通过135端口入侵实际上是利用RPC漏洞来攻击计算机的。 一般情况下135端口主要用于使用RPC(Remote Procedure Call, 远程过程调用)
协议并提供DCOM(分布式组件对象模型)服务, 通过RPC可以保证在一台计算机上运行的程序可以顺利地 执行远程计算机上的代码;
使用DCOM可以通过网络直接进行通信, 能够跨包括HTTP协议在内的多种网络传输。 RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞, 该漏洞是由于错误地处理格式不正确的消息造成的。 会影响到RPC与DCOM之间的一个接口, 该接口侦听的端口就是135。
下面我就来介绍一下通过135端口入侵的方法。
(1)通过135端口入侵, 攻击者首先需要查找网络上存在135端口漏洞的主机地址, 在查找此类主机过程中, 可以使用一些扫描工具, 比如SuperScan就是典型的端口工具之一。 在SuperScan“开始”文本框中输入需要扫描的起始地址, 然后在“结束”文本框里填写好扫描结束的IP地址, 在“扫描类型”选项中选择“所有端口定义”单选按钮, 并在右侧的文本框中输入“135”。 再点击“开始”按钮即可开始扫描。 扫描结束后, 在下方的列表中可以查看目标主机打开的端口。 然后再点击“Save”按钮选好保存路径, 把里面有漏洞的IP整理下即可。
(2)得到有漏洞后, 我们还有一个功能强大的扫描工具, 比如NTSscn汉化版。 然后在“主机文件“处点击“打开”按钮找到我们刚才保存的IP路径, 在连接共享$处选择“WMI扫描”, 在“扫描打开端口的主机”处填写135端口。 最后点击“开始”即可。 要不了多久就会有结果显示。
(3)获得漏洞主机用户名以后, 我们需要一个开启的工具, 那就是Recton v2.5。 好了, 万事具备之欠那“东风”拉。 把刚刚扫描的IP输入TELNET界面的“远程主机”处, 以及用户名和密码, 不过一般情况下密码都是空。 下一步点击“开始执行”按钮等待把TELNET打开吧。 打开后按WIN+R输入CMD进入再输入Telnet IP 回车, 会提示让你输入用户名, 把用户名输入后, 回车即可进入主机。 而且得到的还是SYSTEM权限。
下一步就是为我们加了拥有管理员权限的用户, 看看我杰作。 最后我们可以上传一些远程性木马软件作为后门, 比如灰鸽子, 冰河等。 在这里我就不在展示。 我还是喜欢3389端口, 那我就给他上传个开启3389的脚本, 不过对于开启3389端口的工具网上还真的不少, 比如Recton v2.5就有这个功能。 好了3389端口已经成功开启大家看我连接的。 怎么样, 就这么轻松得到了一台。 是不是很过瘾啊。
……