Windows作业系统的port139入侵

1、1,Windows 作業系統的port 139入侵,報告人:郭祐誠 吳尚霖,2,內容簡介,1.Port139功能 2.Port139入侵步驟 3.如何防護Port139入侵 4.磁碟共享入侵(Win9x, WinME) 5.WinNT、Win2K的預設共用漏洞 6.如何取得磁碟讀寫權利,3,1.Port 139 功能,Port139為NetBIOS(Net Basic Input/Output System,網路基本輸入/輸出系統)所使用的埠號，也就是網路資源分享所使用的埠號，如果有開資源分享，則port139就會開啟。,4,2.Port 139 入侵步驟,被駭者電腦是否打開Port139?,

2、是否打開port135,利用RPC入侵,N,Y,是否打開port21,利用FTP入侵,Y,是否打開port23,利用Telnet入侵,Y,是否打開port3389,猜中密碼入侵,Y,使用WinNT or 2K?,利用預設共用漏洞入侵,植入共享磁碟機碼,是否磁碟共享?,是否有共享磁碟?,利用系統漏洞/電子郵件/Windows當機/惡作劇,N,N,N,N,N,N,N,Y,Y,Y,接下頁,下頁接至,5,是否要輸入密碼,使用Win9X or WinMe?,猜出密碼來入侵,Y,N,利用密碼漏洞破解,是否成功?,是否成功?,磁碟是否可讀寫?,植入磁碟可讀寫木馬或機碼,N,可進行各種駭客任務或植入病毒,可進

3、行有限度的駭客任務,植入共享磁碟機碼,Y,Y,Y,Y,N,接至上頁,N,N,N,Y,來至上頁,6,3.如何防護Port 139入侵,是否接至區域網路?,是否提供Internet上的Windows連線?,徹底關閉Port139,N,N,關閉所有共享資源,是否磁碟需要給其他連線電腦使用?,使用Win9X or WinMe?,Y,Y,Y,N,設定個別使用者權限與密碼(Win2K/Win XP適用),N,修補密碼漏洞,是否提供唯讀(Read Only),Y,設定只可唯讀,Y,設定不易猜到的密碼與用戶名稱,N,7,關閉Port 139,1. 網路卡連線項目上按滑鼠右鍵,選擇“內容”,(2)此項目打勾取消

4、,(1)點選此項,(3)按下此按鈕,8,(1)點選此項,(2)點選此項,(3)按下此按鈕,9,不可關閉Port139的4種情況,1.若你需要透過Internet與其他電腦進行Windows連線, 就不可以關閉。 2.如果你同時有上網與連接辨公室或學校內部的區域網 路,只需要將上網那個裝置的Port 139關閉即可,不需 要將連接內部區域網路的網路卡的Port 139也關閉,否則區域網路中其他電腦就無法與你這台電腦連接。 3.若你的電腦是經由區域網路中的其他電腦來連接 Internet,則以不能關閉Port 139。 4.如果你本身是駭客則由於要使用Port 139來進行IP 掃描程式,就不可以

5、將Port 139關閉。,10,4.磁碟共享入侵 磁碟共享與密碼破解流程(Windows XP),是否成功?,入侵你的電腦,Y,建立最高權限帳號,N,猜測磁碟共享密碼,是否成功?,Y,N,其它方式入侵,11,駭客手法,1.將機碼檔(.reg)夾帶在電子郵件或網頁中騙取你執行它,由於目前大部分的防毒軟體都無法判斷機碼檔是否會對你的電腦造成破壞,因此仍有許多人可能會受騙上當而執行它,廣義的定義可以將它視為機碼病毒。 2.利用Outlook Express的MIME自動執行漏洞,將機碼檔夾帶在電子郵件當中,讓具有此漏洞的Outlook Express一收到信件後就自動執行該機碼。 3.利用Activ

6、e X修改登錄機碼值漏洞,將設定磁碟共享機碼放在HTML信件中寄給對方,或釋放在網頁中任對方來瀏覽後趁機更改機碼值設定磁碟共享。,12,如何防護,狀況1-Internet或區域網路都不提供磁碟共享 不論你的電腦連接到Internet或LAN,只要磁碟跟印表機不需要給別人讀取,就可以將資源共享的項目刪除,操作如下頁,13,1. 選擇此項,2. 按下此按鈕移除,3.然後再將Windows系統所在的目錄下的SystemVserver.vxd刪除,14,狀況2- 區域網路要磁碟共享但Internet不要 如你的電腦有連接區域網路而且磁碟會給區域網路中的其他電腦存取使用,那就不能將資源共享與Vserve

7、r.vxd刪除,只好將連接到Internet那個網路裝置TCP/IP項目中File and Printer sharing for Microsoft Networks打勾取消。 狀況3- Internet需要共享磁碟 如你的電腦需要給Internet上的人使用,那就不可以刪除也不可以關閉資源共享,只好經常檢查登錄資料中是否有被更改你不知道的磁碟共享,有就將其刪除,步驟如下:,15,按確定,16,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanservershares,17,5.WinNT、Win2K的預設共用漏洞,Windows

8、2000/XP/2003版本的作業系統提供了預設共用功能，這些預設的共用都有“$”標誌，意為隱含的，包括所有的邏輯硬碟（C$，D$，E$）和系統目錄Winnt或Windows（admin$）。 帶來的問題： 微軟的初衷是便於網管進行遠端管理，這雖然方便了局域網用戶，但對我們個人用戶來說這樣的設定是不安全的。如果電腦連上網路，網路上的任何人都可以通過共用硬碟，隨意進入你的電腦。所以我們有必要關閉這些共用。更為可怕的是，駭客可以通過連接你的電腦實現對這些預設共用的入侵。,18,關閉這些預設共用的方法:,方法一: 到“電腦管理”視窗中某個共用項（比如H$）上右鍵單擊，選擇“停止共用” 並確認後就會關

9、閉這個共用，它下面的共用圖示就會消失，重複幾次所有的項目都可以停止共用。 注意: 此方法治標不治本,19,方法二: 開始-執行-command 在命令字元下輸入： net share C:Dccuments and Settingsmynamenet share 出現目前在網路上所共享的資源： 共用名稱資源說明 - IPC$ 遠端IPC D$D:預設共用 ADMIN$C:WINDOWS 遠端管理 C$C:預設共用 E$E:預設共用 命令執行成功。 - 如果覺得關閉比較妥的話就輸入net share D$ /DELETE 出現以下訊息： C:Dccuments and Settingsmynam

10、enet share D$ /DELETE D$ 已經刪除,20,方法三: 1.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver parameters”項，雙擊右側視窗中的“AutoShareServer”項將鍵值由1改為0，這樣就能關閉硬碟各分區的共用。如果沒有 AutoShareServer項，可自己新建一個再改鍵值。 2.然後還是在這一視窗下再找到“AutoShareWks”項，也把鍵值由1改為0，關閉 admin$共用。 3.“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetCo

11、ntrolLsa”項處找到“restrictanonymous”，將鍵值設為1，關閉IPC$共用。 注意：要重新開機,21,方法四: 右擊“網路芳鄰”選“內容”，在彈出的“區域連線”視窗中右擊“File and Printer Sharing for Microsoft Networks”解除安裝。,22,6.如何取得磁碟讀寫權利,Win9x與WinME: 寄磁碟共享機碼給對方。 WinNT,Win2k與WinXP: 方法如下頁,23,建立最高權限帳戶 * 原理與說明-Windows系統本身會提供一個小工具 net.exe,執行它即可建立最高權限帳戶,net user hacker 1234 /add,Net指令,這裡不變,密碼,自己取,用戶名稱自取,這裡不變,net localgroup administrators hacker /add,這裡改成你自己取的用戶名稱,其餘不變,24,駭客手法 1.將前述的net命令批次檔夾帶在電子郵件中騙取你執行它,由於現在大多數的防毒軟體都無法判斷批次檔到底是否會對你的電腦造成破壞,因此有許多人可