Cómo utilizar el puerto 445 para intrusión y penetración. Análisis detallado de las causas de la intrusión del puerto 445.
1 Primero, creamos una sesión vacía (por supuesto, esto requiere que el objetivo abra ipc$)
Comando: net use \\ip\ipc$ "" /usuario: ""
Nota: El comando anterior incluye cuatro espacios, un espacio entre net y use, uno después del uso y un espacio a la izquierda y a la derecha de la contraseña.
2 Ver los recursos compartidos del host remoto
Comando: net view \\ip
Explicación: La premisa es que después de que se establece una conexión vacía, use esto El comando puede ver los recursos compartidos del host remoto. Si activa el uso compartido, puede obtener los siguientes resultados, pero este comando no puede mostrar el uso compartido predeterminado.
Recursos compartidos en \\*.*.*.*
Notas de uso del tipo de nombre compartido de recurso
---- ------- ------------------------------------- ----- p>
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
El comando se completó correctamente.
3 Ver la hora actual del host remoto
Comando: net time \\ip
Explicación: use este comando para obtener la hora actual de un host remoto anfitrión.
4 Obtenga la lista de nombres de usuario NetBIOS del host remoto (debe abrir su propio NBT)
Comando: nbtstat -A ip
Utilice este comando para obtener una lista de nombres de usuario NetBIOS remotos del host, lo que arroja los siguientes resultados:
Dirección IP del nodo: [*.*.*.*] ID de alcance: []
Remoto NetBIOS Tabla de nombres de máquinas
Nombre Tipo Estado
------------------------------ ------------ ---------
SERVIDOR lt; 00gt; ÚNICO Registrado
OYAMANISHI-H lt; Registrado
OYAMANISHI-H lt; 1C gt; GRUPO Registrado
SERVIDOR lt; ÚNICO Registrado
OYAMANISHI-H lt; p>
OYAMANISHI-H lt; 1Egt; GRUPO Registrado
SERVIDOR lt; ÚNICO Registrado
OYAMANISHI-H lt; >..__MSBROWSE__.lt; 01gt; GRUPO Registrado
INet~Servicios lt; 1C gt; GRUPO Registrado
IS~SERVIDOR......lt;
Dirección MAC = 00- 50-8B -9A -2D-37
Lo anterior es para lo que a menudo usamos sesiones vacías. Parece que podemos conseguir muchas cosas. , pero tenga en cuenta una cosa: la operación de establecer una conexión IPC$ se realizará en Evento Deje un registro en el Registro, independientemente de si inició sesión correctamente o no. Bien, entonces echemos un vistazo a qué puerto utiliza ipc$.
Cinco puertos utilizados por ipc$
Primero, comprendamos algunos conocimientos básicos:
1 bloque de mensajes SMBServer) Familia de protocolos de Windows, utilizados para la impresión de archivos* * *Servicio exclusivo;
2 NBTNETBios Over TCP/IP) utiliza puertos 137 (UDP) 138 (UDP) 139 (TCP) para implementar la interconexión de red NETBIOS basada en el protocolo TCP/IP.
3 En Windows NT, SMB se implementa en base a NBT, es decir, utilizando el puerto 139 (TCP), en Windows 2000, además de implementarse en base a NBT, SMB también se puede implementar directamente a través del puerto; 445.
Con estos conocimientos básicos, podemos analizar más a fondo la elección del puerto para acceder a la red compartida:
Para el cliente win2000 (iniciador):
1 Si NBT Si se le permite conectarse al servidor, el cliente intentará acceder a los puertos 139 y 445 al mismo tiempo. Si el puerto 445 responde, enviará un paquete RST al puerto 139 para desconectarse y usar el puerto 455. Para una sesión, cuando el puerto. 445 no responde, se usa el puerto 139. Si ambos puertos no responden, la sesión falla;
2 Si el servidor está conectado cuando NBT está deshabilitado, el cliente solo intentará acceder al puerto 445. Si el puerto 445 no responde, la sesión fallará.
Para el servidor win2000:
1 Si se permite NBT, entonces los puertos UDP 137, 138, los puertos TCP 139, 445 estarán abiertos (ESCUCHA);
2 Si NBT está deshabilitado, solo el puerto 445 está abierto.
La selección de puerto para la sesión ipc$ que establecimos también sigue los principios anteriores. Obviamente, si el servidor remoto no está escuchando en el puerto 139 o 445, no se puede establecer la sesión ipc$.
La importancia de seis canalizaciones de ipc en los ataques de piratería
La canalización de ipc fue diseñada originalmente por Microsoft para facilitar la gestión remota de los administradores, pero desde la perspectiva de los intrusos, la apertura de los hosts de canalización de ipc parece ser más fácil de conseguir. A través de la canalización ipc, podemos llamar de forma remota a algunas funciones del sistema (en su mayoría implementadas a través de herramientas, pero requieren los permisos correspondientes), que a menudo es la clave para el éxito o el fracaso de una intrusión. Si no los considera, solo desde el punto de vista de la transferencia de archivos, el canal ipc ha brindado un gran apoyo a los intrusos e incluso se ha convertido en el medio de transmisión más importante. Por lo tanto, siempre puede ver a algunos amigos en los foros principales porque no pueden. Abrí el archivo. Abrí el tubo ipc de la máquina de destino pero no pude hacer nada y grité pidiendo ayuda. Por supuesto, no podemos ignorar el importante papel que desempeñan los permisos en el pipeline de IPC. Debes haber experimentado la vergüenza de una sesión vacía, no hay nada que podamos hacer si abrimos el pipeline. Pero una vez que el intruso obtenga los derechos de administrador, el arma de doble filo del oleoducto ipc mostrará su lado feroz.
Siete razones comunes para fallas en la conexión de ipc$
Las siguientes son algunas razones comunes para fallas en la conexión de ipc$:
1 La conexión IPC es Windows NT y superior. Las funciones únicas del sistema no se pueden ejecutar en sistemas Windows 9.x/Me porque requieren el uso de muchas funciones DLL en Windows NT. Es decir, sólo nt/2000/xp pueden establecer conexiones ipc$ entre sí, 98/. no puedo establecer una conexión ipc$;
2 Si desea establecer con éxito una conexión ipc$, el respondedor debe habilitar el uso compartido de ipc$ ***, incluso si es una conexión vacía. se cierra Sin el privilegio ipc$***, la conexión no se establecerá;
3 El iniciador de la conexión no ha iniciado el servicio Lanmanworkstation (nombre para mostrar: Estación de trabajo): proporciona enlaces de red y comunicaciones, y el el iniciador no puede iniciar sin él Solicitud de conexión
4 El respondedor no inició el servicio Lanmanserver (nombre para mostrar: Servidor): proporciona soporte RPC, archivos, impresión y uso compartido de canalizaciones con nombre, ipc$ depende de este servicio. , no El host no podrá responder a la solicitud de conexión del iniciador, pero la conexión ipc$ aún se puede iniciar sin ella
5 El respondedor no ha iniciado NetLogon, que admite el inicio de sesión de cuenta de paso; identidades para las computadoras en la red (pero esta situación parece ser rara);
6 Los puertos 139 y 445 del respondedor no están en estado de escucha o bloqueados por el firewall;
7 El iniciador de la conexión no ha abierto los puertos 139 y 445;
p>
8 Error de nombre de usuario o contraseña: si se produce tal error, el sistema le dará un mensaje de error similar a 'No se puede actualizar contraseña' (obviamente una sesión vacía excluye este error);
9 Error de entrada de comando: puede haber más o menos espacios Cuando el nombre de usuario y la contraseña no contienen espacios, las comillas dobles en ambos lados. se puede omitir Si la contraseña está vacía, puede ingresar directamente dos comillas ""
10 Si la otra parte reinicia la computadora cuando se ha establecido la conexión, la conexión ipc$ se desconectará automáticamente. es necesario restablecer la conexión.