返回列表 发帖

ipc漏洞攻击与防御

ipc漏洞攻击与防御
pc漏洞攻击与防御

教程工具.
流光                       一款适合新手的安全扫描工具.(在工具包内)
虚拟机                     2000或XP的虚拟系统一份.(可以参考以前的课程.虚拟机的使用教程.)
fport                      dos下查看系统端口状态的工具
教程内容
1.我们首先来了解什么是ipc.
      互联网   过程     连接
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录c:\winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,而是一些人对系统设置不当.导致黑客有漏洞可以利用.

2.ipc$入侵的使用范围.
国内的互联网业务发展迅速.但是大部分上网用户因为对黑客安全技术的认识和了解不够.在前一段时间冲击波病毒与振荡波病毒的大面积爆发.(实际上这些病毒就是在利用ipc和rpc漏洞进行传播).使国内的网络极度处于瘫痪状态.在以前.80%的家庭电脑上都存在这些漏洞.在2003年以前的时候.作为黑客安全技术爱好者.想要入侵别人.可以说是易如反掌.现在为了防止病毒的继续肆意感染.处于安全的目的.很多城市的网络供应商.屏蔽了139.445.135这些可以被病毒所利用的端口.
这就使我们黑客安全技术爱好者.损失了很多非常普及的漏洞.例如ipc$.rpc等等.但是国外的网络并没有屏蔽这些端口.那么咱们可以利用这个漏洞.在入侵到一台国外的网站服务器后.作为傀儡机.大面积的扫描和入侵海外民用电脑.
总结.
一.ipc$漏洞是很普及的存在与家庭民用电脑2000/xp/2003系统的漏洞.
二.国内部分城市,处于安全的目,屏蔽了139.445.135这些可以被病毒所利用的端口.那么有些同学可能无法扫到这个漏洞.大部分的城市这个漏洞还是可以利用的

3.ipc$入侵的操作演示.
详见教程包中的动画教程.
ipc入侵演示.rar
ipc共享资源入侵.rar
硬盘自启动木马的原理.rar
文件夹自启动木马的原理.rar
ipc全自动入侵工具.rar
4.ipc$连接失败的常见原因
以下是一些常见的导致ipc$连接失败的原因:
1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互建立ipc$连接,98/me是不能建立ipc$连接的;
2 如果想成功的建立一个ipc$连接,就需要对方开启ipc$共享,即使是空连接也是这样,如果对方关闭了ipc$共享,你将会建立失败;
3 你未启动Lanmanworkstation服务,它提供网络链结和通讯,没有它你无法发起连接请求(显示名为:Workstation);
4 对方未启动Lanmanserver服务,它提供了 RPC 支持、文件、打印以及命名管道共享,ipc$依赖于此服务,没有它远程主机将无法响应你的连接请求(显示名为:Server);
5 对方未启动NetLogon,它支持网络上计算机 pass-through 帐户登录身份;
6 对方未打开139端口;
7 对方防火墙屏蔽了139和445端口;
8 你的用户名或者密码错误(显然空会话排除这种错误);
9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号可以省略,如果密码为空,可以直接输入两个引号""即可;
10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要重新建立连接。
另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问:很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows无法找到网络路径:网络有问题;
错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。
复制文件失败的原因
有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制成功,那么导致复制失败的常见原因又有哪些呢?
1 盲目复制
这类错误出现的最多,占到50%以上。许多朋友甚至都不知道对方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view [url=file://\\IP]\\IP[/url]这个命令看一下对方的共享情况,不要认为ipc$连接建立成功了就一定有共享文件夹。
2 默认共享判断错误
这类错误也是大家经常犯的,主要有两个小方面:
1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马上向admin$之类的默认共享复制文件,导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享,ipc$共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默认共享并不是ipc$共享的必要条件;
2)由于net view [url=file://\\IP]\\IP[/url] 无法显示默认共享(因为默认共享带$),因此通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共享,那么所有向默认共享进行的操作都不能成功;(不过大部分扫描软件在扫弱口令的同时,都能扫到默认共享目录,可以避免此类错误的发生)
3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,大多情况下权限是不够的;
2)向默认共享复制时,要具有管理员权限;
3)向普通共享复制时,要具有相应权限(即对方事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;
还需要说明一点:不要认为administrator就一定是管理员,管理员名称是可以改的。
4被防火墙杀死或在局域网
也许你的复制操作已经成功,但当远程运行时,被防火墙杀掉了,导致找不到文件;还有可能你把木马复制到了局域网内的主机,导致连接失败。因此建议你复制时要小心,否则就前功尽弃了。
呵呵,大家也知道,ipc$连接在实际操作过程中会出现千奇百怪的问题,上面我所总结的只是一些常见错误,没说到的,只能让大家自己去体会了。

5.ipc$入侵的安全防护.
上边大家已经知道了ipc漏洞的利用.那么下边咱们来讲一讲如何防御ipc漏洞.
ipc$平时所工作的端口是445和139端口.那么如果关闭了这两个端口.就可以防御ipc漏洞.
关闭以上两个端口的方法详见演示
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
关闭445端口的方法
修改注册表一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0

大米

该文章好像已经有拉    晕  怎么  又编译成其他的了

TOP

晕  偶 不知道  [f2]

TOP

啊哦~~~~~
不错的文章!:kiss: 赞哦stand up for youself

TOP

回复 1# 的帖子
明白了,原先看教程不够清楚。现在双明白一点了,谢谢

TOP

太好,我来对地方了,知识的海洋。我要好好学习呀

TOP

原帖由 融化冰河 于 2008-8-12 18:09 发表
该文章好像已经有拉    晕  怎么  又编译成其他的了



      是的已经有一篇了! 不过不一样的!! 好象是这一篇!
      连接:http://www.3ast.com.cn/viewthread.php?tid=3720

      互相补助吗!    不错不错·

   努力!努力~!
欢迎来到3ST论坛!
3ST因为你而壮大!
让我们一起把论坛做的更好!
加油3ST,加油中国!!

TOP

学习学习..

TOP

学习学习!以后慢慢看!  !!:)

TOP

我感觉现在不存在IPC空连接了。。。。

TOP

返回列表