我要投稿

攻防知識:WMI的攻擊與防御

時間:2009-12-28 14:15 作者:小艾 閱讀:12055

掃描二維碼關注公眾號,可以查詢淘寶、京東商品優惠券
WMI是“MicrosoftWindows管理規范”的簡稱,需要“WindowsManagementInstrumentation”服務支持,而這個服務是默認啟動的,這就為入侵提供了很大的方便。只要黑客知道了管理員的用戶名和密碼,而且本機的135端口已開啟,黑客就可以在被入侵的機器上執行任意命令,取得控制權。而大多數用戶在安裝系統時都把系統自帶的管理員賬戶Administrator密碼留空,這無疑給了黑客可乘之機,即使是很初級的“無聊黑客”也可以輕而易舉地使用利用WMI漏洞的工具來實現入侵。

  WMI入侵

  1.Remoxec

  Remoxec是最早出現的利用WMI原理編寫的程序,功能簡單,但已具有執行任意命令的功能。

  在軟件界面中輸入目標主機的域名或IP地址及具有管理員權限的用戶名密碼,再輸入要執行的命令,就可以入侵了。比如要新建一個用戶名名為“simuz”,密碼為“123456”的用戶,只要輸入“netusersimuz123456/add”即可,命令執行成功后會彈出一個成功的提示對話框。利用命令可以做很多事,比如提升用戶為管理員,上傳文件等,可以這么說,只要在Shell中可以做到的事,在Remoxec中同樣可以做到。

  小知識:Shell是一個命令解釋器,類似于DOS下的command.com。它用來接收用戶命令,然后調用相應的應用程序。

  2.Recton

  與Remoxec相比,Recton的功能就強多了,它內置了開啟3389端口、開啟Telnet等功能,只要輸入主機的管理員用戶名和密碼,選擇相應的命令并執行即可。在開啟了對方的遠程終端服務后,就可以像操作自己的電腦一樣操作主機了。

  WMI入侵的防范

  從上文我們可以得知,利用WMI服務進行入侵需要兩個必要條件,即系統的135端口和WindowsManagementInstrumentation服務要同時開啟,所以我們可以對癥下藥,不用任何工具就能切斷黑客利用WMI入侵這條途徑。

  方法一:利用WMI入侵首先需要得到目標主機的管理員用戶名和密碼,而粗心的用戶往往會將系統默認的Administrator賬戶密碼留空,因此就給了黑客可乘之機。我們可以為該賬戶設置一個“強悍”的密碼,這樣黑客就很難破譯管理員密碼,利用WMI入侵的幾率就很小了。

  方法二:關閉135端口或WindowsManagementInstrumentation服務都可以防止WMI入侵,但是WMI服務是系統基本的服務,關閉它會造成系統崩潰,因此我們可以從關閉端口入手,利用系統內置的“TCP/IP篩選”功能就可以做到。打開控制面板里的“網絡連接”,在本地連接圖標上點擊鼠標右鍵,選擇“屬性”,然后在打開的對話框中雙擊“Internet協議(TCP/IP)”,再點擊下面的“高級”按鈕打開“高級TVP/IP設置”對話框并切換到“選項”標簽,雙擊“TCP/IP篩選”,在這里就可以設置需要關閉的端口了。關閉了必要的端口后,黑客就無法連接WMI服務了

                          QQ:215777400

最新評論

我要投稿 我要評論
插入url鏈接 添加表情
限 100000 字節
響應相關主管單位規定,關閉回帖發帖功能
[VB畢業設計] [ASP畢業設計] [JAVA畢業設計] [JSP畢業設計] [PHP畢業設計] [asp.net畢業設計] [.net畢業設計] [網絡畢業設計] [Delphi畢業設計] [VC畢業設計] [VF畢業設計] [機械畢業設計] [工藝畢業設計] [模具畢業設計] [其他畢業設計]
站長聯系 cccbbsnet#163.com 本站系公益性質網站,站內廣告維系本站運作。歡迎贊助本站。
大學生計算機相關方向|軟件編程|網絡工程|web開發|數據庫技術|學習資料等
本社區僅供學習計算機相關技術所使用,訪客發言不得違反國家法律法規
Time now is:02-27 03:41, Gzip enabled 蜀ICP備07004838號Powered by cccbbs.net v7.5 SP3 Code © 2003-06 cccbbs
計算機畢業設計
配资网