梳理windows的高危端口,包括:135、137、138
135端口 —— TCP
IEen工具利用135端口实施攻击的过程:利用DCOM技术。DCOM技术与对方计算机进行通信时,会自动调用目标主机的RPC服务,RPC服务将自动询问目标主机种的135端口,当前有哪些端口可以用来通信,目标主机会提供一个可用的服务端口作为数据传输通道使用。也就是说,在这个通信过程中,135端口就是RPC通信中的桥梁,为RPC通信提供服务端口映射功能。
137端口 —— UDP
UDP端口。137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。如果攻击者知道目标主机的IP地址,并向该地址的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息,比如计算机名称、注册该目标主机的用户信息、目标主机本次开机、关机时间等。还可以知道目标主机是否作为文件服务器或主域控制器来使用。
138端口 —— UDP
137、138属于UDP端口,在局域网中相互传输文件信息时起作用。138端口主要作用是提供NetBIOS环境下的计算机名浏览功能。攻击者通过与目标主机的138端口建立连接请求,可获得目标主机所处的局域网网络名称以及目标主机的计算机名称,通过该名称可进一步获取相应的IP地址。
139端口 —— TCP
139端口主要作用是通过网上邻居访问局域网中的共享文件或共享打印机。攻击者如果与 目标主机的139端口建立连接的话,很有可能浏览到指定网段内所有工作站中的全部共享信息,甚至可对目标主机中的共享文件夹进行编辑、删除操作,如果攻击者还指导目标主机的IP地址和登录账号的话,能轻松查看目标主机中的隐藏共享信息。
445端口 —— TCP
与139端口一样的作用,用于提供局域网文件或打印机共享服务。区别是:139端口基于SMB协议(服务器协议族),445端口基于CIFS协议(通用英特网文件系统协议)。