首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

安全研究:IPC攻击详解


http://www.gipsky.com/
四 ipc$与空连接,139,445端口,默认共享的关系



  以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)



  1)ipc$与空连接:



  不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了。



  许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟)。

  

  2)ipc$与139,445端口:



  ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的。



  3)ipc$与默认共享



  默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$......)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)

  

  五 ipc$连接失败的原因

  以下5个原因是比较常见的:

  1)你的系统不是NT或以上操作系统;

  2)对方没有打开ipc$默认共享

  3)对方未开启139或445端口(惑被防火墙屏蔽)

  4)你的命令输入有误(比如缺少了空格等)

  5)用户名或密码错误(空连接当然无所谓了)



  另外,你也可以根据返回的错误号分析原因:

  错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;

  错误号51,Windows 无法找到网络路径 : 网络有问题;

  错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);

  错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc$;

  错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc$,请删除再连。

  错误号1326,未知的用户名或错误密码 : 原因很明显了;

  错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未启动。(连接域控会出现此情况)

  错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。

  关于ipc$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就*大家自己体会和试验了。



  六?如何打开目标的IPC$(此段引自相关文章)



  首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马,当然,这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法),还是不行的话(比如有防火墙,杀不了)建议放弃。



  七?如何防范ipc$入侵



  1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)

  首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)

  2禁止默认共享

  

  1)察看本地共享资源

  运行-cmd-输入net share

  2)删除共享(每次输入一个)

  net share ipc$ /delete

  net share admin$ /delete

  net share c$ /delete

  net share d$ /delete(如果有e,f,......可以继续删除)

  3)停止server服务

  net stop server /y (重新启动后server服务会重新开启)

  4)修改注册表

  运行-regedit

  server版:找到如下主键  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。

  pro版:找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。

  如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。

  3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

  控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用

  4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等),或者用新版本的优化大师

  5设置复杂密码,防止通过ipc$穷举密码



  (本教程不定期更新,欲获得最新版本,请登陆官方网站:菜菜鸟社区原创http://ccbirds.yeah.net) 本新闻共3页,当前在第2页 1 2 3
<< 新形式下的网络防毒建议汇总 安全研究:IPC攻击详解 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号