遠程登錄與控制教案

《因特網(wǎng)及商務應用》教案第20頁共20頁TOC\o"1-3"\h\z第14章 遠程登錄與控制 24.14 遠程登錄與控制 3 局域網(wǎng)內(nèi)文件共享的條件 3 局域網(wǎng)內(nèi)共享文件夾的訪問方式 5 局域網(wǎng)、因特網(wǎng)上的遠程登錄條件 6 什么是IPC$連接共享 6 關閉/禁止IPC$共享的幾種方法 6 遠程登錄的DOS命令 9 IPC$連接失敗的原因 9 根據(jù)返回的錯誤號分析IPC$連接失敗的原因 9 掃描工具軟件 11 流光簡介 11 遠程登錄工具軟件 11 DamewareNT簡介 11 DamewareNt在局域網(wǎng)內(nèi)的遠程登錄（入侵）實例 12 DamewareNt在因特網(wǎng)上的遠程登錄（入侵）實例 15 特別聲明 164.15 黑客守則（簡） 174.16 隨堂作業(yè) 174.17 思考題 17 目前流行的遠程登錄利器（至少5個） 17 如何防范遠程登陸（至少5個） 174.18 附錄一 18 部分重要端口的作用和開啟關閉方法 18

遠程登錄與控制主要內(nèi)容：概念講解操作提高主要參考書：Internet應用基礎教程重點：局域網(wǎng)文件共享條件、訪問方式IPC$連接共享因特網(wǎng)遠程登錄條件、登陸方式管理員常用工具（黑客工具）防范入侵難點：計算機系統(tǒng)漏洞密碼破譯、暴力破解原理管理員賬戶、口令的強弱等級

遠程登錄與控制局域網(wǎng)內(nèi)文件共享的條件知道局域網(wǎng)中計算機的IP地址或主機名如：教師機：07 （a107）學生機：0 （a70）局域網(wǎng)內(nèi)計算機互訪必須在同一個“工作組”之下我的電腦->右鍵->屬性->計算機名->更改：

開啟網(wǎng)絡的文件和打印機共享網(wǎng)上鄰居->右鍵\屬性\上網(wǎng)的圖標（如：本地連接）->右鍵\屬性\常規(guī)：開啟文件夾共享某文件夾->右鍵->共享->“如果您知道…”->只啟用文件共享

修改共享文件夾讀寫屬性局域網(wǎng)內(nèi)共享文件夾的訪問方式方法一網(wǎng)上鄰居->鄰近的計算機（或：整個網(wǎng)絡->MicrosoftWindows網(wǎng)絡）->工作組名->主機名方法二網(wǎng)上鄰居->搜索->輸入：主機名方法三IE訪問

局域網(wǎng)、因特網(wǎng)上的遠程登錄條件知道對方計算機（遠程計算機，下同）IP地址各種專用軟件，如：QQ珊瑚蟲版、QQ傳美版等FolkOicq（QQ補?。?，可顯示IP，最新版FolkQQ0530SE_B2嗅探專家等對方計算機必須開啟網(wǎng)絡的文件和打印機共享微軟默認方式：開啟對方計算機不需要開啟文件夾共享對方計算機必須開啟IPC$連接共享功能微軟默認方式：開啟知道對方計算機具有管理員權限的用戶名、密碼微軟默認具有管理員權限的用戶名：Administrator微軟默認密碼：空什么是IPC$連接共享IPC$(InternetProcessConnection)是共享"命名管道"的資源，用戶可通過正確的用戶名和密碼獲得相應的權限，實現(xiàn)遠程查看、控制、管理計算機的共享資源。當對方計算機開啟IPC$后,連接者甚至可以與目標主機建立一個空的連接而無需用戶名與密碼，利用這個空的連接，連接者可得到目標主機上的用戶列表，配合使用一些字典工具，進行密碼探測（枚舉法的暴力破解）。Windows默認安裝,允許IPC$的遠程登錄和共享功能，且打開了所有的默認共享,即所有的邏輯盤(c$,d$,e$)和系統(tǒng)目錄winnt、windows的admin$。只有NT/2000/XP才可以建立IPC$連接，98/me是不能建立IPC$連接的。關閉/禁止IPC$共享的幾種方法運行regedit，修改注冊表（WIN2000）禁止默認的共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，新建一個鍵名：如果是服務器，則：AutoShareServer，鍵值設為“0”（推薦）如果是客戶機，則：AutoShareWks，鍵值設為“0”（推薦）類型：“REG_DWORD”（“雙字節(jié)值”）禁止建立空連接：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA，將鍵名為：RestrictAnonymous的鍵值改為：1：匿名用戶無法列舉主機用戶列表（推薦）2：匿名用戶無法連接你的IPS$共享，(推薦)關閉“server”服務，使IPC$失效控制面板\管理工具\服務\server服務->右鍵：屬性\常規(guī)\啟動類型：停止服務、并禁用。(不推薦)注：server為系統(tǒng)服務，停后會影響需調(diào)用server服務的程序?qū)崿F(xiàn)。

關閉共享組件關閉網(wǎng)絡共享文件或打印機(推薦)關閉共享文件夾（包括顯式、隱式）關閉顯式共享文件夾已共享文件夾->右鍵->“共享…”->不共享該文件夾(推薦)

關閉隱式（默認）共享文件夾管理工具->計算機管理->共享->右鍵->停止共享尤其是關閉IPC$(強烈推薦)DOS窗口的打開開始->運行->CMD，輸入下面舉例的DOS命令DOS命令的使用停止“server”服務netstoplanmanserver注：server為系統(tǒng)服務，停后會影響需調(diào)用server服務的程序?qū)崿F(xiàn)。刪除IPS$和默認共享（但重啟后還會有）netshareipc$/delnetshareadmin$/delnetsharec$/delnetshared$/del……重新開啟IPC$共享netshareipc$netsharec$=c:netshared$=d:……查看已經(jīng)開啟的Windows系統(tǒng)服務（后臺服務）Netstart

Netstartservername（開啟指定的系統(tǒng)服務）Netstopservername（關閉指定的系統(tǒng)服務）查看本地共享資源netshare

其它方式安裝防火墻重要端口實施屏蔽（詳見附件）139445(Windows2000／2003Server系統(tǒng)下作用和139端口完全相同)139、445的用途通過網(wǎng)上鄰居訪問局域網(wǎng)的共享文件、打印機時發(fā)揮作用遠程登錄的DOS命令netuse\\xxx.xxx.xxx.xxx\IPC$""/user:"administrator"（建立連接）netusex:\\xxx.xxx.xxx.xxx\c$（共享文件夾映射到本機的x:盤符）netusez:\IPC$(訪問遠程計算機)netuserguest/active:yes(激活對方的Guest用戶)netuserguest1234(將Guest的密碼改為1234)netlocalgroupadministratorsguest/add(將Guest升級為Administrator)netuse*/del（取消連接）IPC$連接失敗的原因你的系統(tǒng)不是NT或以上操作系統(tǒng)對方?jīng)]有打開IPC$默認共享注冊表被修改server已停止DOS命令關閉了默認共享驅(qū)動盤網(wǎng)絡的文件和打印機共享被關閉對方未開啟139或445端口(或被防火墻屏蔽)你的命令輸入有誤(如：缺少了空格等)用戶名或密碼錯誤(空連接除外)根據(jù)返回的錯誤號分析IPC$連接失敗的原因錯誤號5拒絕訪問：很可能你使用的用戶不是管理員權限的，先提升權限；錯誤號51Windows無法找到網(wǎng)絡路徑:網(wǎng)絡有問題；錯誤號53，找不到網(wǎng)絡路徑目標未開機；IP地址錯誤目標lanmanserver服務未啟動目標有防火墻（端口過濾）；誤號67，找不到網(wǎng)絡名你的lanmanworkstation服務未啟動目標刪除了IPS$；錯誤號1219，提供的憑據(jù)與已存在的憑據(jù)集沖突：你已經(jīng)和對方建立了一個IPS$，請刪除再連。錯誤號1326未知的用戶名或錯誤密碼。錯誤號1792，試圖登錄，但是網(wǎng)絡登錄服務沒有啟動：目標NetLogon服務未啟動。（連接域控會出現(xiàn)此情況）錯誤號2242，此用戶的密碼已經(jīng)過期：目標有帳號策略，強制定期要求更改密碼。IPS$連不上的問題比較復雜，除了以上的原因，還會有其他一些不確定因素。

掃描工具軟件目前流行的端口掃描利器國內(nèi)的流光、xscan、x-way等國外的shadowsecurityscanner、superscan、nmap等流光簡介被喻為中國第一黑客工具能快速探測因特網(wǎng)中安裝樂windows操作系統(tǒng)的肉雞漏洞，包括：WebServerPOP3SMTPFTPHTTPIPC$IISSQLRPC等各種漏洞和弱口令、空口令遠程登錄工具軟件目前流行的遠程登錄利器PcAnywhereRadmin（RemoteAdministrator）DamewareNT（見實例）Ieen（專業(yè)遠程控制工具）UltraVNCPCManXremoteControlPanel3.4AbsoluteTelnet等DamewareNT簡介DameWareNTUtilities是一套功能強大的控制工具，是網(wǎng)管的得力助手主要優(yōu)點：不用安裝客戶端程序主要優(yōu)點：可以遠程安裝、執(zhí)行：遠程監(jiān)控桌面軟件前提：獲得遠程計算機的管理員賬戶和密碼網(wǎng)管在設置、調(diào)試兩臺計算機時不必跑來跑去（尤其是遠距離）

DamewareNt在局域網(wǎng)內(nèi)的遠程登錄（入侵）實例遠程登錄教師機（本機）略教師機遠程登錄學生機教師機遠程登錄學生機（批量）略從學生機遠程登錄教師機略遠程監(jiān)視學生機的設置

遠程監(jiān)視學生機的效果

DamewareNt在因特網(wǎng)上的遠程登錄（入侵）實例查看私人信息查看QQ目錄開啟默認共享盤停止對方的殺毒軟件將遠程計算機驅(qū)動盤映射到本機（用于上傳文件、病毒、木馬等，真酷?。┩ㄟ^本機“我的電腦”打開映射驅(qū)動盤（對應著對方整個邏輯盤）查看遠程計算機的IE收藏夾信息可修改、刪除、上傳文件修改對方Administrator密碼進入遠程計算機的DOS界面查看對方的IPConfig/all信息釋放木馬，實現(xiàn)遠程監(jiān)視（監(jiān)視對方桌面的活動情況）遠程控制->輸入：用戶名（具有管理員權限的用戶名）、密碼->連接（1）在對方計算機上安裝客戶端程序（安裝木馬）（2）客戶端程序的重要設置（3）上述截圖全略遠程桌面的監(jiān)視，實例1

遠程桌面的監(jiān)視，實例2特別提示：不設防的計算機中不要存放在個人隱私。如：簡歷、照片家庭住址、電話賬戶名、身份證號、信用卡號、密碼特別提示：不設防的計算機中不要做在線交易。如：網(wǎng)上購物支付網(wǎng)上銀行轉(zhuǎn)賬網(wǎng)上炒股特別聲明通過實例，提醒我們必須嚴重關注自己的計算機安全、學會基本的防范技巧。不鼓勵使用黑客工具軟件，如想嘗試，請見閱讀《黑客守則》，不得違法。本案屬內(nèi)部交流，不得外傳。無作業(yè)，不考試。

黑客守則（簡）千萬不要破壞別人的文件或數(shù)據(jù)。惡意破壞別人的軟件或數(shù)據(jù)將導致法律責任。千萬不要修改任何文件,如果為了要進入而修改的,達到目的后請還原。不要輕易的將你要Hack的站點告訴你不信任的朋友。不要在bbs/論壇上談論關于你Hack的任何事情。不要入侵、攻擊或破壞電信/政府機關的主機。不在電話中談論關于你Hack的任何事情。不得刪除或修改已侵入電腦中的帳號。不將你已破解的帳號與你的朋友分享。入侵期間不要隨意離開你的電腦。將你的筆記放在安全的地方。……隨堂作業(yè)思考題目前流行的遠程登錄利器（至少5個）如何防范遠程登陸（至少5個）關閉IPC$關閉server添加復雜的管理員密碼少用有安全漏洞、有爭議的軟件安裝能實時監(jiān)視的防護類軟件,微軟補丁及時更新……

附錄一部分重要端口的作用和開啟關閉方法135端口在許多“網(wǎng)管”眼里，135端口是最讓人捉摸不透的端口，因為他們中的大多數(shù)都無法明確地了解到135端口的真正作用，也不清楚該端口到底會有哪些潛在的危險。直到一種名為“IEen”的專業(yè)遠程控制工具出現(xiàn)，人們才清楚135端口究竟會有什么樣的潛在安全威脅。IEen工具能夠借助135端口輕松連接到Internet上的其他工作站，并遠程控制該工作站的IE瀏覽器。例如，在瀏覽器中執(zhí)行的任何操作，包括瀏覽頁面內(nèi)容、輸入帳號密碼、輸入搜索關鍵字等，都會被IEen工具監(jiān)控到。甚至在網(wǎng)上銀行中輸入的各種密碼信息，都能被IEen工具清楚地獲得。除了可以對遠程工作站上的IE瀏覽器進行操作、控制外，IEen工具通過135端口幾乎可以對所有的借助DCOM開發(fā)技術設計出來的應用程序進行遠程控制，例如IEen工具也能輕松進入到正在運行Excel的計算機中，直接對Excel進行各種編輯操作。怎么樣？135端口對外開放是不是很危險呀？當然，這種危險畢竟是理論上的，要想真正地通過135端口入侵其他系統(tǒng)，還必須提前知道對方計算機的IP地址、系統(tǒng)登錄名和密碼等。只要你嚴格保密好這些信息，你的計算機被IEen工具攻擊的可能性幾乎不存在。為什么IEen工具能利用135端口攻擊其他計算機呢？原來該工具采用了一種DCOM技術，可以直接對其他工作站的DCOM程序進行遠程控制。DCOM技術與對方計算機進行通信時，會自動調(diào)用目標主機中的RPC服務，而RPC服務將自動詢問目標主機中的135端口，當前有哪些端口可以被用來通信。如此一來，目標主機就會提供一個可用的服務端口作為數(shù)據(jù)傳輸通道使用。在這一通信過程中，135端口的作用其實就是為RPC通信提供一種服務端口的映射功能。說簡單一點，135端口就是RPC通信中的橋梁。137端口137端口的主要作用是在局域網(wǎng)中提供計算機的名字或IP地址查詢服務，一般安裝了NetBIOS協(xié)議后，該端口會自動處于開放狀態(tài)。要是非法入侵者知道目標主機的IP地址，并向該地址的137端口發(fā)送一個連接請求時，就可能獲得目標主機的相關名稱信息。例如目標主機的計算機名稱，注冊該目標主機的用戶信息，目標主機本次開機、關機時間等。此外非法入侵者還能知道目標主機是否是作為文件服務器或主域控制器來使用。138端口137、138端口都屬于UDP端口，它們在局域網(wǎng)中相互傳輸文件信息時，就會發(fā)生作用。而138端口的主要作用就是提供NetBIOS環(huán)境下的計算機名瀏覽功能。非法入侵者要是與目標主機的138端口建立連接請求的話，就能輕松獲得目標主機所處的局域網(wǎng)網(wǎng)絡名稱以及目標主機的計算機名稱。有了計算機名稱，其對應的IP地址也就能輕松獲得。如此一來，就為黑客進一步攻擊系統(tǒng)帶來了便利。139端口139端口是一種TCP端口，該端口在你通過網(wǎng)上鄰居訪問局域網(wǎng)中的共享文件或共享打印機時就能發(fā)揮作用。139端口一旦被Internet上的某個攻擊者利用的話，就能成為一個危害極大的安全漏洞。因為黑客要是與目標主機的139端口建立連接的話，就很有可能瀏覽到指定網(wǎng)段內(nèi)所有工作站中的全部共享信息，甚至可以對目標主機中的共享文件夾進行各種編輯、刪除操作，倘若攻擊者還知道目標主機的IP地址和登錄帳號的話，還能輕而易舉地查看到目標主機中的隱藏共享信息。445端口445端口也是一種TCP端口，該端口在Windows2000Server或WindowsServer2003系統(tǒng)中發(fā)揮的作用與139端口是完全相同的。具體地說，它也是提供局域網(wǎng)中文件或打印機共享服務。不過該端口是基于CIFS協(xié)議（通用因特網(wǎng)文件系統(tǒng)協(xié)議）工作的，而139端口是基于SMB協(xié)議（服務器協(xié)議族）對外提供共享服務。同樣地，攻擊者與445端口建立請求連接，也能獲得指定局域網(wǎng)內(nèi)的各種共享信息。到了這里，相信你對各端口開放時存在的安全威脅早已是恐慌不已了。畢竟，對這些端口放任不管的話，隨時都可能引來“飛來橫禍”。別急，下面本文特意為你提供了一些安全防范措施，讓你根據(jù)實際需要，有選擇、有針對性地關閉服務端口，以切斷外來入侵途徑。關閉135端口關閉135端口最直接有效的方法，就是將RPC服務停止掉。具體方法為：在“管理工具”菜單項下面，單擊“服務”選項；在彈出的“服務”窗口中，將“RemoteProcedureCall”選中，再單擊右鍵菜單中的“屬性”命令，彈出圖1所示的設置窗口；在啟動類型設置項處，選中“已禁用”選項，并單擊“確定”按鈕。以后需要重新啟用RPC服務時，必須打開注冊表編輯窗口，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs”子鍵，雙擊該子鍵下面的“Start”項，將其數(shù)值設置為“0x02”，然后把系統(tǒng)重新啟動一下就OK了。上面的關閉方法有很大的局限性，因為一旦停止了RPC服務，服務器中的許多功能都有可能失效。例如數(shù)據(jù)庫查詢功能、Outlook功能、遠程撥號功能等，都不能正常工作了。因此這種關閉方法只能適合在簡單的Web服務器或DNS服務器中使用。由此可見，簡單地關閉RPC服務，會“殃及池魚”?？紤]到只有采用DCOM開發(fā)技術設計出來的應用程序，才會調(diào)用RPC服務，因此只要禁止使用系統(tǒng)中的DCOM，同樣也會達到禁用RPC服務的目的。要禁用DCOM設置的話，可以按下面方法來進行：依次單擊“開始”|“運行”命令，