至顶网›安全频道 ›局域网入侵个人电脑

局域网入侵个人电脑

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

局域网入侵个人电脑

来源：论坛整理 2008年11月5日

我在局域网用x-scan进行扫描发现如下信息

[192.168.0.103]: 开放服务: 21/tcp
[192.168.0.103]: 开放服务: 25/tcp
[192.168.0.103]: 开放服务: 110/tcp
[192.168.0.103]: 开放服务: 135/tcp
[192.168.0.103]: 开放服务: 139/tcp
[192.168.0.103]: 开放服务: 445/tcp
[192.168.0.103]: 139/tcp - "netbios-ssn"服务可能运行于该端口.
[192.168.0.103]: 21/tcp - "ftp"服务可能运行于该端口.
[192.168.0.103]: 445/tcp - "microsoft-ds"服务可能运行于该端口.
[192.168.0.103]: 135/tcp - "epmap"服务可能运行于该端口.
[192.168.0.103]: 25/tcp - "smtp"服务可能运行于该端口.
[192.168.0.103]: 110/tcp - "pop3"服务可能运行于该端口.
[192.168.0.103]: "开放服务"扫描完成, 发现 6.
[192.168.0.103]: 发现 "NetBios信息".
[192.168.0.103]: 445/tcp - SMB 运行在445端口上
[192.168.0.103]: 139/tcp - SMB 运行在445端口上
[192.168.0.103]: 137/udp - 使用NetBIOS探测Windows主机信息
[192.168.0.103]: 445/tcp - SMB 登陆
[192.168.0.103]: 445/tcp - 可以通过SMB连接注册表
[192.168.0.103]: 445/tcp - SMB 获取主机SID
[192.168.0.103]: 445/tcp - SMB NativeLanMan
[192.168.0.103]: 445/tcp - SMB利用主机SID枚举本地用户
[192.168.0.103]: 445/tcp - SMB LanMan 管道服务器浏览列表
[192.168.0.103]: 445/tcp - SMB shares enumeration
[192.168.0.103]: 445/tcp - SMB 共享连接
[192.168.0.103]: 123/udp - NTP read variables
[192.168.0.103]: "漏洞检测脚本"扫描完成, 发现 12.

警告 netbios-ssn (139/tcp) NetBios信息

[服务器信息 Level 101]:

主机名称: "192.168.0.103"
操作系统: Windows NT
系统版本: 5.1
注释:""
主机类型: WORKSTATION SERVER POTENTIAL_BROWSER MASTER_BROWSER

警告 netbios-ssn (139/tcp) NetBios信息

[服务器时间]:

10-14-2006 13:36:5 GMT

警告 netbios-ssn (139/tcp) NetBios信息

[网络共享资源列表 Level 1]:

E$: 磁盘 - [默认共享] (System)

World of Warcraft: 磁盘 - []

IPC$: 进程间通信(IPC$) - [远程 IPC] (System)

D$: 磁盘 - [默认共享] (System)

G$: 磁盘 - [默认共享] (System)

F$: 磁盘 - [默认共享] (System)

ADMIN$: 磁盘 - [远程管理] (System)

C$: 磁盘 - [默认共享] (System)

warcraft: 磁盘 - []

files: 磁盘 - []

提示 netbios-ssn (139/tcp) 开放服务

"netbios-ssn"服务可能运行于该端口.

BANNER信息:

83 .
NESSUS_ID : 10330

提示 netbios-ssn (139/tcp) SMB 运行在445端口上

远程主机开放了445端口，没有开放139端口。

两台Windows 2000 主机间的'Netbios-less'通讯通过445端口完成。攻击者可以利用该漏洞获取主机的共享连接，用户名列表及其他信息...

解决方案: 过滤该端口收到的数据。
风险等级: 中
___________________________________________________________________

An SMB server is running on this port
NESSUS_ID : 11011

提示 ftp (21/tcp) 开放服务

"ftp"服务可能运行于该端口.

NESSUS_ID : 10330

漏洞 microsoft-ds (445/tcp) SMB 共享连接

当前脚本检查是否可以从本地连接多个远程NetBios共享。

风险等级: 高
___________________________________________________________________

The following shares can be accessed as nessus131292567527346 :

- files - (readable)
+ Content of this share :
- warcraft - (readabl)

- World of Warcraft - (readable)
+ Content of this share :

Solution : To restrict their access under WindowsNT, open the explorer, do a right click on each,
go to the 'sharing' tab, and click on 'permissions'
Risk factor : High
CVE_ID : CAN-1999-0519, CAN-1999-0520
BUGTRAQ_ID : 8026
NESSUS_ID : 10396

警告 microsoft-ds (445/tcp) SMB shares enumeration

此Nessus脚本通过空会话连接到远程主机，枚举其共享列表。

风险等级 : 中
___________________________________________________________________

Here is the list of the SMB shares of this host :

E$
World of Warcraft
IPC$
D$
G$
F$
ADMIN$
C$
warcraft
files

This is potentially dangerous as this may help the attack
of a potential hacker.

Solution : filter incoming traffic to this port
Risk factor : Medium
NESSUS_ID : 10395

提示 microsoft-ds (445/tcp) 开放服务

"microsoft-ds"服务可能运行于该端口.

NESSUS_ID : 10330

提示 microsoft-ds (445/tcp) SMB 运行在445端口上

远程主机开放了445端口，没有开放139端口。

两台Windows 2000 主机间的'Netbios-less'通讯通过445端口完成。攻击者可以利用该漏洞获取主机的共享连接，用户名列表及其他信息...

解决方案: 过滤该端口收到的数据。
风险等级: 中
___________________________________________________________________

A CIFS server is running on this port
NESSUS_ID : 11011

提示 microsoft-ds (445/tcp) SMB 登陆

当前脚本尝试使用多个login/password组合登陆远程主机

参考资料: http://support.microsoft.com/support/kb/articles/Q143/4/74.ASP
参考资料: http://support.microsoft.com/support/kb/articles/Q246/2/61.ASP

风险等级: 中
___________________________________________________________________

- NULL sessions are enabled on the remote host
- Remote users are authenticated as 'Guest'

CVE_ID : CAN-1999-0504, CAN-1999-0506, CVE-2000-0222, CAN-1999-0505, CAN-2002-1117
BUGTRAQ_ID : 494, 990, 11199
NESSUS_ID : 10394

提示 microsoft-ds (445/tcp) 可以通过SMB连接注册表

用户可以使用SMB测试中的login / password 组合远程连接注册表。
允许远程连接注册表存在潜在危险，攻击者可能由此获取更多主机信息。

解决方案: 如果还没有安装service pack 3补丁，先安装之。同时设置注册表子键
HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg
的权限，只允许管理员用户浏览其内容。

另外，有必要考虑从相关端口过滤主机接收到的数据。

风险等级: 低
___________________________________________________________________

It was not possible to connect to PIPE\winreg on the remote host.
If you intend to use Nessus to perform registry-based checks, the registry
checks will not work because the 'Remote Registry Access' service (winreg)
has been disabled on the remote host or can not be connected to with the
supplied credentials.
NESSUS_ID : 10400

提示 microsoft-ds (445/tcp) SMB 获取主机SID

当前脚本模仿LsaQueryInformationPolicy()函数获取域（或主机）的SID (安全身份验证)。

域/主机的SID可以用来获取域用户或本地用户帐号的列表。

风险等级: 低
___________________________________________________________________

The host Security Identifier (SID) can be obtained remotely. Its value is :

1-5-21-746137067-1214440339-1801674531

An attacker can use it to obtain the list of the local users of this host
Solution : filter the ports 137-139 and 445
Risk factor : Low

CVE_ID : CVE-2000-1200
BUGTRAQ_ID : 959
NESSUS_ID : 10859

提示 microsoft-ds (445/tcp) SMB NativeLanMan

当前插件尝试探测远程native lan manager 名(Samba, Windows...)。

风险等级: 低
___________________________________________________________________

The remote native lan manager is : Windows 2000 LAN Manager
The remote Operating System is : Windows 5.1
The remote SMB Domain Name is : WORKGROUP

NESSUS_ID : 10785

提示 microsoft-ds (445/tcp) SMB利用主机SID枚举本地用户

当前脚本使用主机SID从1000到1200枚举本地用户ID（枚举范围可根据需要设定）

风险等级: 中
___________________________________________________________________

The host SID could be used to enumerate the names of the local users
of this host.
(we only enumerated users name whose ID is between 1000 and 1200
for performance reasons)
This gives extra knowledge to an attacker, which
is not a good thing :
- Administrator account name : Administrator (id 500)
- Guest account name : Guest (id 501)
- HelpAssistant (id 1000)
- HelpServicesGroup (id 1001)
- SUPPORT_388945a0 (id 1002)
- Dragoon (id 1003)
- ASPNET (id 1004)

Risk factor : None
Solution : filter incoming connections this port

CVE_ID : CVE-2000-1200
BUGTRAQ_ID : 959
NESSUS_ID : 10860

提示 microsoft-ds (445/tcp) SMB LanMan 管道服务器浏览列表

当前脚本通过\PIPE\LANMAN交易管道获取远程主机浏览列表。

风险等级: 低
___________________________________________________________________

Here is the browse list of the remote host :

IRICO-2DDCE1411 ( os: 5.1 )

This is potentially dangerous as this may help the attack
of a potential hacker by giving him extra targets to check for

Solution : filter incoming traffic to this port
Risk factor : Low

NESSUS_ID : 10397

提示 epmap (135/tcp) 开放服务

"epmap"服务可能运行于该端口.

NESSUS_ID : 10330

提示 smtp (25/tcp) 开放服务

"smtp"服务可能运行于该端口.

NESSUS_ID : 10330

提示 pop3 (110/tcp) 开放服务

"pop3"服务可能运行于该端口.

NESSUS_ID : 10330

提示 netbios-ns (137/udp) 使用NetBIOS探测Windows主机信息

如果NetBIOS端口(UDP:137)已经打开，
一个远程攻击者可以利用这个漏洞获得主机
的敏感信息，比如机器名，工作组/域名，
当前登陆用户名等。

解决方法：阻止这个端口的外部通信。

风险等级：中
___________________________________________________________________

The following 6 NetBIOS names have been gathered :
IRICO-2DDCE1411 = This is the computer name registered for workstation services by a WINS client.
WORKGROUP = Workgroup / Domain name
IRICO-2DDCE1411 = Computer name
WORKGROUP = Workgroup / Domain name (part of the Browser elections)
WORKGROUP
__MSBROWSE__
The remote host has the following MAC address on its adapter :
00:14:85:f1:1f:d9

If you do not want to allow everyone to find the NetBios name
of your computer, you should filter incoming traffic to this port.

Risk factor : Low
CVE_ID : CAN-1999-0621
NESSUS_ID : 10150

提示 ntp (123/udp) NTP read variables

A NTP (Network Time Protocol) server is listening on this port.

Risk factor : Low
NESSUS_ID : 10884