通过 NetBIOS 入侵

所有的入侵都涉及到以 root 或 admin 权限登录到某一计算机或网络。入侵的第一步往往是对目标计算机
或的端口扫描（portscan）。建立在目标计算机开放端口上的攻击是相当有效的。N T 机器的端口信息的
显示和 UNIX

 

的不同。因此，一般能区分出目标计算机所运行的是哪个操作系统。

攻击 NT 为基础的网络时，NetBIOS

 

是首选的进攻点。

使用端口扫描软件，比如 Sam，看看目标计算机的端口 139 是否打开。139 端口是"NetBIOS session"端
口，用来进行文件和打印共享的，是 NT 潜在的危险。注意：运行 SAMBA 的 Linux 和 UNIX 系统的 139
端口也是打开的，提供类似的文件共享。找到了这样的目标计算机后，接下来是使用" nbtstat"

 

命令。

NBTSTAT 命令是用来询问有关 NetBIOS 的信息的，也能清除 NetBIOS 缓冲区能的内容和将 LMHOSTS

 

文件预先装入其中。通过运行这一命令能得到许多有用信息。

NBTSTAT 命令解释：nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S] [-s] [interval]

 

开关： -a 

列出给定主机名的远程计算机的名字表（name table  

） -A 列出给定 IP

 

地址的远程计算机的名字表 -c 列

出 远 程 名 字 缓 冲 区 （ name cache ） ， 包 括 IP

 

地 址 -n   列 出 本 地 NetBIOS  

 

名 字 -r   列 出 通 过 广 播

（broadcast）和 WINS

 

解析的名字

-R 

 

清除和重新装入远程的缓冲的名字表

-S 列出和目标 IP

 

地址会话的表

-s 

 

列出会话表转换

NBTSTAT 命令的输出的每一栏都有不同的含义，它们的标题有下面几个，含义也在下面做了相应的解

 

释：

Input 

 

接收到的字节数。

Output 

 

发送的字节数。

In/Out 这个连接是来自该计算机（outbound）还是来自另外的系统（inbound

 

）。

Life 

 

在你的计算机清除名字表之前存在时间。

Local Name 

 

连接时本地的名字。

Remote Host 
远程计算机的名字或 IP

 

地址。

Type 

 

一个名字可以有两种类型： unique 或 group  

。

NetBIOS 名字的最后 16

 

个字符经常代表一些内容。因为同样的名字可以在同一计算机出现几次。该类型

表示名字的最后一个字节（用 16

 

进制表示）。

State 
你的 NetBIOS

 

连接将是下面几个状态之一：

State MeaningAccepting 正在处理一个进入的连接 Associated 一个连接的端点已经建立，你的计算机与
它以一个 IP 地址相关 Connected 你已经联系到了远程资源。Connecting 你的会话正试图对目标资源进行
名字到 IP 地址的解析 Disconnected 你的计算机发出一个断开请求，正在等待远程计算机的响应

Disconnecting 

 

正在结束你的连接