拆除TFTP“定时炸弹”

www.hx99.org 阅读: 时间:2007-07-09 整理:华西黑盟
------------------------------------------------------------------

 来源:http://www.77169.org

     推荐理由：

     在Windows的操作系统中，有一个名为tftp的客户端，很多骇客可以利用它去上传一些攻击工具………。这个服务原本是为了网络文件传输服务的。没想到却变成了一颗“定时炸弹”，看到还是要把它给请出去为宜。

    操作过程：

    1.建立TFTP服务器

    为了弄清楚TFTP客户端究竟是如何工作的，我们可以首先建立了一个TFTP服务器，看看它到底能否真正实现文件传输。

     在Win2000系统所在分区的system32\DLLCACHE目录下找到一个名为“tftpd.exe”的文件，然后将tftpd.exe文件复制到system32目录中。注意：若无法找到“DLLCACHE”目录，可打开资源管理器，选择“工具/文件夹选项/查看”，将“隐藏所保护的系统文件”前复选框的勾选去除即可。

     在Win2000的ResourceKits（资源工具包）中找到工具instsrv.exe（如果没有可从此链接下载:http://home.njenet.net.cn/panhh/tools.zip，该压缩包内含instsrv.exe，tftpd.exe，tftp.exe），将它们复制到系统根目录或其它目录中。

     进入系统MS-DOS窗口，在系统提示符后输入“E:\instsrv.exetftpE:\Windows\system32\tftpd.exe”（不含引号），敲回车键，即可出现服务添加成功的字样。继续在MS-DOS窗口中输入“netstarttftp”，按回车键，启动TFTP服务。注意：tftpd.exe是TFTP服务器端程序，tftp.exe是客户端程序，这两者不可混淆。

    2.利用tftp客户端上传下载文件

    在MS-DOS窗口中输入“tftp-i171.171.150.111putinstall.loginstall.log”命令，其中“put”表示上传文件，命令中的IP地址为本地IP地址，“install.log”为自行选择的一个文件。如果不出意外，便会看到传输成功的字样及字节数。同时在根目录中会出现了一个“tftpdroot”子目录，这便是在上传文件时系统自动创建的目录。

    而在MS-DOS窗口中输入“tftp-i171.171.150.111getinstall.log”命令行，则可以下载服务器上的文件。

    3.禁用tftp客户端

    看到这里，也许会有不少朋友会说，把tftp这个客户端程序删除不就可以了吗？由于在Win2000操作系统中，“tftp.exe”是做为系统的关键程序而受到WindowsFileProtection（视窗文件保护）保护的，所以根本无法直接更改，那么到底该如何解决这个问题呢？

    打开“%systemroot%\system32\drivers\etc”目录，比如“C:\WINDOWS\system32\drivers\etc”，利用文本编辑工具打开其中名为“service”的文件，找到内容中所对应的“tftp”那一行。将“69/udp”替换成“0/udp”，保存并退出。

    
    当再次利用tftp客户端进行上传下载时，就会出现“Connectrequestfailed”这样的提示，这说明当前已经无法在命令行方式下进行tftp的文件传输，“定时炸弹”终于被安全拆除了。

（安徽三刃木）

    小知识：FTP大家都不会感到陌生，而TFTP则是Win2000操作系统中的一个服务，全称是TrivialFileTransferProtocol（简单文件传输协议），主要是可以将文件传输到正在运行TFTP服务的远程计算机或从正在运行TFTP服务的远程计算机传输文件。它可以看作是一个简化的FTP，与我们常见的FTP服务器相比，由于是系统自带的服务，使用起来比较方便，但由于没有用户权限管理功能，所以存在着安全隐患。

【免费加入会员】【我要投稿】【关闭本页】