當前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

帶你認識WMI的攻擊與防御方法

http://m.yibo1263.com　2009-5-8 15:30:01 　來源:東北IT網(wǎng) 　編輯:葉子

　　WMI是“MicrosoftWindows管理規(guī)范”的簡稱，需要“WindowsManagementInstrumentation”服務(wù)支持，而這個服務(wù)是默認啟動的，這就為入侵提供了很大的方便。只要黑客知道了管理員的用戶名和密碼，而且本機的135端口已開啟，黑客就可以在被入侵的機器上執(zhí)行任意命令，取得控制權(quán)。而大多數(shù)用戶在安裝系統(tǒng)時都把系統(tǒng)自帶的管理員賬戶Administrator密碼留空，這無疑給了黑客可乘之機，即使是很初級的“無聊黑客”也可以輕而易舉地使用利用WMI漏洞的工具來實現(xiàn)入侵。

　　WMI入侵

　　1.Remoxec

　　Remoxec是最早出現(xiàn)的利用WMI原理編寫的程序，功能簡單，但已具有執(zhí)行任意命令的功能。

　　在軟件界面中輸入目標主機的域名或IP地址及具有管理員權(quán)限的用戶名密碼，再輸入要執(zhí)行的命令，就可以入侵了。比如要新建一個用戶名名為“simuz”，密碼為“123456”的用戶，只要輸入“netusersimuz123456/add”即可，命令執(zhí)行成功后會彈出一個成功的提示對話框。利用命令可以做很多事，比如提升用戶為管理員，上傳文件等，可以這么說，只要在Shell中可以做到的事，在Remoxec中同樣可以做到。

　　小知識：Shell是一個命令解釋器，類似于DOS下的command.com。它用來接收用戶命令，然后調(diào)用相應(yīng)的應(yīng)用程序。

　　2.Recton

　　與Remoxec相比，Recton的功能就強多了，它內(nèi)置了開啟3389端口、開啟Telnet等功能，只要輸入主機的管理員用戶名和密碼，選擇相應(yīng)的命令并執(zhí)行即可。在開啟了對方的遠程終端服務(wù)后，就可以像操作自己的電腦一樣操作主機了。

　　WMI入侵的防范

　　從上文我們可以得知，利用WMI服務(wù)進行入侵需要兩個必要條件，即系統(tǒng)的135端口和WindowsManagementInstrumentation服務(wù)要同時開啟，所以我們可以對癥下藥，不用任何工具就能切斷黑客利用WMI入侵這條途徑。

　　方法一：利用WMI入侵首先需要得到目標主機的管理員用戶名和密碼，而粗心的用戶往往會將系統(tǒng)默認的Administrator賬戶密碼留空，因此就給了黑客可乘之機。我們可以為該賬戶設(shè)置一個“強悍”的密碼，這樣黑客就很難破譯管理員密碼，利用WMI入侵的幾率就很小了。

　　方法二：關(guān)閉135端口或WindowsManagementInstrumentation服務(wù)都可以防止WMI入侵，但是WMI服務(wù)是系統(tǒng)基本的服務(wù)，關(guān)閉它會造成系統(tǒng)崩潰，因此我們可以從關(guān)閉端口入手，利用系統(tǒng)內(nèi)置的“TCP/IP篩選”功能就可以做到。打開控制面板里的“網(wǎng)絡(luò)連接”，在本地連接圖標上點擊鼠標右鍵，選擇“屬性”，然后在打開的對話框中雙擊“Internet協(xié)議(TCP/IP)”，再點擊下面的“高級”按鈕打開“高級TVP/IP設(shè)置”對話框并切換到“選項”標簽，雙擊“TCP/IP篩選”，在這里就可以設(shè)置需要關(guān)閉的端口了。關(guān)閉了必要的端口后，黑客就無法連接WMI服務(wù)了。

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费