通过 NetBIOS 入侵
所有的入侵都涉及到以 root 或 admin 权限登录到某一计算机或网络。入侵的第一步往往是对目标计算机
或的端口扫描(portscan)。建立在目标计算机开放端口上的攻击是相当有效的。N T 机器的端口信息的
显示和 UNIX
的不同。因此,一般能区分出目标计算机所运行的是哪个操作系统。
攻击 NT 为基础的网络时,NetBIOS
是首选的进攻点。
使用端口扫描软件,比如 Sam,看看目标计算机的端口 139 是否打开。139 端口是"NetBIOS session"端
口,用来进行文件和打印共享的,是 NT 潜在的危险。注意:运行 SAMBA 的 Linux 和 UNIX 系统的 139
端口也是打开的,提供类似的文件共享。找到了这样的目标计算机后,接下来是使用" nbtstat"
命令。
NBTSTAT 命令是用来询问有关 NetBIOS 的信息的,也能清除 NetBIOS 缓冲区能的内容和将 LMHOSTS
文件预先装入其中。通过运行这一命令能得到许多有用信息。
NBTSTAT 命令解释:nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S] [-s] [interval]
开关: -a
列出给定主机名的远程计算机的名字表(name table
) -A 列出给定 IP
地址的远程计算机的名字表 -c 列
出 远 程 名 字 缓 冲 区 ( name cache ) , 包 括 IP
地 址 -n 列 出 本 地 NetBIOS
名 字 -r 列 出 通 过 广 播
(broadcast)和 WINS
解析的名字
-R
清除和重新装入远程的缓冲的名字表
-S 列出和目标 IP
地址会话的表
-s
列出会话表转换
NBTSTAT 命令的输出的每一栏都有不同的含义,它们的标题有下面几个,含义也在下面做了相应的解
释:
Input
接收到的字节数。
Output
发送的字节数。
In/Out 这个连接是来自该计算机(outbound)还是来自另外的系统(inbound
)。
Life
在你的计算机清除名字表之前存在时间。
Local Name
连接时本地的名字。
Remote Host
远程计算机的名字或 IP
地址。
Type
一个名字可以有两种类型: unique 或 group
。
NetBIOS 名字的最后 16
个字符经常代表一些内容。因为同样的名字可以在同一计算机出现几次。该类型
表示名字的最后一个字节(用 16
进制表示)。
State
你的 NetBIOS
连接将是下面几个状态之一:
State MeaningAccepting 正在处理一个进入的连接 Associated 一个连接的端点已经建立,你的计算机与
它以一个 IP 地址相关 Connected 你已经联系到了远程资源。Connecting 你的会话正试图对目标资源进行
名字到 IP 地址的解析 Disconnected 你的计算机发出一个断开请求,正在等待远程计算机的响应
Disconnecting
正在结束你的连接