> 资讯 >

Windows系统空连接的入侵与防御!

时间:2023-05-25 09:06:30       来源:一往无前得旅途

IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。


(相关资料图)

IPC$是 NT/2000开始的一项新功能,它有一个特点,即在同一时间内,两个 IP 之间只允许建立一个连接。NT/2000在提供了 ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$… )和系统目录 winnt 或 windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。

平时我们常听到有人在说 ipc$漏洞,其实 ipc$并不是一个真正意义上的漏洞, 之所以有人这么说,是指微软自己安置的那个“后门”空会话( Null session )。

如何高效而简单的 ipc$入侵?

psexec.exe \\IP-u 管理员帐号-p 密码 cmd

用这个工具我们可以一步到位的获得 shell

OpenTelnet.exe \\server管理员帐号密码 NTLM 的认证方式 port

用它可以方便的更改 telnet 的验证方式和端口,可以方便登陆。

如何IPC$防御?

我们采用修改注册表的“restrictanonymous”键值方法进行防御,操作方法如下。

按住【Win +R 】健打开运行窗口,输入“regedit”命令,然后点击【确定】按钮打开注册表编辑器。

在打开的注册表编辑器窗口中,我们先定位到计算机

【HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Lsa】注册表项。

鼠标右键点击该键值,在弹出菜单中选择“修改”菜单项,将值修改为“1”,单击【确定】按钮保存,重新启动计算机后,就不会再生成IPC$空连接。

关键词: