热点推荐:
您现在的位置: 电脑学习网 >> 网络技术 >> 正文

什么是溢出

2013-09-12 16:07:06  来源: 网络技术 
  什么是溢出?系统漏洞可谓是层出不穷,尽管我们在系统的安全上都下了不少功夫,比如及时安装系统安全补丁和进行一些常规的安全配置,但是仍然不可能将所有的入侵者都挡在系统之外。下面就为大家讲一下用最简单、最有效的方法来防范系统溢出,以及本地提升权限。www.sq120.com推荐文章

  黑客通常在溢出得到Shell后,会使用诸如net.exe、、user.exe、query.exe、regedit.exe、regsvr32.exe等系统自带的命令来达到进一步控制服务器的目的。这里我们可以将这些命令程序删除或者改名(注意:在删除或改名时,应该先停掉文件复制服务或者先将 %windir%/system32/dllcache/下的对应文件删除或改名,以免被系统自动还原)。
  如果你觉得上面那样做太麻烦,可以在注册表中修改禁用命令提示符。通过修改注册表,可以禁止用户使用命令提示符和运行批处理文件。具体方法为,在注册表中找到键根HKEY_CURRENT_USER/Software/Policies/ Microsoft/Windows/System/,然后新建一个名为“DisableCMD”的双字节(REG_DWORD)键,并将其键值修改为1,这样命令提示符和批处理文件就都不能被运行。键值修改为2,则只是禁止命令提示符的运行,反之将键值改为0,则表示可以执行命令提示符和批处理文件。wWw.ItCOmPUteR.COm.Cn  
acctinfo.dll文件是什么   如果你想清楚地知道自己所管理的服务器上各个用户账号的明细信息,如上次设置密码时间、域密码策略、密码过期时间、登录过多少次等,只要你的服务器是Windows Server 2000/2003系统,都可以利用微软的一个DLL插件得到所有的用户账户信息。其操作过程如下:
  1.首先登录微软网站下载Windows Server 2003资源管理工具包——rktools.exe,下载地址:(本文为WWW.SQ120.COM电脑知识网推荐文章)http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en。
  2.下载并完装完成后,在运行中输入regsvr32 acctinfo.dll,按Enter键,会弹出表示注册成功的窗口(注:Acctinfo.dll是一个用来扩展微软管理控制台的“Active Directory用户和计算机”插件的DLL文件。)
  3.打开管理工具中的“Active Directory用户和计算机”,选择一个用户,打开此用户账号属性,你会发现此用户对象的属性页中增加了一个附加的账户信息选项卡“Additional Account Info”,点击它就能看到包含了该用户的各种有用信息(如最近设置密码的时间、最近一次的登录时间等),如当你点击“Domain PW Info”,又会弹出一窗口,告诉你域密码策略。  
什么是wmi

现在很多朋友仍然在使用管理员账号密码为空的系统,这样就为黑客制造了可乘之机,其中系统自带的WMI是最方便的入侵通道。WMI(Windows管理规范)作为一项Windows管理技术,方便用户对计算机进行远程管理。但是它的易用性也导致了系统的安全性大幅下降。让用户的电脑除了自己账号密码的保护外再没有什么安全保护措施。本期我们就向大家介绍“菜鸟”级的黑客都可以轻易利用的入侵通道——WMI(Windows管理规范)。
小知识:什么是WMI?
  WMI是一项核心的Windows管理技术,WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。
本质善良的WMI
  从WMI本来的功能看,它是为了让计算机的管理更容易,同时方便管理员远程操作系统而产生的,那么它又怎么会为“菜鸟”级的入侵者提供方便呢?
  一般情况下,在本地计算机上执行的WMI操作也可以在远程计算机上执行,只要用户拥有该计算机的管理员权限。如果用户对远程计算机拥有权限并且远程计算机支持远程访问,那么用户就可以连接到该远程计算机并执行拥有相应权限的操作。
  WMI能够成为远程控制下的一个合法通道,有了这个通道,入侵者不需要对自己进行伪装,不必再为探测出对方账号的密码为空后,找不到连接对方系统的通道而发愁。只要进行简单几个步骤就可以轻易地入侵到别人的电脑中。下面,我们就来看看,到底该如何利用WMI通道。
WMI被利用为虎作伥
  前面介绍了WMI的原理,下面我们实际了解下,如何通过WMI进行入侵。在网上,有很多利用WMI的小工具,这里我们就以rots.vbs工具进行简单的演示,看一个“菜鸟”黑客如何轻易地入侵。
1.扫描135端口
  要寻找可以通过WMI入侵的远程计算机,只要对135端口进行扫描就可以了。因为WMI服务默认打开的就是135端口。我们本次实例采用的是NTscan扫描工具,因为它不但可以对IPC$、SMB、WMI这些信息进行扫描,同时还可以对扫描到的远程账户进行弱口令猜测,功能相对来说比较强大。
  运行NTscan,在程序窗口的“配置”区域中进行设置。首先在“起始IP”和“结束”选项中输入扫描的IP地址范围,接着选择“WMI扫描”选项,并且在“扫描打开端口的主机”选项后输入“135”,最后点击“开始”按钮就开始进行扫描(如图)。 

 
From:http://www.itcomputer.com.cn/Article/Network/201309/974.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 电脑知识网 Computer Knowledge   All rights reserved.