我发现我的系统进程(PID 4)是监听 9001(v4 和 v6)的进程。
Telnet 到它,::1:9001然后输入一个字符并按enter我看到这个:
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Sat, 02 May 2020 21:47:28 GMT
Connection: close
Content-Length: 326
Bad Request
它正在等待网络请求……
我从另一个问题中发现:Microsoft-HTTPAPI/2.0 使用的端口 9001
跑步netsh http show servicestate
Server session ID: FF00000020000001
Version: 2.0
State: Active
Properties:
Max bandwidth: 4294967295
Timeouts:
Entity body timeout (secs): 120
Drain entity body timeout (secs): 120
Request queue timeout (secs): 120
Idle connection timeout (secs): 120
Header wait timeout (secs): 120
Minimum send rate (bytes/sec): 150
URL groups:
URL group ID: FE00000040000001
State: Active
Request queue name: Request queue is unnamed.
Properties:
Max bandwidth: inherited
Max connections: inherited
Timeouts:
Timeout values inherited
Number of registered URLs: 1
Registered URLs:
HTTP://+:9001/IGCC/SERVICE/
然后我看到这个:
Request queues:
Request queue name: Request queue is unnamed.
Version: 2.0
State: Active
Request queue 503 verbosity level: Basic
Max requests: 1000
Number of active processes attached: 1
Process IDs:
4741
在“请求队列”下,我发现了两个 PID。一个 PID4741是OneApp.IGCC.WinService.exe英特尔图形命令中心。
英特尔图形命令中心需要监听 http 端口做什么?在我的本地网络上,我可以访问端点,xxx.xxx.xxx.xxx:9001因此它看起来肯定是一个漏洞。
删除某些英特尔软件会更好吗?
这是使用网络作为中介的进程间通信的一种形式。
如果没有某种形式的共享接口,进程就无法相互通信,英特尔选择实现基于 Web 的服务,该服务允许客户端软件与 Windows 服务进行通信。
自从 UAC 和有限的用户访问出现以来,MS 建议软件开发人员实施 Windows 服务来执行特权任务,并将用户空间应用程序用作向服务传达他们的愿望的客户端。这允许用户执行控制良好的特权任务,而无需管理访问。
在这种情况下,配置或更新驱动程序行为是一项需要管理员的活动,因此客户端只需要求 Windows 服务执行这些任务。
另一个注意事项:由于端口绑定到 127.xyz,因此任何其他站点都无法访问它。它仅限于本地主机,因此从网络的角度来看,仅本地端口不是一个大的安全问题,尽管如果英特尔在身份验证方面做得不好,您系统上的恶意软件可能能够访问该服务。像所有软件一样,您必须信任编写它的人。