一.IPC作用
利用IPC$,連接者甚至可以與目標主機建立一個連接,利用這個連接,連接者可以得到目標主機上的目錄結構、用戶列表等信息
二.ipc$的利用條件
1.139,445端口開啟。
ipc$連接可以實現遠程登陸及對默認共享的訪問;而139端口的開啟表示netbios協議的應用,我們可以通過139,445(win2000)端口實現對共享文件/打印機的訪問,因此一般來講,ipc$連接是需要139或445端口來支持的.
2. 管理員開啟了默認共享。
默認共享是為了方便管理員遠程管理而默認開啟的共享,即所有的邏輯盤(c$,d$,e$……)和系統目錄winnt或windows(admin$),我們通過ipc$連接可以實現對這些默認共享的訪問。
三.建立IPC連接、copy文件、創建計划任務
1.net use \\目標IP\ipc$ "密碼" /user:"administrator"
2.copy c:\1.bat \\192.168.75.128\C$\
3.net time \\目標IP
4.at \\192.168.75.128 15:08 c:\1.bat
四.schtasks創建計划任務
schtasks /create /tn foo1 /tr C:\Windows\apppatch\windows.exe /sc once /st 05:25 /S 18.217.*.* /RU System
第一條命令是創建計划任務,/s指定遠程機器名或ip地址,/ru指定運行任務的用戶權限,這里指定為最高的SYSTEM,/tn是任務名稱,/sc是任務運行頻率,這里指定為每天運行,並沒什么實際意義,/tr指定運行的文件,/F表示如果指定的任務已經存在,則強制創建任務並抑制警告。
第二條命令表示運行任務,其中/i表示立即運行,這就是schtasks比at好用的關鍵點,不需要和時間掛鈎,可以立即執行任務。
五.IPC連接常見錯誤
錯誤號5,拒絕訪問 : 很可能你使用的用戶不是管理員權限的,先提升權限;
錯誤號51,Windows 無法找到網絡路徑 : 網絡有問題;
錯誤號53,找不到網絡路徑 : ip地址錯誤;目標未開機;目標lanmanserver服務未啟動;目標有防火牆(端口過濾);
錯誤號67,找不到網絡名 : 你的lanmanworkstation服務未啟動;目標刪除了ipc$; 錯誤號1219,提供的憑據與已存在的憑據集沖突 : 你已經和對方建立了一個ipc$,請刪除再連。
錯誤號1326,未知的用戶名或錯誤密碼 : 原因很明顯了;
錯誤號1792,試圖登錄,但是網絡登錄服務沒有啟動 : 目標NetLogon服務未啟動。(連接域控會出現此情況)
錯誤號2242,此用戶的密碼已經過期 : 目標有帳號策略,強制定期要求更改密碼。
六.執行依靠所需條件
1、默認admin$共享關閉,無法使用psexec
2、Task scheduler關閉,無法使用at、schtasks
3、Windows Management Instrumentation服務關閉,關閉135端口無法使用wmic、wmiexec
7.PSEXEC執行原理
通過ipc$連接,然后釋放psexesvc.exe到目標機器。
通過服務管理SCManager遠程創建psexecsvc服務,並啟動服務。
客戶端連接執行命令,服務端啟動相應的程序並執行回顯數據。
8.Wmiexec.vbs執行原理
Wmiexec.vbs整個執行過程是“當用戶輸入命令時,WMI創建進程執行該命令,然后把結果輸出到文件,這個文件位於之前創建的共享文件夾。最后,通過FSO組件訪問遠程共享文件夾(需要用到445端口)中的結果文件,將結果輸出。當結果讀取完成時,調用WMI執行命令刪除結果文件。最后當WMIEXEC退出時,刪除文件共享”。
參考:
https://www.4hou.com/technology/11794.html
https://xz.aliyun.com/t/237
https://blog.csdn.net/h4ck0ne/article/details/50570747
http://twi1ight.com/2016/04/basics-of-active-directory-hacking/