前言
Windows是默认开启这个服务的,端口为139、445,139端口的开启表示NetBIOS协议的应用,通过139、445端口,可以实现对共享文件、打印机的访问。默认共享包括所有的逻辑盘(c $、d $等)和系统目录winnt或windows(admin $)。通过ipc $,可以实现对这些默认共享目录的访问。
一、基础知识
共享服务器概述
通过网络提供文件共享服务,提供文件下载和上传服务(类似于FTP服务器)
Windows系统会默认生成隐藏共享,开机自动产生。如:
而如果有web服务,也会自动产生文件夹的隐藏共享。
创建共享
方法:文件夹右键属性–共享-。开启共享- -设置共享名–设置共享权限
1 、在本地登录时。只受NTFS权限的影响
2、在远程登录时。将受共享及NTFS权限的共同影响,且取交集!
3 、所以建议设置共享权限为everyone完全控制,然后具体的权限需求在NTFS权限中设置即可。
创建隐藏的共享
共享名$(隐藏即在共享名后加美元符)
访问隐藏共享的方法
\服务器IP\共享名$访问共享
在开始运行/或我的电脑地址栏中,输入UNC地址:
\文件共享服务器IP
\文件共享服务器IP\共享名共享相关命令
net share
列出共享列表
net share 共享名 /del
删除共享命令行连接:
net use \\目标IP\共享名 "密码" /user:用户名
eg:
net use \\192.168.101.12\ipc$ "123123" /user:administrator映射盘符:
net use 映射盘符: \\目标IP\目标盘符
eg:
net use h:\\192.168.101.12\c$上传文件:
copy 本地文件 远程目录
eg:
copy c:\123.bat \\192.168.12.20\C$查看目标系统时间:
net time \\目标IP
eg:
net time \\192.168.123.123使用at命令让目标系统在指定时间执行程序(at在2008之后废弃了,后面都用schtasks命令):
at \\目标IP 时间 程序路径
eg:
at \\192.168.123.123 2:23PM c:\123.bat
2:23PM为下午2点23分二、C$ IPC$ 的危害
C$ D$ 等:c盘、d盘被隐藏共享,黑客如果知道你的账号密码即可访问
IPC$: 空链接,即整个硬盘都可以访问,黑客如果知道你的账号密码即可随便访问任意盘,c盘、d盘等
这些系统隐藏共享开机自动产生,通过/del只能暂时删除,下次开机还会共享
三、屏蔽系统隐藏共享自动产生
方法:
每次开机执行删除这些隐藏共享(net share 共享名 /del)
修改注册表
关闭445端口
修改注册表
1.打开注册表
打开注册表编辑器: regedit
2.定位共享注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
右键新建REG_ DWORD类型的AutoShareServer键,值为0
关闭445端口
可以通过关闭445端口来屏蔽病毒传入(如勒索病毒等)
方法1 :打开services.msc ,并停止及禁用server服务,关闭445端口:
步骤:
1.开始-运行-services.msc
2.右键-属性
3.停止 启动类型-禁用
4.恢复窗口 --第n次启动失败改为无操作
方法2 :禁止被访问445 ,配置高级安全防火墙-入站规则(在win7及以上系统, win2008及以上系统
步骤:
1.打开控制面板\系统和安全\Windows Defender 防火墙,点击高级设置
2.右键入站规则-新建规则----选择端口 -下一步
3.在该界面输入445-下一步注:TCP、UDP都要选择,即做2遍(445端口是tcp,udp双协议端口)
4.阻止连接
5.写一个容易记住的名称