2023年6月24日发(作者：)

问题一：猜测出远程可登录的SMB/Samba用户名口令

弱密码示例：

扫描原理： 通过SMB协议，匹配弱密码字典库，对终端用户和口令，进行扫描。

产生原因： 终端存在SMB自建共享 或者开启SMB默认共享导致，同时系统用户存在弱口令。

验证方法：

（1）使用命令net use ipipc$ password /u:username 进行弱密码登录尝试，若登录成功，则该账号一定存在。

（2）该账号可能在“计算机管理”中不存在，因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。

（3）也存在计算机已经中毒的可能。

《注释》

判断计算机是否存在隐藏账号的方法：

1.

打开注册表编辑器，

展开HKEY_LOCAL_MACHINESAMSAM，修改SAM权限

为administrator完全控制。

2.

按F5刷新注册表，展开HKEY_LOCAL_MACHINESAMSAMDomainsaccountusernames，对比用户列表和计算机管理中的用户列表是否相同，如果存在多余的，则为隐藏账号。

加固方法：

• 杀毒

• 使用net use ipipc$ /del，进行删除

• 如果可以关闭Server服务，建议关闭Server服务

• 更改计算机系统用户密码，设置足够密码强度的口令

• 关闭自建共享

问题二： SMB漏洞问题

漏洞示例：

利用SMB会话可以获取远程共享列表

主机SID信息可通过SMB远程获取

利用主机SID可以获取本地用户名列表

扫描原理：通过SMB服务（主要端口为135.445）对被扫描系统，进行信息获取

产生原因：终端存在SMB自建共享 或者开启SMB默认共享导致。

加固方法：

• 如果可以关闭Server服务，建议关闭Server服务

• 修改本地安全策略，如：

•

利用SMB会话可以获取远程共享列表 –启用“不允许匿名列举SAM帐号和共享” •

•

•

•

•

•

•

•

•

主机SID信息可通过SMB远程获取 –更改

“对匿名连接的额外限制”为“没有显式匿名权限就无法访问”

利用主机SID可以获取本地用户名列表 –启用“允许匿名 SID/名称

转换”

通过防火墙过滤端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP，过滤方法如下：

进入“控制面板->系统和安全->windows

防火墙->左侧高级设置”，打开“高级安全防火墙”，右键“入站规则”->

新建规则。

进入“规则类型”页面，选择“要创建的规则类型”为“端口”，点击“下一步”。

进入“协议和端口”页面，选择“TCP规则”，并在“特定本地端口”中输入要屏蔽的端口（如：135、139、445、1025），点击“下一步”。

进入“操作”页面，选择“阻止链接”，点击“下一步”。

进入“配置文件”页面，选中“域、专用、公用”，点击“下一步”。

进入“名称”页面，输入一个名称，如“网络端口屏蔽”

问题三： 自建共享的问题

漏洞示例：

存在可写共享目录

存在可访问的共享目录

猜测出远程可登录的SMB/Samba用户名口令

产生原因： 终端用户自建了共享，且共享目录的权限为可访问、可写

加固方法：

• 关闭自建共享

• 更改共享文件的权限，取消everyone权限

问题四：SNMP口令问题

漏洞示例：

SNMP服务存在可读口令

SNMP服务存在可写口令

产生原理： 通过UDP 161 端口获取被测系统信息。同时所谓可读，可写是针对RO权限和RW权限所对应的，因为SNMP代理服务可能存在默认口令。如果您没有修改这些默认口令或者口令为弱口令，远程攻击者就可以通过SNMP代理获取系统的很多细节信息。

相关服务：

SNMP Service：使简单网络管理协议(SNMP)请求能在此计算机上被处理。如果此服务停止，计算机将不能处理 SNMP

请求。如果此服务被禁用，所有明确依赖它的服务都将不能启动。

SNMP Trap：接收本地或远程简单网络管理协议 (SNMP)

代理程序生成的陷阱消息并将消息转发到此计算机上运行的 SNMP

管理程序。如果此服务被停用，此计算机上基于

SNMP

的程序将不会接收 SNMP trap

消息。如果此服务被禁用，任何依赖它的服务将无法启动。 •

•

•

•

•

•

加固方法：

如非必须，建议关闭SNMP

XP关闭方法：控制面板-“添加或删除程序”-“添加/删除Windows组件”-“管理和监视工具”，双击打开，取消“简单网络管理协议.

Windows 7关闭方法：控制面板-“添加或删除程序”-“打开或关闭winows功能”，取消“简单网络管理协议.

如为必须，请修改SNMP的“团体名称”

打开“服务”选择“SNMP server”右键“安全”-添加团体名称

修改端口号 或者防火墙屏蔽

问题五：FTP相关漏洞问题

漏洞示例：

•

猜测出远程FTP服务存在可登录的用户名口令

•

远程FTP服务器根目录匿名可写

产生原理：使用TCP 21号端口，进行FTP相关漏洞的扫描

加固方法：

• 如果FTP为非必须，建议关闭FTP服务

• 如果FTP为业务需要，建议修改ftp 若口令

• Linux

下

有两种弱密码，一个是ftp,

一个是anouymous帐号，对于anouymous帐号弱密码，通过关闭默认帐号来实现。

对于ftp帐号，由于此时ftp帐号是系统帐号，故需要通过passwd

为ftp

设置密码

•

由于在windows下，ftp帐号使用的是系统帐号，因此windows下ftp帐号的弱密码，也就是系统帐号的弱密码。

• 针对漏洞“远程FTP服务器根目录匿名可写”，使用命令chown root ~ftp && chmod 0555

~ftp进行加固

问题六：Integard Home和Pro HTTP请求远程栈溢出漏洞

• 当前没有解决方案，可能是误报，一直在和总部沟通中，尚未找到解决方案。

问题七：远程协议相关漏洞

产生原因： 利用TCP 3389 端口对终端进行扫描，发现远程协议相关漏洞。

加固方法：

•

•

•

•

针对不同漏洞，下载不同补丁

如果远程协议服务不需要，建议关闭远程桌面协议

通过防火墙过滤3389端口

更改3389端口为一不常见端口