現在很多朋友仍然在使用管理員帳號密碼為空的系統,這樣就為駭客製造了可乘之機,其中系統自帶的WMI是最方便的入侵通道。WMI(Windows管理規範)作為一項Windows管理技術,方便用戶對電腦進行遠程管理。但是它的易用性也導致了系統的安全性大幅下降。讓用戶的電腦除了自己帳號密碼的保護外再沒有什麼安全保護措施。本期我們就向大家介紹“菜鳥”級的駭客都可以輕易利用的入侵通道——WMI(Windows管理規範)。
小知識:什麼是WMI?
WMI是一項核心的Windows管理技術,WMI作為一種規範和基礎結構,通過它可以訪問、配置、管理和監視幾乎所有的Windows資源,比如用戶可以在遠程電腦器上啟動一個進程;設定一個在特定日期和時間運行的進程;遠程啟動電腦;獲得本地或遠程電腦的已安裝程式列表;查詢本地或遠程電腦的Windows事件日誌等等。
本質善良的WMI
從WMI本來的功能看,它是為了讓電腦的管理更容易,同時方便管理員遠程操作系統而產生的,那麼它又怎麼會為“菜鳥”級的入侵者提供方便呢?
一般情況下,在本地電腦上執行的WMI操作也可以在遠程電腦上執行,只要用戶擁有該電腦的管理員許可權。如果用戶對遠程電腦擁有許可權並且遠程電腦支持遠程訪問,那麼用戶就可以連接到該遠程電腦並執行擁有相應許可權的操作。
WMI能夠成為遠程控制下的一個合法通道,有了這個通道,入侵者不需要對自己進行偽裝,不必再為探測出對方帳號的密碼為空後,找不到連接對方系統的通道而發愁。只要進行簡單幾個步驟就可以輕易地入侵到別人的電腦中。下麵,我們就來看看,到底該如何利用WMI通道。
WMI被利用為虎作倀
前面介紹了WMI的原理,下麵我們實際瞭解下,如何通過WMI進行入侵。在網上,有很多利用WMI的小工具,這裏我們就以rots.vbs工具進行簡單的演示,看一個“菜鳥”駭客如何輕易地入侵。
1.掃描135端口
要尋找可以通過WMI入侵的遠程電腦,只要對135端口進行掃描就可以了。因為WMI服務默認打開的就是135端口。我們本次實例採用的是NTscan掃描工具,因為它不但可以對IPC$、SMB、WMI這些資訊進行掃描,同時還可以對掃描到的遠程帳戶進行弱口令猜測,功能相對來說比較強大。
運行NTscan,在程式窗口的“配置”區域中進行設置。首先在“起始IP”和“結束”選項中輸入掃描的IP地址範圍,接著選擇“WMI掃描”選項,並且在“掃描打開端口的主機”選項後輸入“135”,最後點擊“開始”按鈕就開始進行掃描 2.開啟終端服務
找到可以入侵的遠程電腦以後,就可以開始入侵操作了。首先使用的工具是一個名為rots.vbs的腳本程式,通過它可以開啟遠程電腦的終端服務。腳本會自動判斷目標系統類型,如果不是Windows 2000 Server及以上版本的系統,腳本就會提示是否要取消操作。因為Windows 2000 Pro以下版本不能安裝終端服務。
然後是開啟終端服務。開啟工具的使用方法非常簡單,命令格式為:cscript rots.vbs <目標IP> <用戶名> <密碼> [服務端口] [自動重啟選項]
其中,[服務端口]和[自動重啟選項]為可選參數,默認情況下,程式開啟的終端服務端口為3389,如果用戶需要修改,在[服務端口]選項中填入你要的端口即可,而[自動重啟選項]選項則是在開啟終端服務以後重啟系統用的。
舉個例子:cscript.exe rots.vbs 192.168.0.6 Administrator "" 4466 /r
上面這段實例的意思是開啟192.168.0.6這臺遠程電腦的終端服務,並且將端口更改為4466,服務安裝完成後自動重啟。
屏閉135端口防禦入侵
從上面的介紹大家都可以看出,整個過程中使用的端口都是135。所以為了防止別人通過WMI進行入侵,我們可以使用防火牆對135端口進行遮罩,這樣就可以達到防範類似的入侵。用戶加強自己的帳號密碼強度,也可以有效防範入侵。
關閉135端口的方法
我們使用到十六進制的編輯器,比如:WINHEX、UltraEdit等軟體。運行UltraEdit,通過工具欄上的“打開文檔”按鈕找到系統SYSTEM32檔夾下的rpcss.dll。接著點擊“搜索”菜單中的“查找”命令,在彈出的窗口中查找“3100330035”這個字串,找到後將它替換為“3000300030”,並另存為其他的檔目錄中,建議保存在C盤根目錄下。
重新啟動系統,用啟動盤啟動到DOS狀態下,進入C盤後運行:copy rpcss.dll c:windowssystem32
pcss.dll,然後重新啟動電腦,就會發現135端口已經被關閉。
使用網路防火牆也可以通過端口限制的手段進行遮罩135端口。我們以天網網路防火牆為例。打開天網防火牆介面,依次點擊“IP規則管理→增加規則”,然後在彈出的窗口介面中,在數據包方向中選擇“接收或者發送”,在數據包類型中選擇“TCP”,最後在本地端口中輸入“135”,然後就是確定退出,最後保存規則即可。以後如果有數據從135端口進行傳輸,天網就會自動進行攔截。 |
