參與評(píng)論

評(píng)論

登錄后參與評(píng)論

全部評(píng)論(1條)

• 

  長(zhǎng)臉先生不帶V 2016-06-14 20:57:26

  一 摘要 二 什么是ipc$ 三 什么是空會(huì)話 四 空會(huì)話可以做什么 五 ipc$所使用的端口 六 ipc管道在hack攻擊中的意義 七 ipc$連接失敗的常見(jiàn)原因 八 復(fù)制文件失敗的原因 九 關(guān)于at命令和xp對(duì)ipc$的限制 十 如何打開(kāi)目標(biāo)的IPC$共享以及其他共享 十一 一些需要shell才能完成的命令 十二 入侵中可能會(huì)用到的命令 十三 對(duì)比過(guò)去和現(xiàn)今的ipc$入侵 十四 如何防范ipc$入侵 十五 ipc$入侵問(wèn)答精選 一 摘要 注意：本文所討論的各種情況均默認(rèn)發(fā)生在win NT/2000環(huán)境下，win98將不在此次討論之列。 二 什么是ipc$ IPC$(Internet Process Connection)是共享"命名管道"的資源，它是為了讓進(jìn)程間通信而開(kāi)放的命名管道，通過(guò)提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。IPC$是NT/2000的一項(xiàng)新功能，它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)連接。NT/2000在提供了ipc$功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開(kāi)了默認(rèn)共享，即所有的邏輯共享(c$，d$，e$……)和系統(tǒng)目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無(wú)意中，導(dǎo)致了系統(tǒng)安全性的降低。 平時(shí)我們總能聽(tīng)到有人在說(shuō)ipc$漏洞，ipc$漏洞，其實(shí)ipc$并不是一個(gè)真正意義上的漏洞，我想之所以有人這么說(shuō)，一定是指微軟自己安置的那個(gè)‘后門(mén)’：空會(huì)話（Null session）。那么什么是空會(huì)話呢？ 三 什么是空會(huì)話 在介紹空會(huì)話之前，我們有必要了解一下一個(gè)安全會(huì)話是如何建立的。 在Windows NT 4.0中是使用挑戰(zhàn)響應(yīng)協(xié)議與遠(yuǎn)程機(jī)器建立一個(gè)會(huì)話的，建立成功的會(huì)話將成為一個(gè)安全隧道，建立雙方通過(guò)它互通信息，這個(gè)過(guò)程的大致順序如下： 1）會(huì)話請(qǐng)求者（客戶）向會(huì)話接收者（服務(wù)器）傳送一個(gè)數(shù)據(jù)包，請(qǐng)求安全隧道的建 立； 2）服務(wù)器產(chǎn)生一個(gè)隨機(jī)的64位數(shù)（實(shí)現(xiàn)挑戰(zhàn)）傳送回客戶； 3）客戶取得這個(gè)由服務(wù)器產(chǎn)生的64位數(shù)，用試圖建立會(huì)話的帳號(hào)的口令打亂它，將結(jié) 果返回到服務(wù)器（實(shí)現(xiàn)響應(yīng)）； 4）服務(wù)器接受響應(yīng)后發(fā)送給本地安全驗(yàn)證（LSA），LSA通過(guò)使用該用戶正確的口令來(lái)核實(shí)響應(yīng)以便確認(rèn)請(qǐng)求者身份。如果請(qǐng)求者的帳號(hào)是服務(wù)器的本地帳號(hào)，核實(shí)本地發(fā)生；如果請(qǐng)求的帳號(hào)是一個(gè)域的帳號(hào)，響應(yīng)傳送到域控制器去核實(shí)。當(dāng)對(duì)挑戰(zhàn)的響應(yīng)核實(shí)為正確后，一個(gè)訪問(wèn)令牌產(chǎn)生，然后傳送給客戶。客戶使用這個(gè)訪問(wèn)令牌連接到服務(wù)器上的資源直到建議的會(huì)話被終止。 以上是一個(gè)安全會(huì)話建立的大致過(guò)程，那么空會(huì)話又如何呢？ 空會(huì)話是在沒(méi)有信任的情況下與服務(wù)器建立的會(huì)話（即未提供用戶名與密碼），但根據(jù)WIN2000的訪問(wèn)控制模型，空會(huì)話的建立同樣需要提供一個(gè)令牌，可是空會(huì)話在建立過(guò)程中并沒(méi)有經(jīng)過(guò)用戶信息的認(rèn)證，所以這個(gè)令牌中不包含用戶信息，因此，這個(gè)會(huì)話不能讓系統(tǒng)間發(fā)送加密信息，但這并不表示空會(huì)話的令牌中不包含安全標(biāo)識(shí)符SID（它標(biāo)識(shí)了用戶和所屬組），對(duì)于一個(gè)空會(huì)話，LSA提供的令牌的SID是S-1-5-7，這就是空會(huì)話的SID，用戶名是：ANONYMOUS LOGON（這個(gè)用戶名是可以在用戶列表中看到的，但是是不能在SAM數(shù)據(jù)庫(kù)中找到，屬于系統(tǒng)內(nèi)置的帳號(hào)），這個(gè)訪問(wèn)令牌包含下面?zhèn)窝b的組： Everyone Network 在安全策略的限制下，這個(gè)空會(huì)話將被授權(quán)訪問(wèn)到上面兩個(gè)組有權(quán)訪問(wèn)到的一切信息。那么建立空會(huì)話到底可以作什么呢？ 四 空會(huì)話可以做什么 對(duì)于NT，在默認(rèn)安全設(shè)置下，借助空連接可以列舉目標(biāo)主機(jī)上的用戶和共享，訪問(wèn)everyone權(quán)限的共享，訪問(wèn)小部分注冊(cè)表等，并沒(méi)有什么太大的利用價(jià)值；對(duì)2000作用更小，因?yàn)樵赪indows 2000 和以后版本中默認(rèn)只有管理員和備份操作員有權(quán)從網(wǎng)絡(luò)訪問(wèn)到注冊(cè)表，而且實(shí)現(xiàn)起來(lái)也不方便，需借助工具。 從這些我們可以看到，這種非信任會(huì)話并沒(méi)有多大的用處，但從一次完整的ipc$入侵來(lái)看，空會(huì)話是一個(gè)不可缺少的跳板，因?yàn)槲覀儚乃抢锟梢缘玫綉袅斜?，而大多?shù)弱口令掃描工具就是利用這個(gè)用戶列表來(lái)進(jìn)行口令猜解的，成功的導(dǎo)出用戶列表大大增加了猜解的成功率，僅從這一點(diǎn)，足以說(shuō)明空會(huì)話所帶來(lái)的安全隱患，因此說(shuō)空會(huì)話毫無(wú)用處的說(shuō)法是不正確的。以下是空會(huì)話中能夠使用的一些具體命令： 1 首先，我們先建立一個(gè)空連接（當(dāng)然，這需要目標(biāo)開(kāi)放ipc$） 命令：net use \\ip\ipc$ "" /user:"" 注意：上面的命令包括四個(gè)空格，net與use中間有一個(gè)空格，use后面一個(gè)，密碼左右各一個(gè)空格。 2 查看遠(yuǎn)程主機(jī)的共享資源 命令：net view \\ip 解釋?zhuān)呵疤崾墙⒘丝者B接后，用此命令可以查看遠(yuǎn)程主機(jī)的共享資源，如果它開(kāi)了共享，可以得到如下面的結(jié)果，但此命令不能顯示默認(rèn)共享。 在 \\*.*.*.*的共享資源 資源共享名 類(lèi)型 用途 注釋 ----------------------------------------------------------- NETLOGON Disk Logon server share SYSVOL Disk Logon server share 命令成功完成。 3 查看遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間 命令： net time \\ip 解釋?zhuān)河么嗣羁梢缘玫揭粋€(gè)遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間。 4 得到遠(yuǎn)程主機(jī)的NetBIOS用戶名列表（需要打開(kāi)自己的NBT） 命令：nbtstat -A ip 用此命令可以得到一個(gè)遠(yuǎn)程主機(jī)的NetBIOS用戶名列表，返回如下結(jié)果： Node IpAddress: [*.*.*.*] Scope Id: [] NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- SERVER <00> UNIQUE Registered OYAMANISHI-H <00> GROUP Registered OYAMANISHI-H <1C> GROUP Registered SERVER <20> UNIQUE Registered OYAMANISHI-H <1B> UNIQUE Registered OYAMANISHI-H <1E> GROUP Registered SERVER <03> UNIQUE Registered OYAMANISHI-H <1D> UNIQUE Registered ..__MSBROWSE__.<01> GROUP Registered INet~Services <1C> GROUP Registered IS~SERVER......<00> UNIQUE Registered MAC Address = 00-50-8B-9A-2D-37 以上就是我們經(jīng)常使用空會(huì)話做的事情，好像也能獲得不少東西喲，不過(guò)要注意一點(diǎn)：建立IPC$連接的操作會(huì)在Event Log中留下記錄，不管你是否登錄成功。 好了，那么下面我們就來(lái)看看ipc$所使用的端口是什么？ 五 ipc$所使用的端口 首先我們來(lái)了解一些基礎(chǔ)知識(shí)： 1 SMB:(Server Message Block) Windows協(xié)議族，用于文件打印共享的服務(wù)； 2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口實(shí)現(xiàn)基于TCP/IP協(xié)議的NETBIOS網(wǎng)絡(luò)互聯(lián)。 3 在WindowsNT中SMB基于NBT實(shí)現(xiàn)，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT實(shí)現(xiàn)，還可以直接通過(guò)445端口實(shí)現(xiàn)。 有了這些基礎(chǔ)知識(shí)，我們就可以進(jìn)一步來(lái)討論訪問(wèn)網(wǎng)絡(luò)共享對(duì)端口的選擇了： 對(duì)于win2000客戶端（發(fā)起端）來(lái)說(shuō)： 1 如果在允許NBT的情況下連接服務(wù)器時(shí)，客戶端會(huì)同時(shí)嘗試訪問(wèn)139和445端口，如果445端口有響應(yīng)，那么就發(fā)送RST包給139端口斷開(kāi)連接，用455端口進(jìn)行會(huì)話，當(dāng)445端口無(wú)響應(yīng)時(shí)，才使用139端口，如果兩個(gè)端口都沒(méi)有響應(yīng)，則會(huì)話失?。? 2 如果在禁止NBT的情況下連接服務(wù)器時(shí)，那么客戶端只會(huì)嘗試訪問(wèn)445端口，如果445端口無(wú)響應(yīng)，那么會(huì)話失敗。 對(duì)于win2000服務(wù)器端來(lái)說(shuō)： 1 如果允許NBT， 那么UDP端口137， 138， TCP 端口 139， 445將開(kāi)放（LISTENING）； 2 如果禁止NBT，那么只有445端口開(kāi)放。 我們建立的ipc$會(huì)話對(duì)端口的選擇同樣遵守以上原則。顯而易見(jiàn)，如果遠(yuǎn)程服務(wù)器沒(méi)有監(jiān)聽(tīng)139或445端口，ipc$會(huì)話是無(wú)法建立的。 六 ipc管道在hack攻擊中的意義 ipc管道本來(lái)是微軟為了方便管理員進(jìn)行遠(yuǎn)程管理而設(shè)計(jì)的，但在入侵者看來(lái)，開(kāi)放ipc管道的主機(jī)似乎更容易得手。通過(guò)ipc管道，我們可以遠(yuǎn)程調(diào)用一些系統(tǒng)函數(shù)（大多通過(guò)工具實(shí)現(xiàn)，但需要相應(yīng)的權(quán)限），這往往是入侵成敗的關(guān)鍵。如果不考慮這些，僅從傳送文件這一方面，ipc管道已經(jīng)給了入侵者莫大的支持，甚至已經(jīng)成為了Z重要的傳輸手段，因此你總能在各大論壇上看到一些朋友因?yàn)榇虿婚_(kāi)目標(biāo)機(jī)器的ipc管道而一籌莫展大呼救命。當(dāng)然，我們也不能忽視權(quán)限在ipc管道中扮演的重要角色，想必你一定品嘗過(guò)空會(huì)話的尷尬，沒(méi)有權(quán)限，開(kāi)啟管道我們也無(wú)可奈何。但入侵者一旦獲得了管理員的權(quán)限，那么ipc管道這把雙刃劍將顯示出它猙獰的一面。 七 ipc$連接失敗的常見(jiàn)原因 以下是一些常見(jiàn)的導(dǎo)致ipc$連接失敗的原因： 1 IPC連接是Windows NT及以上系統(tǒng)中特有的功能，由于其需要用到Windows NT中很多DLL函數(shù)，所以不能在Windows 9.x/Me系統(tǒng)中運(yùn)行，也就是說(shuō)只有nt/2000/xp才可以相互建立ipc$連接，98/me是不能建立ipc$連接的； 2 如果想成功的建立一個(gè)ipc$連接，就需要響應(yīng)方開(kāi)啟ipc$共享，即使是空連接也是這樣，如果響應(yīng)方關(guān)閉了ipc$共享，將不能建立連接； 3 連接發(fā)起方未啟動(dòng)Lanmanworkstation服務(wù)（顯示名為：Workstation）：它提供網(wǎng)絡(luò)鏈結(jié)和通訊，沒(méi)有它發(fā)起方無(wú)法發(fā)起連接請(qǐng)求； 4 響應(yīng)方未啟動(dòng)Lanmanserver服務(wù)（顯示名為：Server）：它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依賴(lài)于此服務(wù)，沒(méi)有它主機(jī)將無(wú)法響應(yīng)發(fā)起方的連接請(qǐng)求，不過(guò)沒(méi)有它仍可發(fā)起ipc$連接； 5 響應(yīng)方未啟動(dòng)NetLogon，它支持網(wǎng)絡(luò)上計(jì)算機(jī) pass-through 帳戶登錄身份（不過(guò)這種情況好像不多）； 6 響應(yīng)方的139，445端口未處于監(jiān)聽(tīng)狀態(tài)或被防火墻屏蔽； 7 連接發(fā)起方未打開(kāi)139，445端口； 8 用戶名或者密碼錯(cuò)誤：如果發(fā)生這樣的錯(cuò)誤，系統(tǒng)將給你類(lèi)似于'無(wú)法更新密碼'這樣的錯(cuò)誤提示（顯然空會(huì)話排除這種錯(cuò)誤）； 9 命令輸入錯(cuò)誤：可能多了或少了空格，當(dāng)用戶名和密碼中不包含空格時(shí)兩邊的雙引號(hào)可以省略，如果密碼為空，可以直接輸入兩個(gè)引號(hào)""即可； 10 如果在已經(jīng)建立好連接的情況下對(duì)方重啟計(jì)算機(jī)，那么ipc$連接將會(huì)自動(dòng)斷開(kāi)，需要重新建立連接。 另外，你也可以根據(jù)返回的錯(cuò)誤號(hào)分析原因： 錯(cuò)誤號(hào)5，拒絕訪問(wèn)：很可能你使用的用戶不是管理員權(quán)限的； 錯(cuò)誤號(hào)51，Windows無(wú)法找到網(wǎng)絡(luò)路徑：網(wǎng)絡(luò)有問(wèn)題； 錯(cuò)誤號(hào)53，找不到網(wǎng)絡(luò)路徑：ip地址錯(cuò)誤；目標(biāo)未開(kāi)機(jī)；目標(biāo)lanmanserver服務(wù)未啟動(dòng)；目標(biāo)有防火墻（端口過(guò)濾）； 錯(cuò)誤號(hào)67，找不到網(wǎng)絡(luò)名：你的lanmanworkstation服務(wù)未啟動(dòng)或者目標(biāo)刪除了ipc$； 錯(cuò)誤號(hào)1219，提供的憑據(jù)與已存在的憑據(jù)集沖突：你已經(jīng)和對(duì)方建立了一個(gè)ipc$，請(qǐng)刪除再連； 錯(cuò)誤號(hào)1326，未知的用戶名或錯(cuò)誤密碼：原因很明顯了； 錯(cuò)誤號(hào)1792，試圖登錄，但是網(wǎng)絡(luò)登錄服務(wù)沒(méi)有啟動(dòng)：目標(biāo)NetLogon服務(wù)未啟動(dòng)； 錯(cuò)誤號(hào)2242，此用戶的密碼已經(jīng)過(guò)期：目標(biāo)有帳號(hào)策略，強(qiáng)制定期要求更改密碼。

  贊(17)

  回復(fù)(0)

  評(píng)論

  評(píng)論

  登錄后參與評(píng)論