什么是ipc$及ipc$入侵第一篇

一前言
网上关于ipc$入侵的文章可谓多如牛毛，而且也不乏优秀之作，攻击步骤甚至可以说已经成为经典的模式，因此也没人愿意再把这已经成为定式的东西拿出来摆弄。

不过话虽这样说，但我个人认为这些文章讲解的并不详细，对于第一次接触ipc$的菜鸟来说，简单的罗列步骤并不能解答他们的种种迷惑（你随便找一个hack论坛搜一下ipc$，看看存在的疑惑有多少）。因此我参考了网上的一些资料，教程以及论坛帖子，写了这篇总结性质的文章，想把一些容易混淆，容易迷惑人的问题说清楚，让大家不要总徘徊在原地!

注意：本文所讨论的各种情况均默认发生在winNT/2000环境下，win98将不在此次讨论之列，而鉴于winXp在安全设置上有所提高，个别操作并不适用，有机会将单独讨论。


二什么是ipc$


IPC$(InternetProcessConnection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。

平时我们总能听到有人在说ipc$漏洞，ipc$漏洞，其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说，一定是指微软自己安置的那个‘后门’：空会话（Nullsession）。那么什么是空会话呢？


三什么是空会话？


在介绍空会话之前，我们有必要了解一下一个安全会话是如何建立的。

在WindowsNT4.0中是使用挑战响应协议与远程机器建立一个会话的，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，这个过程的大致顺序如下：

1）会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建

立；

2）服务器产生一个随机的64位数（实现挑战）传送回客户；

3）客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结

果返回到服务器（实现响应）；

4）服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。

以上是一个安全会话建立的大致过程，那么空会话又如何呢？
空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码），但根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息，因此，这个会话不能让系统间发送加密信息，但这并不表示空会话的令牌中不包含安全标识符SID（它标识了用户和所属组），对于一个空会话，LSA提供的令牌的SID是S-1-5-7，这就是空会话的SID，用户名是：ANONYMOUSLOGON（这个用户名是可以在用户列表中看到的，但是是不能在SAM数据库中找到，属于系统内置的帐号），这个访问令牌包含下面伪装的组：

Everyone

Network

在安全策略的限制下，这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢？


四空会话可以做什么？


对于NT，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对2000作用更小，因为在Windows2000和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。从这些我们可以看到，这种非信任会话并没有多大的用处，但从一次完整的ipc$入侵来看，空会话是一个不可缺少的跳板，因为我们从它那里可以得到户列表，这对于一个老练的黑客已经足够了。以下是空会话中能够使用的具体命令：


1首先，我们先建立一个空会话（需要目标开放ipc$）

命令：netuse\\ip\ipc$""/user:""

注意：上面的命令包括四个空格，net与use中间有一个空格，use后面一个，密码左右各一个空格。


2查看远程主机的共享资源

命令：netview\\IP

解释：建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下类似类似结果：

在\\*.*.*.*的共享资源

资源共享名类型用途注释
-----------------------------------------------------------

NETLOGONDiskLogonservershare

SYSVOLDiskLogonservershare

命令成功完成。


3查看远程主机的当前时间

命令：nettime\\IP

解释：用此命令可以得到一个远程主机的当前时间。


4得到远程主机的NetBIOS用户名列表（需要打开自己的NBT）

nbtstat-AIP

用此命令可以得到一个远程主机的NetBIOS用户名列表（需要你的netbios支持），返回如下结果：
NodeIpAddress:[*.*.*.*]ScopeId:[]
NetBIOSRemoteMachineNameTable
NameTypeStatus

---------------------------------------------

SERVER<00>UNIQUERegistered

OYAMANISHI-H<00>GROUPRegistered

OYAMANISHI-H<1C>GROUPRegistered

SERVER<20>UNIQUERegistered

OYAMANISHI-H<1B>UNIQUERegistered

OYAMANISHI-H<1E>GROUPRegistered

SERVER<03>UNIQUERegistered

OYAMANISHI-H<1D>UNIQUERegistered

..__MSBROWSE__.<01>GROUPRegistered

INet~Services<1C>GROUPRegistered

IS~SERVER......<00>UNIQUERegistered
MACAddress=00-50-8B-9A-2D-37
以上就是我们经常使用空会话做的事情，好像也能获得不少东西哟，不过要注意一点：建立IPC$连接的操作会在EventLog中留下记录，不管你是否登录成功。好了，那么下面我们就来看看ipc$所使用的端口是什么？
&nbsp;
*
*