轻松斩断入侵局域网简单攻防实录

来源：IT168 作者：出处：巧巧读书 2007-05-22 进入讨论组

　　二、防范共享资源入侵

　　一般局域网中的服务器都使用的是Win 2000 Server/WINDOWS XP系统，而客户端计算机使用的操作系统有Win98或Win2000 Pro/XP等。

比如现在有一台客户机已经登录到域domain，则它可使用默认共享方式入侵服务器：在该客户机的网络邻居地址栏中输入\\server\admin$，便可进入Win2000的系统目录Win NT，此时该用户可以删除文件。若再输入\\server\d$，即可进入服务器上的D盘，此时该客户机用户已经具备服务器的管理员权限，这是相当危险的。居心叵测的人可以通过新建Winstart.bat或者Wininit.ini文件，并在其中加入格式化C盘的语句，使系统丢失所有C盘文件；或是在服务器的启动项中加入现在任何流行木马的启动程序，后果也不堪设想。

　　Win2000/XP采用默认共享方式来方便远程维护，但同时也给了有心者可乘之机。怎么办？可能通过修改注册表来关闭默认共享，打开注册表编辑器，依次打开HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver，若系统为Win2000 Pro，则新建Autosharewks的DWORD值，并设键值为0；若系统为Win2000 Server，则新建Autoshareserver的DWORD值，并设键值为0。重新启动计算机后就关闭了默认共享。

　　不过不要以为这样别人就不能通过共享来入侵服务器了，装有Win2000平台的客户机还可以通过IPS$的空连接入侵服务器。客户机用户可以先用端口扫描软件，这里以X-Scan 2.3为蓝本，在“扫描参数”对话窗口中填入服务器的IP地址，在“扫描模块”对话窗口中选择“sql server弱口令”和“nt-server弱口令”，单击“开始扫描”即开始探测，当得到nt-server弱口令后，可在客户机的命令行状态窗口中输入命令：“net use \\192.168.0.1\ipc$ "wmgwmg" /user:snow”来建立一IPC$对话，运行命令：net user guest /active:yes 将Guest帐户激活，然后运行命令：net localgroup administrators guest /add 将GUEST帐户添加到管理员组（如图2），然后设置好后门，这样就可以进行远程控制啦。

图2

　　够危险吧！管理员怎么禁止IPS$空连接呢？在注册表编辑器找到子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA，修改Restrict Anony-mous的DWORD值为0000001。或者是运行命令：net share ipc$ /delete

URL查看 http://www.qqread.com/safe-tech/r313496.html