利用ipc$通道可以建立空连接,匿名枚举出该机有多少帐户。
答案:1 悬赏:30 手机版
解决时间 2021-04-01 16:24
- 提问者网友:相思似海深
- 2021-04-01 01:38
利用ipc$通道可以建立空连接,匿名枚举出该机有多少帐户。
最佳答案
- 五星知识达人网友:鱼忧
- 2021-04-01 02:09
IPC$(Internet Process Connection) 是共享 " 命名管道 " 的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。 IPC$ 是 NT/2000 的一项新功能,它有一个特点,即在同一时间内,两个 IP 之间只允许建立一个连接。 NT/2000 在提供了 ipc$ 功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享 (c$,d$,e$ …… ) 和系统目录 winnt 或 windows(admin$) 共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说 ipc$ 漏洞, ipc$ 漏洞,其实 ipc$ 并不是一个真正意义上的漏洞 , 我想之所以有人这么说,一定是指微软自己安置的那个‘后门':空会话( Null session )。那么什么是空会话呢?
三 什么是空会话
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在 Windows NT 4.0 中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1 )会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建立;
2 )服务器产生一个随机的 64 位数(实现挑战)传送回客户;
3 )客户取得这个由服务器产生的 64 位数,用试图建立会话的帐号的口令打乱它,将结果返回到服务器(实现响应);
4 )服务器接受响应后发送给本地安全验证( LSA ), LSA 通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?
空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据 WIN2000 的访问控制模型,空会话的建立同样需要提供一个令牌,可是空会话在建立过程中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标识符 SID (它标识了用户和所属组),对于一个空会话, LSA 提供的令牌的 SID 是 S- 1-5-7 ,这就是空会话的 SID ,用户名是: ANONYMOUS LOGON (这个用户名是可以在用户列表中看到的,但是是不能在 SAM 数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢?
四 空会话可以做什么
对于 NT ,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问 everyone 权限的共享,访问小部分注册表等,并没有什么太大的利用价值;对 2000 作用更小,因为在 Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表,而且实现起来也不方便,需借助工具。
从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的 ipc$ 入侵来看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的,成功的导出用户列表大大增加了猜解的成功率,仅从这一点,足以说明空会话所带来的安全隐患,因此说空会话毫无用处的说法是不正确的。以下是空会话中能够使用的一些具体命令:
1 首先,我们先建立一个空会话(当然,这需要目标开放 ipc$ )
命令: net use \\ip\ipc$ "" /user:""
注意:上面的命令包括四个空格, net 与 use 中间有一个空格, use 后面一个,密码左右各一个空格。
2 查看远程主机的共享资源
命令: net view \\ip
解释:前提是建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共享,可以得到如下面的结果,但此命令不能显示默认共享。
在 \\*.*.*.* 的共享资源
资源共享名 类型 用途 注释
-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。
3 查看远程主机的当前时间
命令: net time \\ip
解释:用此命令可以得到一个远程主机的当前时间。
4 得到远程主机的 NetBIOS 用户名列表(需要打开自己的 NBT )
命令: nbtstat -A ip
用此命令可以得到一个远程主机的 NetBIOS 用户名列表,返回如下结果:
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H < 1C > GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services < 1C > GROUP Registered
IS~SERVER......<00> UNIQUE Registered
MAC Address = 00-50-8B -9A -2D-37
以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:建立 IPC$ 连接的操作会在 Event Log 中留下记录,不管你是否登录成功。 好了,那么下面我们就来看看 ipc$ 所使用的端口是什么?
五 ipc$ 所使用的端口
首先我们来了解一些基础知识:
1 SMB:(Server Message Block) Windows 协议族,用于文件打印共享的服务;
2 NBT:(NETBios Over TCP/IP) 使用 137 ( UDP ) 138 ( UDP ) 139 ( TCP )端口实现基于 TCP/IP 协议的 NETBIOS 网络互联。
3 在 WindowsNT 中 SMB 基于 NBT 实现,即使用 139 ( TCP )端口;而在 Windows2000 中, SMB 除了基于 NBT 实现,还可以直接通过 445 端口实现。
有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:
对于 win2000 客户端(发起端)来说:
1 如果在允许 NBT 的情况下连接服务器时,客户端会同时尝试访问 139 和 445 端口,如果 445 端口有响应,那么就发送 RST 包给 139 端口断开连接,用 455 端口进行会话,当 445 端口无响应时,才使用 139 端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止 NBT 的情况下连接服务器时,那么客户端只会尝试访问 445 端口,如果 445 端口无响应,那么会话失败。
对于 win2000 服务器端来说:
1 如果允许 NBT, 那么 UDP 端口 137, 138, TCP 端口 139, 445 将开放( LISTENING );
2 如果禁止 NBT ,那么只有 445 端口开放。
我们建立的 ipc$ 会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听 139 或 445 端口, ipc$ 会话是无法建立的。
六 ipc 管道在 hack 攻击中的意义
ipc 管道本来是微软为了方便管理员进行远程管理而设计的,但在入侵者看来,开放 ipc 管道的主机似乎更容易得手。通过 ipc 管道,我们可以远程调用一些系统函数(大多通过工具实现,但需要相应的权限),这往往是入侵成败的关键。如果不考虑这些,仅从传送文件这一方面, ipc 管道已经给了入侵者莫大的支持,甚至已经成为了最重要的传输手段,因此你总能在各大论坛上看到一些朋友因为打不开目标机器的 ipc 管道而一筹莫展大呼救命。当然,我们也不能忽视权限在 ipc 管道中扮演的重要角色,想必你一定品尝过空会话的尴尬,没有权限,开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限,那么 ipc 管道这把双刃剑将显示出它狰狞的一面
平时我们总能听到有人在说 ipc$ 漏洞, ipc$ 漏洞,其实 ipc$ 并不是一个真正意义上的漏洞 , 我想之所以有人这么说,一定是指微软自己安置的那个‘后门':空会话( Null session )。那么什么是空会话呢?
三 什么是空会话
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在 Windows NT 4.0 中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1 )会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建立;
2 )服务器产生一个随机的 64 位数(实现挑战)传送回客户;
3 )客户取得这个由服务器产生的 64 位数,用试图建立会话的帐号的口令打乱它,将结果返回到服务器(实现响应);
4 )服务器接受响应后发送给本地安全验证( LSA ), LSA 通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?
空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据 WIN2000 的访问控制模型,空会话的建立同样需要提供一个令牌,可是空会话在建立过程中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标识符 SID (它标识了用户和所属组),对于一个空会话, LSA 提供的令牌的 SID 是 S- 1-5-7 ,这就是空会话的 SID ,用户名是: ANONYMOUS LOGON (这个用户名是可以在用户列表中看到的,但是是不能在 SAM 数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢?
四 空会话可以做什么
对于 NT ,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问 everyone 权限的共享,访问小部分注册表等,并没有什么太大的利用价值;对 2000 作用更小,因为在 Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表,而且实现起来也不方便,需借助工具。
从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的 ipc$ 入侵来看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的,成功的导出用户列表大大增加了猜解的成功率,仅从这一点,足以说明空会话所带来的安全隐患,因此说空会话毫无用处的说法是不正确的。以下是空会话中能够使用的一些具体命令:
1 首先,我们先建立一个空会话(当然,这需要目标开放 ipc$ )
命令: net use \\ip\ipc$ "" /user:""
注意:上面的命令包括四个空格, net 与 use 中间有一个空格, use 后面一个,密码左右各一个空格。
2 查看远程主机的共享资源
命令: net view \\ip
解释:前提是建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共享,可以得到如下面的结果,但此命令不能显示默认共享。
在 \\*.*.*.* 的共享资源
资源共享名 类型 用途 注释
-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。
3 查看远程主机的当前时间
命令: net time \\ip
解释:用此命令可以得到一个远程主机的当前时间。
4 得到远程主机的 NetBIOS 用户名列表(需要打开自己的 NBT )
命令: nbtstat -A ip
用此命令可以得到一个远程主机的 NetBIOS 用户名列表,返回如下结果:
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H < 1C > GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services < 1C > GROUP Registered
IS~SERVER......<00> UNIQUE Registered
MAC Address = 00-50-8B -9A -2D-37
以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:建立 IPC$ 连接的操作会在 Event Log 中留下记录,不管你是否登录成功。 好了,那么下面我们就来看看 ipc$ 所使用的端口是什么?
五 ipc$ 所使用的端口
首先我们来了解一些基础知识:
1 SMB:(Server Message Block) Windows 协议族,用于文件打印共享的服务;
2 NBT:(NETBios Over TCP/IP) 使用 137 ( UDP ) 138 ( UDP ) 139 ( TCP )端口实现基于 TCP/IP 协议的 NETBIOS 网络互联。
3 在 WindowsNT 中 SMB 基于 NBT 实现,即使用 139 ( TCP )端口;而在 Windows2000 中, SMB 除了基于 NBT 实现,还可以直接通过 445 端口实现。
有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:
对于 win2000 客户端(发起端)来说:
1 如果在允许 NBT 的情况下连接服务器时,客户端会同时尝试访问 139 和 445 端口,如果 445 端口有响应,那么就发送 RST 包给 139 端口断开连接,用 455 端口进行会话,当 445 端口无响应时,才使用 139 端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止 NBT 的情况下连接服务器时,那么客户端只会尝试访问 445 端口,如果 445 端口无响应,那么会话失败。
对于 win2000 服务器端来说:
1 如果允许 NBT, 那么 UDP 端口 137, 138, TCP 端口 139, 445 将开放( LISTENING );
2 如果禁止 NBT ,那么只有 445 端口开放。
我们建立的 ipc$ 会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听 139 或 445 端口, ipc$ 会话是无法建立的。
六 ipc 管道在 hack 攻击中的意义
ipc 管道本来是微软为了方便管理员进行远程管理而设计的,但在入侵者看来,开放 ipc 管道的主机似乎更容易得手。通过 ipc 管道,我们可以远程调用一些系统函数(大多通过工具实现,但需要相应的权限),这往往是入侵成败的关键。如果不考虑这些,仅从传送文件这一方面, ipc 管道已经给了入侵者莫大的支持,甚至已经成为了最重要的传输手段,因此你总能在各大论坛上看到一些朋友因为打不开目标机器的 ipc 管道而一筹莫展大呼救命。当然,我们也不能忽视权限在 ipc 管道中扮演的重要角色,想必你一定品尝过空会话的尴尬,没有权限,开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限,那么 ipc 管道这把双刃剑将显示出它狰狞的一面
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯