現在很多朋友仍然在使用管理員賬號密碼為空的系統,這樣就為黑客制造了可乘之機,其中系統自帶的WMI是最方便的入侵通道。WMI(Windows管理規范)作為一項Windows管理技術,方便用戶對計算機進行遠程管理。但是它的易用性也導致了系統的安全性大幅下降。讓用戶的電腦除了自己賬號密碼的保護外再沒有什麼安全保護措施。本期我們就向大家介紹“菜鳥”級的黑客都可以輕易利用的入侵通道——WMI(Windows管理規范)。
小知識:什麼是WMI?
WMI是一項核心的Windows管理技術,WMI作為一種規范和基礎結構,通過它可以訪問、配置、管理和監視幾乎所有的Windows資源,比如用戶可以在遠程計算機器上啟動一個進程;設定一個在特定日期和時間運行的進程;遠程啟動計算機;獲得本地或遠程計算機的已安裝程序列表;查詢本地或遠程計算機的Windows事件日志等等。
本質善良的WMI
從WMI本來的功能看,它是為了讓計算機的管理更容易,同時方便管理員遠程操作系統而產生的,那麼它又怎麼會為“菜鳥”級的入侵者提供方便呢?
一般情況下,在本地計算機上執行的WMI操作也可以在遠程計算機上執行,只要用戶擁有該計算機的管理員權限。如果用戶對遠程計算機擁有權限並且遠程計算機支持遠程訪問,那麼用戶就可以連接到該遠程計算機並執行擁有相應權限的操作。Tw.WiNGWIt.cOm
WMI能夠成為遠程控制下的一個合法通道,有了這個通道,入侵者不需要對自己進行偽裝,不必再為探測出對方賬號的密碼為空後,找不到連接對方系統的通道而發愁。只要進行簡單幾個步驟就可以輕易地入侵到別人的電腦中。下面,我們就來看看,到底該如何利用WMI通道。
WMI被利用為虎作伥
前面介紹了WMI的原理,下面我們實際了解下,如何通過WMI進行入侵。在網上,有很多利用WMI的小工具,這裡我們就以rots.vbs工具進行簡單的演示,看一個“菜鳥”黑客如何輕易地入侵。
1.掃描135端口
要尋找可以通過WMI入侵的遠程計算機,只要對135端口進行掃描就可以了。因為WMI服務默認打開的就是135端口。我們本次實例采用的是NTscan掃描工具,因為它不但可以對IPC$、SMB、WMI這些信息進行掃描,同時還可以對掃描到的遠程賬戶進行弱口令猜測,功能相對來說比較強大。
運行NTscan,在程序窗口的“配置”區域中進行設置。首先在“起始IP”和“結束”選項中輸入掃描的IP地址范圍,接著選擇“WMI掃描”選項,並且在“掃描打開端口的主機”選項後輸入“135”,最後點擊“開始”按鈕就開始進行掃描(如圖)。
From:http://tw.wingwit.com/Article/Network/201309/981.html