在我们的漏洞扫描之一,它很有意思。在端口12345中有很多机器,它确实有很多连接。此外,PID是4,它是系统过程或服务。

HTTP端口80中也发现了同样的事情。以下是NetStat命令输出。

症状

C:\ Windows \ System32>netstat -tabno |找到“:80”
  TCP 0.0.0.0:80 0.0.0.0:0聆听4
  TCP 10.20.153.50:55183 12.23.1.11:80成立4848
  TCP 10.20.153.50:56844 12.21.2.153:8014成立4848
  TCP 10.20.153.50:56916 12.21.2.153:8014成立4360
  TCP 10.20.153.50:65423 12.23.1.11:80成立4360
  TCP [::]:80 [::]:0聆听4

C:\ Windows \ System32>netstat -tabno |找到“:12345”
  TCP 0.0.0.0:12345 0.0.0.0:0聆听4
  TCP 10.20.153.50:12345 12.21.2.77:38782 time_wait 0
  TCP [::]:12345 [::]:0聆听4
  TCP [:: 1]:12345 [:: 1]:57035成立4
  TCP [:: 1]:12345 [:: 1]:60795成立4
  TCP [:: 1]:12345 [:: 1]:63369成立4
  TCP [:: 1]:57035 [:: 1]:12345成立8760
  TCP [:: 1]:60795 [:: 1]:12345成立11252
  TCP [:: 1]:63369 [:: 1]:12345成立14776

我尝试的一件事是使用浏览器连接它并查看它是什么。 如果您浏览到端口12345或80上的IP,则可以连接。 

如果您检查http.sys日志(in C:\ Windows \ System32 \ logfiles \httperr)你会看到这样的东西:
#software:Microsoft HTTP API 2.0
#version:1.0
#date:2019-03-06 22:38:58
#fields:日期时间C-IP C-Port S-IP S-Port CS-Method CS-URI SC-Status S-Siteid S-Grands S-queuename
2019-03-06 22:38:57 12.21.2.77 60037 10.10.80.109 12345 http / 1.1 get / phpticket / 400 - hostname -
2019-03-06 22:38:57 17.21.2.77 60039 10.10.80.109 12345 http / 1.1 get / cgi-bin / gm / 400 - hostname -
2019-03-06 22:38:58 12.21.2.77 60048 10.10.80.109 12345 http / 1.1 get / cgi-bin / phpticket / 400 - hostname -
2019-03-06 22:38:58 12.21.2.77 60050 10.10.80.109 12345 http / 1.1 get / cgi / gm / 400 - hostname -
2019-03-06 22:38:58 12.21.2.77 60062 10.10.80.109 12345 http / 1.1 get / php / phpticket / 400 - hostname -
2019-03-06 22:38:58 12.21.2.77 60064 10.10.80.109 12345 http / 1.1 get / cgi-bin / greymatter / 400 - hostname -

修复解决方案

在谷歌研究之后,我找到了以下是Windows 7或Windows 10系统中的许多服务,可以监听端口80.基本上, 您需要禁用Http.sys驱动程序,该驱动程序由另一个服务按需启动,例如Windows 7或2008上的Windows远程管理或打印假脱机程序。


幸运的是,您可以检测和停止它们所有运行简单的控制台命令:

NET stop HTTP

当您开始它时,您将首先获取列表: 在此输入图像描述

将来避免这个问题转到当地服务和 禁用列出的服务.
N.B.  - 一些服务将立即重新启动,只是 运行'净停止http'几次.

其他解决方案

有几种其他方法可以禁用此服务或修复它:

1.注册表变革

  • 发射Regedit。
  • 去 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP
  • 将“开始”的值更改为4,这意味着已禁用。
  • 重新启动计算机。

2. Chthing http.sys的绑定IP地址

netsh http add iplisten ipaddress=::

参考

经过 jonny.

发表评论