|
|
Xấu Trai Đa Tình wrote:
hoclopnam wrote:
không hiểu đóng 2 port này làm gì nữa.
Sơ sơ là vầy nè:
Trong số các port mới được sử dụng trên các hệ thống Windows 2000, Windows XP và Windows Server 2003, thì port 445 TCP dùng cho dịch vụ SMB truyền qua TCP.
Giao thức SMB (Server Message Block) được sử dụng cho các mục đích chia sẽ File trên các hệ thống Windows NT/2000/XP/2003. Trên các hệ thống Windows NT cũ nó vận hành ở lớp cao của giao thức NetBT (viết tắt: NetBIOS over TCP/IP), sử dụng các port thông dụng như port: 137, 138 (UDP) và 139 (TCP).
Trên các hệ thống sau này: Windows 2000/XP/2003, Microsoft hỗ trợ khả năng vận hành trực tiếp SMB qua TCP/IP, không cần phải thông qua các lớp hỗ trợ của NetBT. Vì điều này chúng ta có được kết quả giao dịch chia sẽ File thực hiện qua TCP port 445.
Chia sẽ File qua Mạng qua giao thức NetBIOS là một nhu cầu rất cơ bản , tuy nhiên đó lại là những mối nguy hiểm tiềm tàng khi hệ thống của bạn kết nối vào LAN, WAN hay Internet. Tất cả những thông tin về Domain, Workgroup và cả tên Computer của bạn có thể được nhận dạng dễ dàng qua NetBIOS và Port này cũng là trung tâm nơi tần số tấn công xuất hiện cao nhất (theo báo cáo của SANS.Org, thông tin chi tiết: http://isc.sans.org/port_details.php?port=445).
Điều quan tâm thực sự của các Network Admin ở đây là chỉ nên cho phép các giao dịch chia sẽ File được thực hiện trong phạm vi Mạng nội bộ -LAN.
Nếu bạn đang sử dụng một Router làm Internet gateway, cần đảm bảo rằng không cho phép các truy cập từ trong Mạng ra ngoài - outbound traffic và các truy cập từ Ngoài vào trong Mạng nội bộ - inbound traffic, qua các TCP ports từ 135-139.
Nếu bạn đang sử dụng một Firewall, dúng chức năng port block, tiến hành chặn các truy cập qua qua cùng TCP ports từ 135-139.
Nếu bạn đang sử dụng Computer gắn nhiều NIC card -multi-homed machine (ví dụ Computer gắn trên 1 Network card), hãy tiến hành disable hoạt động của NetBIOS trên mỗi Network card, hoặc modem quay số kết nối Internet -Dial-Up Connection Tiến hành disable bằng cách can thiệp vào TCP/IP properties của những Network card nào không thuộc Mạng nội bộ -LAN.
Tiến hành disable NetBIOS qua TCP/IP như thế nào?
Trên Windows 2000/XP/2003 tiến hành disable NetBIOS over TCP/IP như sau
Right-click vào biểu tượng My Network Places tại Desktop sau đó chọn Properties. Tiếp tục Right-click vào biểu tượng Network Card mà bạn quan tâm (Local Area Connection), chọn Properties.
Kế tiếp, click vào Internet Protocol (TCP/IP) và Properties.
Bây giờ click vào Advanced, và chọn WINS tab.
Tại đây bạn có thể enable hoặc disable NetBIOS over TCP/IP.
Những thay đổi có hiệu lực ngay, không cần phải khởi động lại hệ thống.
Lúc này nhật ký ghi nhận các sự kiện trên Computer của bạn (events log) sẽ ghi nhận một event (nên nhớ rằng không nên disable dịch vụ có tên là: TCP/IP NetBIOS Helper Service , vì nếu tắt đi events log sẽ không ghi nhận được sự kiện này. Có thể kiểm tra dịch vụ này có đang chạy hay không, bằng cách nhập lệnh Services.msc tại Run để mở bảng quản lý các dịch vụ trên hệ thống, nếu thanh trạng thái status thông báo Started là dịch vụ đã vận hành). Xem hình để xác định dịch vụ đang chạy trên hệ thống.
Chú ý: Các Computer đang chạy các hệ điều hành cũ trước Windows 2000 sẽ không thể định vị, tìm kiếm hoặc thiết lập các kết nối chia sẽ File và in ấn đến các hệ thống Computer Windows 2000/XP/2003 khi NetBIOS đã bị disable.
Làm thế nào để disable port 445?
Bạn có thể dễ dàng disable port 445 trên Computer của mình. Thực hiện theo các hướng dẫn sau:
1. Mở chương trình biên tập Registry -Registry Editor
2. Tại Run dùng lệnh Regedit.exe.
3. Tìm đến khóa sau trong Registry:
HKLM/SystemCurrentControlSet/Services/NetBT/Parameters
3. Tại cửa sổ Window bên phải chọn một tùy chọn có tên là TransportBindName.
4. Double click vào tùy chọn, sau đó xóa giá trị mặc định -default value, và do vậy khung chứa giá trị được để trống -blank value.
5. Đóng Registry editor.
6. Khởi động lại Computer.
Sau khi khởi động và log-on vào Computer, tại Run, điền lệnh cmd và đưa vào lệnh sau:
netstat -an
Nhận thấy rằng Computer không còn lắng nghe ở port 445.
So với trước khi tiến hành Disable port 445, hình bên dưới
Cách sử dụng port trên Client/Server
Khi nào Windows 2000/XP/2003 sử dụng port 445, và khi nào nó dùng 139?
Để giải thích đơn giản tôi dùng hai thuật ngữ "client" để chỉ Computer truy xuất các nguồn tài nguyên mạng như ổ đĩa và các file đượ chia sẽ, kế đến là "server" Computer với nguồn tài nguyên có sẵn chia sẽ cho Client. Và để đơn giản cho việc hình dung, các bạn ghi nhớ cụm từ NetBIOS over TCP/IP , đơn giản chỉ là NetBT.
Nếu client có NetBT được enable, nó sẽ luôn thử kết nối đến server tại cả hai port 139 và 445 đồng thời. Nếu nhận được phản hồi từ port 445, nó sẽ gửi một phản hồi RST đến port 139, và tiếp tục phiên giao tiếp SMB chỉ với port 445. Nếu như không nhận được phản hồi từ port 445, nó sẽ tiếp tục giao tiếp SMB chỉ với port 139, nếu nhận được thông tin phản hồi từ port này. Nếu không nhận được bất cứ phản hồi nào từ hai port trên, kết nối dự định khởi tạo sẽ kết thúc (failed).
Nếu client có NetBT bị disable, nó sẽ luôn kết nối đến server tại port 445. Nếu server trả lời trên port 445, kết nối sẽ được thiết lập và duy trì trên port này. Nếu không nhận được trả lời kết nối kết thúc. Đây chính là trường hợp mà chúng ta đã đề cập khi server chạy các hệ điều hành cũ như Windows NT 4.0 về trước chẳng hạn.
Nếu server có NetBT được enable, nó sẽ lắng nghe trên UDP ports 137, 138, và trên TCP ports 139, 445. Nếu NetBT bị disable, server chỉ lắng nghe trên TCP port 445.
Bài viết rất hay ! cám ơn bạn "xấu trai..."! Nếu có thể bạn hướng dẫn mọi người cách start và stop các port thông dụng luôn mặc định khi cài Window sẽ open các port này: thí dụ port TCP 135. cách stop start các service bằng command: thí dụ net stop sprint spooler / Enter không hoàn thành được command này...
Khi WinXP2 được cài đặt với các cấu hình như sau:
pass: administrator được thiết lập
User Guest is disable
pass Blank is enable
firewall is disable
Group policy/ computer configuration/ window setting/security setting/ local policy/ security option/ Network access: Sharing and secrutity model...: Guest only local user authenticate as Guest
Vậy khi không biết password của admin hay một user nào đó thì muốn connect vào máy victim thì đó là nhiệm vụ bất khả... đối với mình. Bạn nào có cách giải quyết vấn đề này không? Đối với WINXP2!!!
Thân cám ơn!
|
|
|
seamoun wrote:
VD: máy của em là 10.10.10.90 còn máy em cần sniff là 10.10.10.250 thì em chọn bước 3 này như thế nào? Sao trong khung APR lại không có IP của máy mình? Khúc mắc chỗ này wá!!
Ở trong đoạn video demo sở dĩ chọn IP đầu tiên là 192.168.1.7 là IP cần sniff password khi nó gửi dữ liệu login đến trang HVA sẽ qua gateway .Do đó IP còn lại trong dialog box cấu hình APR là địa chỉ IP gateway (192.168.1.1).
Theo seamoun nói thì IP đầu tiên thì trỏ vào máy của victim, IP thứ hai trở vào gateway để take packets từ máy vitim ra gateway. Đúng không? Thế nhưng khi mình chọn add trong tab ARP thì không thấy IP cùa gateway hiện ra ở phần destination. Vì gateway của máy victim mình trỏ vào máy của mình, because my computer is ISA server. )
Vậy mình phải làm thế nào đây. mình botay rồi mong các bạn giúp đỡ. Hình như mình trỏ gateway của các máy đến máy mình rồi thì không cần phải poisoning thì phải.
|
|
|
Bây giờ mọi người đều dùng XP2 thế nhưng các lỗi để expoit XP2 thì hiếm muộn quá. Thế anh nào giới thiệu vài lỗi từ Metasploit và cách use anh em khai thác XP2 không? Vì đích ngắm của mọi người bây giờ là XP2 và 2k3. Cám ơn! )
|
|
|
cho mình hỏi chút! Khi dùng lệnh nbtstat đến máy có ip 10.0.0.35 sau khi đã thành công lệnh net use \\10.0.0.35\IPC$ /u:administrator
thì nó chỉ xuất hiện như sau:
Name Type Status
---------------------------------------------
KYTHUAT <00> UNIQUE Registered
WORKGROUP <00> GROUP Registered
KYTHUAT <20> UNIQUE Registered
WORKGROUP <1E> GROUP Registered
Kythuat là computername của máy có địa chỉ 10.0.0.35, vậy thì không thể hiện tên user thì phải làm sao đây. Các bác chỉ giúp mình với
|
|
|
Nếu như mình không nắm được User name và password của vittim thì sao đây. và pass admin dã được thiết lập
|
|
|
camaptrang wrote:
oneaway wrote:
Làm thế nào Exploit dược winXP2 vậy các bác. Nhất là đối với port 135, 445, 139 vì những port đó là những port hầu như luôn mở đối với XP2.
Luôn tiện nhờ các bác cho em biết port 5101 service admdog >
Cám ơn! :!
- nếu bạn dùng XP SP2 thì trong Firewall của window có , bạn bỏ port đó ra khỏi danh sách chọn của * file and sharing đi là deny rồi đó bạn (với điều kiện Firewall của bạn phải bật On)
- nếu windows của bạn không có firewall thì bạn có thể vào MS down ipsectools về để block port đó ví dụ Windows2000
- cũng có thể cài các loại firewall hoặc chương trình internet security về và deny mấy port nào bạn muốn.
---
còn cái port 5101 mình không rõ.
Có lẽ bạn đã hiểu lầm ý mình muốn hỏi. Vậy mình sẽ nói rõ hơn nhờ các bạn chỉ giúp. Khi một máy mới cài WinXP2 hoàn toàn chưa thay đổi hay chỉnh sửa các thiết lập của hệ thống. Khi connect đến máy đó, ví dụ máy đó tên là TEST thì xuất hiện hộp thoại sau:
Connect to TEST
user name:TEST/guest (ô này bị chìm)
password:
Và một điều nữa là hình như mặc định máy đó luôn mở các port 135, 139, 445 khi đang hoạt động (mình dùng nmap để test prot). Điều mình muốn hỏi là đây, làm sao exploit máy WINXP2 từ những port trên. Rất mong các bạn giúp đỡ.
|
|
|
Làm thế nào Exploit dược winXP2 vậy các bác. Nhất là đối với port 135, 445, 139 vì những port đó là những port hầu như luôn mở đối với XP2.
Luôn tiện nhờ các bác cho em biết port 5101 service admdog >
Cám ơn! :!
|
|
|
Pool DHCP của mình đề 100 lận. Chuyện không đủ Ip để cấp là không thể xảy ra.
Đặt IP tĩnh vẫn không Pinh thấy Modem.
Khi disable DHCP thì 2 máy còn lại vẫn khống thấy modem. Mà Ping đã không thấy modem thì đâu liên quan đến trình duyệt chứ.
Chỉ có một điều là mình chưa test card mạng thôi. Chắc phải cài lại máy quá. Huuuu
|
|
|
Chào!
Mình cũng đang dzọc thằng ISA 2004 đây. Cái phần Set Rule URL mình cũng có biết đôi chút, pots lên cho bạn tham khảo. Khi bạn chặn một trang Web ví dụ yahoo thì Rule URL của bạn đáng lẽ phải là www.yahoo.com nhưng nếu bạn Set như thế thì PC cua bạn vẫn có thể truy cập trang Web yahoo ào ào. Vì thế URL của bạn sẽ Set là "yahoo.com" thôi.
Nhưng như vậy khi Client gõ dầy đủ địa chỉ là: www.yahoo.com thì vẫn duyệt được trang web của yahoo.
Để chặn tuyệt đối bộ Web không lành mạnh thì bạn nên Set URL của mình là: *.yahoo.com. Hì như vậy là ok luôn, Client không thể truy cập bất cứ trang nào trong yahoo cả
Khi đã Config xong rùi bạn nhớ delate cache dns nhé rồi hãy test, nếu không nó cứ lấy cache có sẵn mà hiển thị đấy.
Còn về việc chặn yahoo messenger thì cổng 5050 bạn nên config................ Hi mình vẫn chưa xử lý được cái này. Nếu Client chỉ cần duyệt Web thôi thì phần Protocol bạn hãy chọn "All outbound tracffic except selected" rồi định giao thức được đi ra. vậy là ok rồi. Khi nào bạn config được cách chặn yahoo messenger thì chỉ cho mình với nha. Thanks!
Chúc bạn thành công
|
|
|
Hi. Cám ơn bạn nhiều. Nhưng mình đã enable DHCP của Modem rùi. Khi đã disable DHCP của Modem và config static Ip chỉ có 2 máy là có thể online được thôi. Sau đó mình enable DHCP của Modem thì 2 trong số 3 máy đó xin được IP còn 1 máy là "not found DHCP server". Dhcp client đã được enable, không biết có liên quan gì đến Policy hay các services không mà tất cả các máy trong mạng đều có thể config DHCP và static IP online còn máy đó thì không!
Có phải do virus ảnh hưởng đến các services và policy trong pc khong nhỉ. Bây giờ mình không biết làm gì nữa????????????
|
|
|
hì. vấn của mình ở đây là khi dùng địa chỉ tĩnh thì ping ra default gateway cũng khong duoc, và không ping thấy máy nào trong mạng cả ngoại trừ chính nó. bây giờ mình xin dhcp cung không được luôn. "Not found dhcp sever" Mặc dù những máy khác vẫn xin được. Help me!!!!!!!!!!!!!!!
|
|
|
Mạng nội bộ của mình bao gồm 5 PC được Config IP Tĩnh. ISP = Viettel
Ip Information: 192.168.1.X
Subnetmask: 255.255.255.0
Gateway : 192.168.1.1
DNS : 203.113.131.1
: 210.245.31.130
Hiện tượng xảy ra là ba trong số 5 máy đó không duyệt WEb được mặc dù Ping thấy Gateway và yahoo.com...v.v. Đến khi mình sử dụng DHCP cấp IP thì mọi chuyện lại trở lại bình thường. Duyệt Web và sử dụng yahoo messenger là ok. Cho mình hỏi lý do tại sao xanh ra hiện tượng trên và cách khắc phục. Cho đến bây giờ vẫn 3 máy đó chưa thể connect bắng ip tĩnh được.
Xin cám ơn.
|
|
|
|
|
|
|