如果已经和目标建立了ipc\$,则可以直接用IP加盘符加\$访问。比如 copy muma.exe \\IP\d\$\path\muma.exe 。或者再映射也可以,只是不用用户名和密码了:net use y: \\IP\d\$ 。然后 copy muma.exe y:\path\muma.exe 。当路径中包含空格时,须用""将路径全引住。
五、如何删除映射和ipc\$连接?
答:用命令 net use \\IP\ipc\$ /del 删除和一个目标的ipc\$连接。
用命令 net use z: /del 删除映射的z盘,其他盘类推。
用命令 net use * /del 删除全部。会有提示要求按y确认。
六、连上ipc\$然后我能做什么?
答:能使用管理员权限的帐号成功和目标连接ipc\$,表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具(比如pstools系列、Win2000SrvReskit、telnethack等)获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享(没开你就帮他开),你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具(木马)还具有直接控屏的功能。如果是2000server,还可以考虑开启终端服务方便控制。这里提到的工具的使用,请看自带的说明或相关教程。
七、怎样防止别人用ips\$和默认共享入侵我?
答:A、一种办法是把ipc\$和默认共享都删除了。但重起后还会有。这就需要改注册表。
1,先把已有的删除
net share ipc\$ /del
net share admin\$ /del
net share c\$ /del
…………(有几个删几个)
2,禁止建立空连接
首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值改为:00000001。
3,禁止自动打开默认共享
对于server版,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
对于pro版,则是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
B、另一种是关闭ipc\$和默认共享依赖的服务(不推荐)
net stop lanmanserver
可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。
C、最简单的办法是设置复杂密码,防止通过ipc\$穷举密码。但如果你有其他漏洞,ipc\$将为进一步入侵提供方便。
D、还有一个办法就是装防火墙,或者端口过滤。防火墙的方法就不说了,端口过滤看这里:
过配置本地策略来禁止139/445端口的连接:
http://www.sixthroom.com/ailan/f ;... 2&RootID=284&ID=284
以上问题部份基本未做修改。原因很简单应该说的,和能想到的,前辈都写出来了。
第十一章------关于扫描出的漏洞
简单说明:
很多扫描器都有漏洞扫描功能。当你获得了一些主机的漏洞列表时,不要急着把它们帖在论坛上,期望别人来为你分析和告诉你利用的方法。你应该首先尝试自己完成这些。扫描出的漏洞并不是都有用的,一部分漏洞过时了,一部分是误报。如果你希望了解的多一些,最好经常到发布漏洞比较快的网站走一走,漏洞的利用是一个不段积累的过程。时间长了相信你就体会到了。
漏洞搜索:
绿盟的引擎 http://www.nsfocus.net/index.php?act=sec_bug ;
蓝盾的引擎 http://www.landun.org/zhongyao/sousuo.htm
补天网的引擎 http://www.patching.net/otherweb/leak/leakindex.asp ;
安全焦点的引擎 http://www.xfocus.net/vuln/index.php
小凤居的引擎 http://lilitou1.myetang.com/ ;
相关帖子:
上一篇:全面了解“基于139端口”的攻击与防范
下一篇:带你认识冰河,如果也想做个木马的话
|
精品推荐