危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2291 浏览19862021

小端口,大作用——深入探寻TCP139端口的潜力

大家知道,TCP 139端口在Windows的网络设置中占有重要地位,因为TCP 139端口承担了文件共享的任务。实际上,TCP 139端口是在系统安装了NETBEUI协议后才开放的,当然,在安装了该协议后,Windows还会开放UDP 137和138端口,开放了TCP 139端口虽然带了文件共享的便利,但是也会带来一些风险。例如其他人可以通过该端口来刺探本机的一些重要信息。在CMD窗口中执行“nbtstat -a61.159.56.91”,就会得到地址为“61.159.56.91”的电脑的一些敏感信息。例如该机的名称、工作组的名称和模式、以及MAC地址信息等。这只是利用Windows自带的工具进行探测,如果使用专业的扫描工具(例如Superscan,X-Scan等),还会得到目标机更加全面的配置信息,此外,TCP 139端口和Windows的Messenger服务有着密切的联系,在启用了Messenger服务的电脑之间,可以使用“net send IP发送的消息”命令来传递信息,在信息发送完成后,执行“netsta -an”命令,可以看到该服务发送信息使用的端口就是TCP139端口。

危险漫步先告诉大家如何关闭TCP139端口。为了避免TCP端口暴露本机的信息,可以解除NETBEUI和TCP/lP协议之间的绑定,然后删除NETBEUI即可。在Windows XP中可以打开本地连接窗口,在“常规”面板中双击“Internet协议(TCP/IP)”项,在打开的窗口中点击“高级”按钮,在“高级TCP/IP设置”窗口中打开“WINS”面板,在“NetBIOS设置”栏中可以选择“禁用TCP/IP上的NetBIOS”项,即可关闭TCP 139端口。当然,关闭了NetBIOS端口后,会造成在网络邻居窗口中,无法显示网络中的其它计算机,这是因为本机的NetBIOS端口和其它计算机上的NetBIOS端口无法交换信息造成的。此外,关闭了TCP 139端口,就无法启用资源共享功能了。

实战解析TCP l39端口

这里假设在局域网环境中,有P C l(lP为“192.168.0.1”)和PC2(IP为“192.168.0.2”)两台电脑,都安装了Windows 2000系统,现在在PC1上使用IPC$(Internet Process Connection,即“命名管道”)和PC2建立连接,执行的命令为“net use\\192.168.0.2\ipc$“12-456”/us er:”helli””,其中假设PC2上的用户名为hello”,密码为“123456”。连接建立成功后,在PC1上使用“netstat -an”命令查看端口情况。在连接列表中可以看到,139和445端口同时开启。默认的连接端口不是139,而是445。看来要想让139端口发挥威力,必须先封闭445端口。在PC2上打开注册表编辑器,在其中展开“HKEY—LOCALMACHINE\SYSTEM\CurrentControlSet\S rvicesYNetBT\Parameters”分支,在右侧窗口中建立一个DWORD类型,名称为“SMBDeviceEnabLed”的键值名,并将其值设置为“O”,之后重启电脑,PC2上9J445端口即可关闭。之后再次在PC1上使用IPC$管道和PC2建立连接,然后观察端口列表,可以发现Windows 2000才真正使用139端建立了网络连接。实际上,Windows 2000/XP之间建立网络共享连接时,首先使用的是445端口,当445端口连接失败,才使用139端口迸行连接。当然,如果使用Windows98和Windows 2000/XP建立网络连接,就会直接使用139端口创建连接。实际上,在Windows 2000中实现资源共享,必须满足开启Netlogon服务、开启文件和打印机共享、开放139和445端口等要求。前面谈过,使用Messenger信使服务在网络中发送信息,需要使用到139端口。假设将PC2上的139端口关闭,然后从PC1上使用“nef send”命令向PC2上发送信息,PC2能否收到呢?答案是可以的,但是,PC2要等待十几秒的时间。实际测试爰明,信使服务还使用到了其它的端口,是不是使用到了445端口呢,将PC2上的445端口关闭,但是信息泼送仍然成功。此间经过对端口列表的观察,发现在开放的端口中,只有135端口可以担当信使发送服务,于是将Wlndwos2000系统目录“Winnt\ststem32”中的“rpcss.dll”使用Ultraedit打开,在其中寻找“3100330035”,并将其改为“3000300030”,然后保存文件,之后重启电脑后Windows的135端口就被关闭了。之后重新从PCl向PC2发送消息就会发现信使股务无法正常发送信息了,看来信使服务默认使用139端口发送消息,如果失败的话,就会改用135端口发送消息了。