445端口入侵详解

   关于“445端口入侵”的内容
445端口入侵详解
本站搜索更多关于“445端口入侵”的内容

445端口入侵，在这之前我们首先要看的还是445端口为什么回成为入侵的端口呢？
445端口就是IPC 服务的默认端口
                                                            ipc$
一 摘要
二 什么是 ipc$
三 什么是空会话
四 空会话可以做什么
五 ipc$ 所使用的端口
六 ipc 管道在 hack 攻击中的意义
七 ipc$ 连接失败的常见原因
八 复制文件失败的原因
九 关于 at 命令和 xp 对 ipc$ 的限制
十 如何打开目标的 IPC$ 共享以及其他共享
十一 一些需要 shell 才能完成的命令
十二 入侵中可能会用到的命令
十三 对比过去和现今的 ipc$ 入侵
十四 如何防范 ipc$ 入侵
十五 ipc$ 入侵问答精选
十六 结束的话
一 摘要
网上关于 ipc$入侵的文章可谓多如牛毛，攻击步骤甚至已经成为了固化的模式，因此也没人愿意再把这已经成为定式的东西拿出来摆弄。不过话虽这样说，我认为这些文章讲解的并不详细，一些内容甚至是错误的，以致对 ipc$的提问几乎占了各大安全论坛讨论区的半壁江山，而且这些问题常常都是重复的，严重影响了论坛质量和学习效率，因此我总结了这篇文章，希望能把 ipc$这部分东西尽量说清楚。
注意：本文所讨论的各种情况均默认发生在 win NT/2000 环境下， win98 将不在此次讨论之列。
二 什么是 ipc$
IPC$(Internet Process Connection) 是共享 " 命名管道 "的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。 IPC$ 是 NT/2000 的一项新功能，它有一个特点，即在同一时间内，两个 IP 之间只允许建立一个连接。NT/2000 在提供了 ipc$ 功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享 (c$,d$,e$ …… ) 和系统目录winnt 或 windows(admin$) 共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。
平时我们总能听到有人在说 ipc$ 漏洞， ipc$ 漏洞，其实 ipc$ 并不是一个真正意义上的漏洞 , 我想之所以有人这么说，一定是指微软自己安置的那个‘后门'：空会话（ Null session ）。那么什么是空会话呢？
三 什么是空会话
在介绍空会话之前，我们有必要了解一下一个安全会话是如何建立的。
在 Windows NT 4.0 中是使用挑战响应协议与远程机器建立一个会话的，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，这个过程的大致顺序如下：
1 ）会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建立；
2 ）服务器产生一个随机的 64 位数（实现挑战）传送回客户；
3 ）客户取得这个由服务器产生的 64 位数，用试图建立会话的帐号的口令打乱它，将结果返回到服务器（实现响应）；
4 ）服务器接受响应后发送给本地安全验证（ LSA ）， LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程，那么空会话又如何呢？
空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码），但根据 WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息，因此，这个会话不能让系统间发送加密信息，但这并不表示空会话的令牌中不包含安全标识符 SID （它标识了用户和所属组），对于一个空会话， LSA 提供的令牌的SID 是 S- 1-5-7 ，这就是空会话的 SID ，用户名是： ANONYMOUS LOGON（这个用户名是可以在用户列表中看到的，但是是不能在 SAM 数据库中找到，属于系统内置的帐号），这个访问令牌包含下面伪装的组：
Everyone
Network
在安全策略的限制下，这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢？
四 空会话可以做什么
对于 NT ，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问 everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对 2000 作用更小，因为在 Windows 2000和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。
从这些我们可以看到，这种非信任会话并没有多大的用处，但从一次完整的 ipc$入侵来看，空会话是一个不可缺少的跳板，因为我们从它那里可以得到户列表，而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的，成功的导出用户列表大大增加了猜解的成功率，仅从这一点，足以说明空会话所带来的安全隐患，因此说空会话毫无用处的说法是不正确的。以下是空会话中能够使用的一些具体命令：
1 首先，我们先建立一个空会话（当然，这需要目标开放 ipc$ ）
命令： net use ipipc$ "" /user:""
注意：上面的命令包括四个空格， net 与 use 中间有一个空格， use 后面一个，密码左右各一个空格。
2 查看远程主机的共享资源
命令： net view ip
解释：前提是建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下面的结果，但此命令不能显示默认共享。
在 *.*.*.* 的共享资源
资源共享名 类型 用途 注释
-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。
3 查看远程主机的当前时间
命令： net time ip
解释：用此命令可以得到一个远程主机的当前时间。
4 得到远程主机的 NetBIOS 用户名列表（需要打开自己的 NBT ）
命令： nbtstat -A ip
用此命令可以得到一个远程主机的 NetBIOS 用户名列表，返回如下结果：
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H < 1C > GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services < 1C > GROUP Registered
IS~SERVER......<00> UNIQUE Registered
MAC Address = 00-50-8B -9A -2D-37
以上就是我们经常使用空会话做的事情，好像也能获得不少东西哟，不过要注意一点：建立 IPC$ 连接的操作会在 Event Log 中留下记录，不管你是否登录成功。 好了，那么下面我们就来看看 ipc$ 所使用的端口是什么？
五 ipc$ 所使用的端口
首先我们来了解一些基础知识：
1 SMBServer Message Block) Windows 协议族，用于文件打印共享的服务；
2 NBTNETBios Over TCP/IP) 使用 137 （ UDP ） 138 （ UDP ） 139 （ TCP ）端口实现基于 TCP/IP 协议的 NETBIOS 网络互联。
3 在 WindowsNT 中 SMB 基于 NBT 实现，即使用 139 （ TCP ）端口；而在 Windows2000 中， SMB 除了基于 NBT 实现，还可以直接通过 445 端口实现。
有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：
对于 win2000 客户端（发起端）来说：
1 如果在允许 NBT 的情况下连接服务器时，客户端会同时尝试访问 139 和 445 端口，如果 445 端口有响应，那么就发送 RST包给 139 端口断开连接，用 455 端口进行会话，当 445 端口无响应时，才使用 139 端口，如果两个端口都没有响应，则会话失败；
2 如果在禁止 NBT 的情况下连接服务器时，那么客户端只会尝试访问 445 端口，如果 445 端口无响应，那么会话失败。
对于 win2000 服务器端来说：
1 如果允许 NBT, 那么 UDP 端口 137, 138, TCP 端口 139, 445 将开放（ LISTENING ）；
2 如果禁止 NBT ，那么只有 445 端口开放。
我们建立的 ipc$ 会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听 139 或 445 端口， ipc$ 会话是无法建立的。
六 ipc 管道在 hack 攻击中的意义
ipc 管道本来是微软为了方便管理员进行远程管理而设计的，但在入侵者看来，开放 ipc 管道的主机似乎更容易得手。通过 ipc管道，我们可以远程调用一些系统函数（大多通过工具实现，但需要相应的权限），