[windows] 詳解WMI的攻擊與防禦方法

詳解WMI的攻擊與防禦方法

 

作者：駭客吧管理

WMI是“Microsoft Windows 管理規範”的簡稱，需要“Windows Management Instrumentation”服務支援，而這個服務是預設啟動的，這就為入侵提供了很大的方便。只要駭客知道了管理員的使用者名稱和密碼，而且原生135連接埠已開啟，駭客就可以在被入侵的機器上執行任意命令，取得控制權。而大多數使用者在安裝系統時都把系統內建的管理員賬戶Administrator密碼留空，這無疑給了駭客可乘之機，即使是很初級的“無聊駭客”也可以輕而易舉地使用利用WMI漏洞的工具來實現入侵。

　　WMI入侵

　　1.Remoxec

　　Remoxec是最早出現的利用WMI原理編寫的程式，功能簡單，但已具有執行任意命令的功能。

　　在軟體介面中輸入目標主機的網域名稱或IP地址及具有管理員權限的使用者名稱密碼，再輸入要執行的命令，就可以入侵了。比如要建立一個使用者名稱名為“simuz”，密碼為“123456”的使用者，只要輸入“net user simuz 123456 /add”即可，命令執行成功後會彈出一個成功的提示對話方塊。利用命令可以做很多事，比如提升使用者為管理員，上傳檔案等，可以這麼說，只要在Shell中可以做到的事，在Remoxec中同樣可以做到。

　　小知識：Shell是一個命令直譯器，類似於DOS下的command.com。它用來接收使用者命令，然後調用相應的應用程式。

　　2.Recton

　　與Remoxec相比，Recton的功能就強多了，它內建了開啟3389連接埠、開啟Telnet等功能，只要輸入主機的管理使用者名和密碼，選擇相應的命令並執行即可。在開啟了對方的遠程終端服務後，就可以像操作自己的電腦一樣操作主機了(1)。
 

 

 

 

 

WMI入侵的防範 

　　從上文我們可以得知，利用WMI服務進行入侵需要兩個必要條件，即系統的135連接埠和Windows Management Instrumentation服務要同時開啟，所以我們可以對症下藥，不用任何工具就能切斷駭客利用WMI入侵這條途徑。

　　方法一:利用WMI入侵首先需要得到目標主機的管理使用者名和密碼，而粗心的使用者往往會將系統預設的Administrator賬戶密碼留空，因此就給了駭客可乘之機。我們可以為該賬戶設定一個“強悍”的密碼，這樣駭客就很難破譯管理員密碼，利用WMI入侵的幾率就很小了。

　　方法二:關閉135連接埠或Windows Management Instrumentation服務都可以防止WMI入侵，但是WMI服務是系統基本的服務，關閉它會造成系統崩潰，因此我們可以從關閉連接埠入手，利用系統內建的“TCP/IP篩選”功能就可以做到。開啟控制台裡的“網路連接”，在本地串連表徵圖上點擊滑鼠右鍵，選擇“屬性”，然後在開啟的對話方塊中雙擊“Internet協議(TCP/IP)”，再點擊下面的“進階”按鈕開啟“進階TVP/IP設定”對話方塊並切換到“選項”標籤，雙擊“TCP/IP篩選”，在這裡就可以設定需要關閉的連接埠了。比如要關閉135連接埠，可以照圖2所示來設定。關閉了必要的連接埠後，駭客就無法串連WMI服務了。
 

 

 

http://tieba.baidu.com/f?kz=123501070

{
Thread.forward();return false;
}">