基于NetBIOS的简单Windows攻击.

常见网络攻击手段原理分析1.1TCP SYN拒绝服务攻击一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：1、建立发起者向目标计算机发送一个TCP SYN报文；2、目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应；3、发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。

利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：1、攻击者向目标计算机发送一个TCP SYN报文；2、目标计算机收到这个报文后，建立TCP连接控制结构（TCB），并回应一个ACK，等待发起者的回应；3、而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。

可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。

1.2ICMP洪水正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一个ICMP ECHO Rep1y报文。

而这个过程是需要CPU处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。

这样如果攻击者向目标计算机发送大量的ICMP ECHO报文（产生ICMP 洪水），则目标计算机会忙于处理这些ECHO报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击（DOS）。

1.3UDP洪水原理与ICMP洪水类似，攻击者通过发送大量的UDP报文给目标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。

1.4端口扫描根据TCP协议规范，当一台计算机收到一个TCP连接建立请求报文（TCP SYN）的时候，做这样的处理：1、如果请求的TCP端口是开放的，则回应一个TCP ACK报文，并建立TCP连接控制结构（TCB）；2、如果请求的TCP端口没有开放，则回应一个TCP RST（TCP头部中的RST标志设为1）报文，告诉发起计算机，该端口没有开放。

Windows操作系统中必须禁止的十大服务Meeting Remote Desktop Sharing：允许受权的用户通过NetMeeting在网络上互相访问对方。

这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。

2.Universal Plug and Play Device Host：此服务是为通用的即插即用设备提供支持。

这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。

攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击（DDoS）。

另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源（需要安装硬件时需手动开启）。

3.Messenger：俗称信使服务，电脑用户在局域网内可以利用它进行资料交换（传输客户端和服务器之间的Net Send和Alerter服务消息，此服务与Windows Messenger无关。

如果服务停止，Alerter消息不会被传输）。

这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。

而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。

4.Performance Logs And Alerts：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。

为了防止被远程计算机搜索数据，坚决禁止它。

5.Terminal ServiCES：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。

禁用NetBIOS的几种方法:方法一
其实方法一很简单了，如果你的是静态IP地址，只属要将TCP/IP协议的高级属性中的，NetBIOS选项禁用即可。

操作步骤如下：
打开"控制面板"-->"网络连接"-->"本地连接"-->选中本地接连右键单击"属性"，在新的窗口中，依次为选中"internet 协议(TCP/IP)"-->"属性"-->"高级"-->"WINS"，然后选中"禁用TCP/IP 上的NetBIOS(s)"，然后"确定",如下图:
方法二：除以上两种办法之外，我们还可以通过修改注册表的来禁用NetBIOS，建议是在修改之前做好注册表的备份，方法如下：
"开始菜单"-->"运行"，输入regedit.exe然后回车，打开注册表找到如下注册表子项，将Start 的值改为4即可，默认值为1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT]
"Start"=dword:00000004。

【DOS命令NET命令入侵他人计算机的方法】_hack吧_贴吧.txt dybo23136位粉丝1楼只要你会CTRL+C CTRL+V 都能成功1：NET只要你拥有某IP的用户名和密码，那就用IPC$做连接吧！这里我们假如你得到的用户是hbx，密码是123456。

假设对方IP为127.0.0.1net use 127.0.0.1ipc$ 123456 /user:hbx null密码为空退出的命令是net use 127.0.0.1ipc$ /deletenet share是查看主机共享资源我们用它建一个秘密共享目录吧net shareme=c:winntsystem32这样这个机器就有了一个名为me的共享目录，而打开它就是winnt下的system32目录，如果你用win2000的系统就知这个目录有多重要了，如果不想要也好办netshare me /delete 呵呵，没有了，是不是很方便的啊。

下面的操作你必须登陆后才可以用.登陆的方法就在上面.下面我们讲怎么创建一个用户，由于SA的权限相当于系统的超级用户.我们加一个heibai的用户密码为lovechinanet user heibai lovechina /add只要显示命令成功，那么我们可以把他加入Administrator组了.net localgroup Administrators heibai /add这里是讲映射对方的C盘，当然其他盘也可以，只要存在就行了.我们这里把对方的C盘映射到本地的Z盘.net use z:127.0.0.1c$net start telnet这样可以打开对方的TELNET服务.这里是将Guest用户激活，guest是NT的默认用户，而且无法删除呢？不知道是否这样，我的2000就是删除不了它。

net user guest /active:yes(特别注意:这个命令是把原来被禁用的guest帐户再次激活)net user guest /active:no这样这个guest的用户就又被禁用了这里是把一个用户的密码改掉，我们把guest的密码改为lovechina，其他用户也可以的。

探测Windows主机的NetBIOS信息作者：TOo2y一NetBIOS信二主要函数与相关数据结构分三如何防止NetBIOS信息的泄四源代大家一提到Windows2000/XP系统的安全性，很快就会想到NULL Session（空会话）。

这可以算是软安置的一个后门，很多简单而容易的攻击都是基于空会话而实现的。

在此，我们不讨论如何攻陷台Windows2000/XP系统，而是要谈谈在建立空会话之后，我们可以得到远程主机的哪些NetBIOS 息。

（由于本文是针对Windows2000/XP系统，所以使用了UNICODE编码）。

一、NetBIOS信在我们和远程Windows2000/XP主机建立了空会话之后，我们就有权枚举系统里的各项NetBIOS信了。

当然在某些选项中需要较高的权利，不过我们只执行那些匿名用户可以获得的绝大多数系统息。

时间：探测远程主机的当前日期和时间信息。

它会返回一个数据结构，包括年，月，日，星期，时分，秒等等。

不过得到的是GMT标准时间，当然对于我们来说就应该换算为GMT+8:00了。

由此可以断出主机所在的时区信息。

操作系统指纹：探测远程主机的操作系统指纹信息。

一共有三种级别的探测（100，101，102），我使用的是101级，它会返回一个数据结构，可以获取远程主机的平台标识，服务器名称，操作系统主次版本（Windows2000为5.0,WindowsXP为5.1,而最新操作系统Longhorn的版本为6.0），服务类型（每台主机可能同时包含多种类型信息）和注释。

共享列表：探测远程主机的共享列表。

我们可以获得一个数据结构指针，枚举远程主机的所有共享息（隐藏的共享列表在内）。

其中包括共享名称，类型与备注。

类型可分为：磁盘驱动器，打印列，通讯设备，进程间通讯与特殊设备。

用户列表: 探测远程主机的用户列表，返回一个数据结构指针，枚举所有用户信息。

可获取用户名全名，用户标识符，说明与标识信息。

•防范NetBIOS漏洞攻击的五种方法•稍微懂点电脑知识的朋友都知道，NetBIOS是计算机局域网领域流行的一种传输方式，但你是否还知道，对于连接互联网的机器来讲，NetBIOS是一大隐患。

漏洞描述NetBIOS(Network Basic Input Output System，网络基本输入输出系统)，是一种应用程序接口(API)，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，实现信息通讯，所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。

因为它占用系统资源少、传输效率高，尤为适于由20到200台计算机组成的小型局域网。

所以微软的客户机/服务器网络系统都是基于NetBIOS的。

当安装TCP/IP协议时，NetBIOS也被Windows作为默认设置载入，我们的计算机也具有了NetBIOS本身的开放性，139端口被打开。

某些别有用心的人就利用这个功能来攻击服务器，使管理员不能放心使用文件和打印机共享。

利用NetBIOS漏洞攻击1.利用软件查找共享资源利用NetBrute Scanner软件扫描一段IP地址(如10.0.13.1~10.0.13.254)内的共享资源，就会扫描出默认共享(如图1)。

2.用PQwak破解共享密码双击扫描到的共享文件夹，如果没有密码，便可直接打开。

当然也可以在IE的地址栏直接输入扫描到的带上共享文件夹的IP地址，如“\10.0.13.191”(或带C＄，D＄等查看默认共享)。

如果设有共享密码，会要求输入共享用户名和密码，这时可利用破解网络邻居密码的工具软件，如PQwak，破解后即可进入相应文件夹。

关闭NetBIOS漏洞发现机器被人改动，作为管理员的我气坏了。

经过仔细研究，终于找出了关闭NetBIOS协议解决办法。

1.解开文件和打印机共享绑定鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。