Intrusiones de puertos comunes
Vulnerabilidad del puerto: Creo que muchos usuarios de Windows 2000 y Windows XP fueron infectados por el virus "Shockwave" el año pasado, que utilizó las vulnerabilidades de RPC para atacar computadoras. El propio RPC tiene una vulnerabilidad en la parte que maneja el intercambio de mensajes a través de TCP/IP, que se debe al manejo incorrecto de mensajes con formato incorrecto. Esta vulnerabilidad afecta a una interfaz entre RPC y DCOM, y el puerto de escucha de esta interfaz es el 135.
1: Intrusión mediante el puerto 139
Primero identificamos un host con una vulnerabilidad en el puerto 139. ¡Escanee con una herramienta de escaneo! Por ejemplo, SUPERSCAN es una herramienta de escaneo de puertos. Supongamos que ahora hemos obtenido un host con una vulnerabilidad en el puerto 139. ¡Necesitamos usar el comando nbtstat -a IP para obtener el estado del usuario! Lo que debemos hacer ahora es conectarnos a la computadora de la otra parte para compartir recursos.
Se utilizan dos comandos NET. A continuación se explica cómo utilizar estos dos comandos
NET VIEW.
Función: mostrar lista de dominios, lista de computadoras o especificar una lista. de los recursos más compartidos de su computadora.
Formato de comando: net view [\\computername | /domain[:domainname]]
Introducción al parámetro:
<1>Escriba La vista neta del parámetro muestra una lista de computadoras en el dominio actual. ?
<2>\\computername especifica la computadora cuyos recursos compartidos desea ver.
<3>/domain[:domainname] especifica el dominio cuyos equipos disponibles se van a ver?
NET USE?
Función: ¿Conectarse a la red? computadora o desconectar La conexión de la computadora a un recurso compartido, o la información de conexión de la computadora.
Formato de comando: uso neto [nombre del dispositivo | *] [\\nombre del equipo\nombrecompartido[\volumen]]
[contraseña *]] [/usuario:[nombre de dominio\] ]nombre de usuario] [[/eliminar] |?
[/persistent:{yes | no}]]
Introducción al parámetro:
Escriba sin El parámetro net use enumera las conexiones de red. ?
nombrededispositivo especifica el nombre del recurso al que conectarse o el nombre del dispositivo del que desconectarse.
\\computername\sharename El nombre del servidor y el recurso compartido. ?
contraseña es la contraseña para acceder a los recursos compartidos. ?
*Se le solicita ingresar la contraseña. /usuario especifica otro usuario al que conectarse. ?
nombrededominio especifica otro dominio. ?
nombre de usuario especifica el nombre de usuario de inicio de sesión. ?
/home conecta al usuario a su directorio de inicio?
/delete cancela la conexión de red especificada. ?
/persistent controla el uso de conexiones de red persistentes.
C:\net use \\IP
C:\net view \\IP
Hemos visto que la otra parte ha compartido su C, Discos D, y E
Lo que tenemos que hacer es usar el comando NBTSTAT para cargar el caché NBT
c:\>nbtstat –R carga el caché NBT
p>
c:\>nbtstat –c Compruebe si el caché NBT está cargado
Ahora que hemos obtenido la dirección IP del host y el nombre de usuario de la vulnerabilidad del puerto 139, es Es hora de que lo ingresemos. Es hora de calcular, haga clic en Inicio---Buscar--Computadora, ingrese el nombre de host que acaba de encontrar, seleccione Buscar y podrá encontrar esta computadora. Puede ingresar haciendo doble clic y el método es el mismo que el de Lingju en línea.
2: Intrusión del puerto 4899
Utilice 4899 filter.exe para escanear máquinas con contraseñas vacías