WMI让黑客有机可乘

标签：办公软件技巧,软件测试面试技巧,办公软件使用技巧,http://www.duowen123.com WMI让黑客有机可乘,
适合读者：安全爱好者

　　预备知识：安全工具使用基础

　　现在很多朋友仍然在使用管理员账号密码为空的系统，这样就为黑客制造了可乘之机，其中系统自带的WMI是最方便的入侵通道。WMI（Windows管理规范）作为一项Windows管理技术，方便用户对计算机进行远程管理。但是它的易用性也导致了系统的安全性大幅下降。让用户的电脑除了自己账号密码的保护外再没有什么安全保护措施。本期我们就向大家介绍“菜鸟”级的黑客都可以轻易利用的入侵通道——WMI（Windows管理规范）。

小知识：什么是WMI？

　　WMI是一项核心的Windows管理技术，WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特定日期和时间运行的进程；远程启动计算机；获得本地或远程计算机的已安装程序列表；查询本地或远程计算机的Windows事件日志等等。

本质善良的WMI

　　从WMI本来的功能看，它是为了让计算机的管理更容易，同时方便管理员远程操作系统而产生的，那么它又怎么会为“菜鸟”级的入侵者提供方便呢？

　　一般情况下，在本地计算机上执行的WMI操作也可以在远程计算机上执行，只要用户拥有该计算机的管理员权限。如果用户对远程计算机拥有权限并且远程计算机支持远程访问，那么用户就可以连接到该远程计算机并执行拥有相应权限的操作。

　　WMI能够成为远程控制下的一个合法通道，有了这个通道，入侵者不需要对自己进行伪装，不必再为探测出对方账号的密码为空后，找不到连接对方系统的通道而发愁。只要进行简单几个步骤就可以轻易地入侵到别人的电脑中。下面，我们就来看看，到底该如何利用WMI通道。

WMI被利用为虎作伥

　　前面介绍了WMI的原理，下面我们实际了解下，如何通过WMI进行入侵。在网上，有很多利用WMI的小工具，这里我们就以rots.vbs工具进行简单的演示，看一个“菜鸟”黑客如何轻易地入侵。

1.扫描135端口

　　要寻找可以通过WMI入侵的远程计算机，只要对135端口进行扫描就可以了。因为WMI服务默认打开的就是135端口。我们本次实例采用的是NTscan扫描工具，因为它不但可以对IPC$、SMB、WMI这些信息进行扫描，同时还可以对扫描到的远程账户进行弱口令猜测，功能相对来说比较强大。

　　运行NTscan，在程序窗口的“配置”区域中进行设置。首先在“起始IP”和“结束”选项中输入扫描的IP地址范围，接着选择“WMI扫描”选项，并且在“扫描打开端口的主机”选项后输入“135”，最后点击“开始”按钮就开始进行扫描（如图）。

　

2.开启终端服务

　　找到可以入侵的远程计算机以后，就可以开始入侵操作了。首先使用的工具是一个名为rots.vbs的脚本程序，通过它可以开启远程计算机的终端服务。脚本会自动判断目标系统类型，如果不是Windows 2000 Server及以上版本的系统，脚本就会提示是否要取消操作。因为Windows 2000 Pro以下版本不能安装终端服务。

　　然后是开启终端服务。开启工具的使用方法非常简单，命令格式为：cscript rots.vbs [服务端口] [自动重启选项]

　　其中，[服务端口]和[自动重启选项]为可选参数，默认情况下，程序开启的终端服务端口为3389，如果用户需要修改，在[服务端口]选项中填入你要的端口即可，而[自动重启选项]选项则是在开启终端服务以后重启系统用的。

　　举个例子：cscript.exe rots.vbs 192.168.0.6 Administrator "" 4466 /r

　　上面这段实例的意思是开启192.168.0.6这台远程计算机的终端服务，并且将端口更改为4466，服务安装完成后自动重启。

屏闭135端口防御入侵

　　从上面的介绍大家都可以看出，整个过程中使用的端口都是135。所以为了防止别人通过WMI进行入侵，我们可以使用防火墙对135端口进行屏蔽，这样就可以达到防范类似的入侵。用户加强自己的账号密码强度，也可以有效防范入侵。

关闭135端口的方法

　　我们使用到十六进制的编辑器，比如：WINHEX、UltraEdit等软件。运行UltraEdit，通过工具栏上的“打开文档”按钮找到系统SYSTEM32文件夹下的rpcss.dll。接着点击“搜索”菜单中的“查找”命令，在弹出的窗口中查找“3100330035”这个字符串，找到后将它替换为“3000300030”，并另存为其他的文件目录中，建议保存在C盘根目录下。

　　重新启动系统，用启动盘启动到DOS状态下，进入C盘后运行：copy rpcss.dll c:\windows\system32\rpcss.dll，然后重新启动计算机，就会发现135端口已经被关闭。

　　使用网络防火墙也可以通过端口限制的手段进行屏蔽135端口。我们以天网网络防火墙为例。打开天网防火墙界面，依次点击“IP规则管理→增加规则”，然后在弹出的窗口界面中，在数据包方向中选择“接收或者发送”，在数据包类型中选择“TCP”，最后在本地端口中输入“135”，然后就是确定退出，最后保存规则即可。以后如果有数据从135端口进行传输，天网就会自动进行拦截。

，WMI让黑客有机可乘