IPC$入侵：远程磁盘映射

IPC$入侵：远程磁盘映射

IPC$介绍：

IPC$是Windows系统特有的一项管理功能，是微软公司为了方便用户使用计算机而设计的，主要用来远程管理计算机的。

但事实上使用这个功能的黑客可以通过建立IPC$连接与远程主机实现通信和控制。

通过IPC$连接的建立，黑客能够做到：

1 建立、拷贝、删除远程计算机文件；

2 在远程计算机上执行命令。

 

远程文件操作：

相关知识

 

什么是IPC

IPC是英文Internet Process Connection的缩写，可以理解为“命名管道”资源，它是Windows操作系统提供的一个通信基础，用来在两台计算机进程之间建立通信连接。

而IPC后面的“$”是Windows系统所使用的隐藏符号，因此“IPC$”表示IPC共享，但是是隐藏的共享。

IPC$是Windows NT及Windows 2000/XP/2003特有的一项功能，通过这项功能，一些网络程序的数据交换可以建立在IPC上面，实现远程访问和管理计算机。打个比方，IPC连接就像是挖好的地道，通信程序就通过这个IPC地道访问目标主机。

默认情况下IPC是共享的，除非手动删除IPC$。

通过IPC$连接，入侵者就能够实现远程控制目标主机。因此，这种基于IPC的入侵也常常被简称为IPC入侵。

 

Windows操作系统的默认共享

为了配合IPC共享工作，Windows操作系统（不包括Windows 98系列）在安装完成后，自动设置共享的目录为：C盘、D盘、E盘、ADMIN目录（C:\WINNT\）等，即为ADMIN$、C$、D$、E$等等，但要注意，这些共享是隐藏的，只有管理员能够对他们进行远程操作。

 

 

演示：在MS-DOS中键入“net share”命令来查看本机共享资源。

 

 

    如何消除默认共享？

DOS命令

下面介绍几个比较基础DOS命令，这些都是DOS中经常使用的命令。

DIR命令：

列出当前路径下的文件，常常用来查看想要找的文件是否在该路径下。

 

CD命令：

进入指定的目录。比如，想进入E盘中的CODE文件夹，则在E:\>下键入“CD CODE”命令。

 

 

net命令

net user：系统账号类操作；

net localgroup：系统组操作

net use：远程连接、映射操作

net send：信使命令

net time：查看远程主机系统时间

cls命令：清屏命令。

netstat -n命令：查看本机网络连接状态

nbtstat -a IP命令：查看指定IP主机的NetBIOS信息。

 

 

 

 

 

 

 

黑客实例：远程磁盘映射

下面用实例来介绍如何建立和断开IPC$连接，看看入侵者是如何将远程磁盘映射到本地的。

 

条件：

通过IPC$连接进行入侵的条件是已获得目标主机管理员账号和密码。

 

 

 

步骤一：单击“开始”→“运行”，在“运行”对话框中键入“CMD”命令，如图所示。

 

步骤二：建立IPC$连接。

使用命令：net use \\IP\IPC$"PASSWD" /USER: "ADMIN"与目标主机建立IPC$连接。

参数说明：

  IP：目标主机的IP。

  IPC$：前面已经介绍过。

  PASSWD：已经获得的管理员密码。

  ADMIN：已经获得的管理员账号。

 

开始键入命令

net use \\222.200.1.191\ipc$ " "/user:"administrator"。

如图所示。

 

 

 

步骤三：映射网络驱动器。

 

使用命令：net use z: \\222.200.1.191\c$

 

参数说明：

 “\\222.200.1.191\c$”表示目标主机222.200.1.191上的C盘，其中“$”符号表示隐藏的共享。

 “z:”表示将远程主机的C盘映射为本地磁盘的盘符。

该命令表示把222.200.1.191这台目标主机上的C盘映射为本地的Z盘，如图所示。

 

 

映射成功后，打开“我的电脑”，会发现多出一个Z盘，上面写着“C$位于222.200.1.191上”，该磁盘即为目标主机的C盘，如图所示。

 

 

步骤四：查找指定文件。

用鼠标右键单击Z盘，在弹出菜单中选择“搜索”，查找关键字“自己定”，等待一段时间后，会得到的结果。

然后将文件拷贝、粘贴到本地磁盘，其拷贝、粘贴操作就像对本地磁盘进行操作一样。

 

 

 

步骤五：断开连接。

先 net use 查看所有IPC$连接。

键入“net use * /del”命令断开所有IPC$连接，如图所示。

参数说明：

 “*”表示所有的连接。

 “/Del”表示删除。

 

通过命令net use \\目标IP\ipc$ /del可以删除指定目标IP的IPC$连接。