他是漏洞是不准确的,毕竟微软设计了这么个东西,肯定是有用的啊,可是很多人却用它来干坏事。。。。
相关的命令:
net use \\IP地址\ipc$ "" /use:"" //与远程主机建立空管连接
net use \\IP地址\ipc$ "密码" /use:"Administrator" //以管理员身份登录远程主机,如果密码为空,“”中间什么也不写。
net view \\IP地址 //查看共享
copy 本机目录路径\程序 \\IP地址\admin$ //传送文件到远程主机WINNT目录下
net time \\IP地址 //查看远程主机时间
at \\IP地址 10:15 nihao.exe //定时启动某个程序
net use z: \\IP地址\c$ ""/user:"Administrator" //将远程主机C盘映射为自己的z盘
net use \\IP地址\ipc$ /delete //断开连接
网上有很多关于IPC攻击的文章,说他是漏洞是不准确的,毕竟微软设计了这么个东西,肯定是有用的啊,可是很多人却用它来干坏事。。。。
相关的命令:
net use \\IP地址\ipc$ "" /use:"" //与远程主机建立空管连接
net use \\IP地址\ipc$ "密码" /use:"Administrator" //以管理员身份登录远程主机,如果密码为空,“”中间什么也不写。
net view \\IP地址 //查看共享
copy 本机目录路径\程序 \\IP地址\admin$ //传送文件到远程主机WINNT目录下
net time \\IP地址 //查看远程主机时间
at \\IP地址 10:15 nihao.exe //定时启动某个程序
net use z: \\IP地址\c$ ""/user:"Administrator" //将远程主机C盘映射为自己的z盘
net use \\IP地址\ipc$ /delete //断开连接
在网上还有很多IPC攻击不能成功的问题,自己也遇到过,这原因就太多太多了,大部分是由于系统修改过造成的吧,不过我用WINXP的纯净版(没做过任何修改的正版系统)做实验,建立连接后,复制给目标主机一个开3389端口的小木马,让它在预定时间执行,然后与其进行远程桌面连接,每次都能得手,嘎嘎。
扯远了。。。。禁止建立空连接的方法,修改注册表,打开子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,设置键值名为“RestrictAnonymous”,类型为DWORD,键值为1即可。如下图
修改注册表禁止建立空连接
用net share命令仍能看到ipc$ 共享,但只是不允许匿名空连接,可使用密码连接。
第二式:关闭默认共享
Windows系统安装好以后,在“命令提示符”下用“net share”命令可以看到系统创建的一些隐藏的共享,例如IPC$、C$、D$、E$等等,在局域网中,这些默认共享给系统安全带来了不小的隐患,虽然在“网上邻居”中看不到默认共享,但他人可以通过UNC路径来访问到这些默认共享,甚至有写的权限,可以随意在其中创建和删除文件。
net share 命令可以看到默认共享
关掉这些默认共享,打开“管理工具”---计算机管理---共享文件夹---共享,在相应的共享文件夹上右击,单击“停止共享”按钮即可,不过重起机器后,这些共享又会重新开启。
最好的方法是修改注册表,永久关闭这些默认的共享。
还有一种方法是用net share admin$ /del 、net share ipc$ /del 、net share c$ /del .....(禁止所有隐藏共享),做个批处理文件放进系统启动项中,此种方法也不推荐。
修改注册表可以永久关闭默认共享
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
键值名AutoShareWks ,类型DWORD,键值为0即可.
如果系统是服务器版本,只需更改键值名为AutoShareServer
第三式:修改TTL值
TTL值(Time to live),生存时间,指定数据报被路由器丢弃之前允许通过的网段数量。TTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小 1
很多黑客在发动攻击前大多习惯性的会用个ping命令,来检测和目标主机的连通性,通过回显的TTL值(防火墙阻止ping包的情况除外)和用tracert来判断目标主机所用的是什么系统,因为各种系统默认的TTL值不同。
所以通过修改TTL值有可能会让菜鸟级的黑客在ping的时候满头雾水,相对的增强了一点系统的安全性。
TTL值(Time to live),生存时间,指定数据报被路由器丢弃之前允许通过的网段数量。TTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小 1
很多黑客在发动攻击前大多习惯性的会用个ping命令,来检测和目标主机的连通性,通过回显的TTL值(防火墙阻止ping包的情况除外)和用tracert来判断目标主机所用的是什么系统,因为各种系统默认的TTL值不同。
所以通过修改TTL值有可能会让菜鸟级的黑客在ping的时候满头雾水,相对的增强了一点系统的安全性。
注册表编辑器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DefaultTTL 类型DWORD,键值为多少自己定.例如100 200 300
修改TTL值,如果没有DefaultTTL这个, 那就自己新建一个吧
这是修改TTL值以后,在另一台主机上做的ping测试,现在是255了,原来是128(改之前)
以上就是我的“菜鸟三式”,厉害吧。希望高手不要来找我PK,如果是来传授技艺,嘎嘎,那是大大的欢迎。
