四 空會話可以做什么

對于 NT ，在默認安全設置下，借助空連接可以列舉目標主機上的用戶和共享，訪問 everyone 權限的共享，訪問小部分注冊表等，并沒有什么太大的利用價值；對 2000 作用更小，因為在 Windows 2000 和以后版本中默認只有管理員和備份操作員有權從網絡訪問到注冊表，而且實現起來也不方便，需借助工具。
從這些我們可以看到，這種非信任會話并沒有多大的用處，但從一次完整的 ipc$ 入侵來看，空會話是一個不可缺少的跳板，因為我們從它那里可以得到戶列表，而大多數弱口令掃描工具就是利用這個用戶列表來進行口令猜解的，成功的導出用戶列表大大增加了猜解的成功率，僅從這一點，足以說明空會話所帶來的安全隱患，因此說空會話毫無用處的說法是不正確的。以下是空會話中能夠使用的一些具體命令：
1 首先，我們先建立一個空會話（當然，這需要目標開放 ipc$ ）
命令： net use \\ip\ipc$ "" /user:""
注意：上面的命令包括四個空格， net 與 use 中間有一個空格， use 后面一個，密碼左右各一個空格。
2 查看遠程主機的共享資源
命令： net view \\ip
解釋：前提是建立了空連接后，用此命令可以查看遠程主機的共享資源，如果它開了共享，可以得到如下面的結果，但此命令不能顯示默認共享。
在 \\*.*.*.* 的共享資源
資源共享名 類型 用途 注釋
-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。
3 查看遠程主機的當前時間
命令： net time \\ip
解釋：用此命令可以得到一個遠程主機的當前時間。
4 得到遠程主機的 NetBIOS 用戶名列表（需要打開自己的 NBT ）
命令： netstat -A ip
用此命令可以得到一個遠程主機的 NetBIOS 用戶名列表，返回如下結果：
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H < 1C > GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services < 1C > GROUP Registered
IS~SERVER......<00> UNIQUE Registered
MAC Address = 00-50-8B -9A -2D-37
以上就是我們經常使用空會話做的事情，好像也能獲得不少東西喲，不過要注意一點：建立 IPC$ 連接的操作會在 Event Log 中留下記錄，不管你是否登錄成功。 好了，那么下面我們就來看看 ipc$ 所使用的端口是什么？
五 ipc$ 所使用的端口
首先我們來了解一些基礎知識：
1 SMB:(Server Message Block) Windows 協議族，用于文件打印共享的服務；
2 NBT:(NETBios Over TCP/IP) 使用 137 （ UDP ） 138 （ UDP ） 139 （ TCP ）端口實現基于 TCP/IP 協議的 NETBIOS 網絡互聯。
3 在 WindowsNT 中 SMB 基于 NBT 實現，即使用 139 （ TCP ）端口；而在 Windows2000 中， SMB 除了基于 NBT 實現，還可以直接通過 445 端口實現。
有了這些基礎知識，我們就可以進一步來討論訪問網絡共享對端口的選擇了：
對于 win2000 客戶端（發起端）來說：
1 如果在允許 NBT 的情況下連接服務器時，客戶端會同時嘗試訪問 139 和 445 端口，如果 445 端口有響應，那么就發送 RST 包給 139 端口斷開連接，用 455 端口進行會話，當 445 端口無響應時，才使用 139 端口，如果兩個端口都沒有響應，則會話失敗；
2 如果在禁止 NBT 的情況下連接服務器時，那么客戶端只會嘗試訪問 445 端口，如果 445 端口無響應，那么會話失敗。
對于 win2000 服務器端來說：
1 如果允許 NBT, 那么 UDP 端口 137, 138, TCP 端口 139, 445 將開放（ LISTENING ）；
2 如果禁止 NBT ，那么只有 445 端口開放。
我們建立的 ipc$ 會話對端口的選擇同樣遵守以上原則。顯而易見，如果遠程服務器沒有監聽 139 或 445 端口， ipc$ 會話是無法建立的。
六 ipc 管道在 hack 攻擊中的意義
ipc 管道本來是微軟為了方便管理員進行遠程管理而設計的，但在入侵者看來，開放 ipc 管道的主機似乎更容易得手。通過 ipc 管道，我們可以遠程調用一些系統函數（大多通過工具實現，但需要相應的權限），這往往是入侵成敗的關鍵。如果不考慮這些，僅從傳送文件這一方面， ipc 管道已經給了入侵者莫大的支持，甚至已經成為了最重要的傳輸手段，因此你總能在各大論壇上看到一些朋友因為打不開目標機器的 ipc 管道而一籌莫展大呼救命。當然，我們也不能忽視權限在 ipc 管道中扮演的重要角色，想必你一定品嘗過空會話的尷尬，沒有權限，開啟管道我們也無可奈何。但入侵者一旦獲得了管理員的權限，那么 ipc 管道這把雙刃劍將顯示出它猙獰的一面。
七 ipc$ 連接失敗的常見原因
以下是一些常見的導致 ipc$ 連接失敗的原因：
1 IPC 連接是 Windows NT 及以上系統中特有的功能，由于其需要用到 Windows NT 中很多 DLL 函數，所以不能在 Windows 9.x/Me 系統中運行，也就是說只有 nt/2000/xp 才可以相互建立 ipc$ 連接， 98/me 是不能建立 ipc$ 連接的；
2 如果想成功的建立一個 ipc$ 連接，就需要響應方開啟 ipc$ 共享，即使是空連接也是這樣，如果響應方關閉了 ipc$ 共享，將不能建立連接；
3 連接發起方未啟動 Lanmanworkstation 服務（顯示名為： Workstation ）：它提供網絡鏈結和通訊，沒有它發起方無法發起連接請求；
4 響應方未啟動 Lanmanserver 服務（顯示名為： Server ）：它提供了 RPC 支持、文件、打印以及命名管道共享， ipc$ 依賴于此服務，沒有它主機將無法響應發起方的連接請求，不過沒有它仍可發起 ipc$ 連接；
5 響應方未啟動 NetLogon ，它支持網絡上計算機 pass-through 帳戶登錄身份（不過這種情況好像不多）；
6 響應方的 139 ， 445 端口未處于監聽狀態或被防火墻屏蔽；
7 連接發起方未打開 139 ， 445 端口；
8 用戶名或者密碼錯誤：如果發生這樣的錯誤，系統將給你類似于 ' 無法更新密碼 ' 這樣的錯誤提示（顯然空會話排除這種錯誤）；
9 命令輸入錯誤：可能多了或少了空格，當用戶名和密碼中不包含空格時兩邊的雙引號可以省略，如果密碼為空，可以直接輸入兩個引號 "" 即可；
10 如果在已經建立好連接的情況下對方重啟計算機，那么 ipc$ 連接將會自動斷開，需要重新建立連接。
另外 , 你也可以根據返回的錯誤號分析原因：
錯誤號 5 ，拒絕訪問：很可能你使用的用戶不是管理員權限的；
錯誤號 51 ， Windows 無法找到網絡路徑：網絡有問題；
錯誤號 53 ，找不到網絡路徑： ip 地址錯誤；目標未開機；目標 lanmanserver 服務未啟動；目標有防火墻（端口過濾）；
錯誤號 67 ，找不到網絡名：你的 lanmanworkstation 服務未啟動或者目標刪除了 ipc$ ；
錯誤號 1219 ，提供的憑據與已存在的憑據集沖突：你已經和對方建立了一個 ipc$ ，請刪除再連；
錯誤號 1326 ，未知的用戶名或錯誤密碼：原因很明顯了；
錯誤號 1792 ，試圖登錄，但是網絡登錄服務沒有啟動：目標 NetLogon 服務未啟動；
錯誤號 2242 ，此用戶的密碼已經過期：目標有帳號策略，強制定期要求更改密碼。
八 復制文件失敗的原因
有些朋友雖然成功的建立了 ipc$ 連接，但在 copy 時卻遇到了這樣那樣的麻煩，無法復制成功，那么導致復制失敗的常見原因又有哪些呢？
1 對方未開啟共享文件夾
這類錯誤出現的最多，占到 50% 以上。許多朋友在 ipc$ 連接建立成功后，甚至都不知道對方是否有共享文件夾，就進行盲目復制，結果導致復制失敗而且郁悶的很。因此我建議大家在進行復制之前務必用 net view \\IP 這個命令看一下你想要復制的共享文件夾是否存在（用軟件查看當然更好），不要認為能建立 ipc$ 連接就一定有共享文件夾存在。
2 向默認共享復制失敗
這類錯誤也是大家經常犯的，主要有兩個小方面：
1 ）錯誤的認為能建立 ipc$ 連接的主機就一定開啟了默認共享，因而在建立完連接之后馬上向 c$,d$,admin$ 之類的默認共享復制文件，一旦對方未開啟默認共享，將導致復制失敗。 ipc$ 連接成功只能說明對方打開了 ipc$ 共享，并不能說明默認共享一定存在。 ipc$ 共享與默認共享是 兩碼 事， ipc$ 共享是一個命名管道，并不是哪個實際的文件夾，而默認共享卻是實實在在的共享文件夾；
2 ）由于 net view \\IP 這個命令無法顯示默認共享文件夾（因為默認共享帶 $ ），因此通過這個命令，我們并不能判斷對方是否開啟了默認共享，因此如果對方未開啟默認共享，那么所有向默認共享進行的操作都不能成功；（不過大部分掃描軟件在掃弱口令的同時，都能掃到默認共享目錄，可以避免此類錯誤的發生）
要點：請大家一定區分 ipc 共享，默認共享，普通共享這三者的區別： ipc 共享是一個管道，并不是實際的共享文件夾；默認共享是安裝時默認打開的文件夾；普通共享是我們自己開啟的可以設置權限的共享文件夾。
3 用戶權限不夠，包括四種情形：
1 ）空連接向所有共享（默認共享和普通共享）復制時，權限是不夠的；
2 ）向默認共享復制時，在 Win2000 Pro 版中，只有 Administrators 和 Backup Operators 組成員才可以，在 Win2000 Server 版本 Server Operatros 組也可以訪問到這些共享目錄；
3 ）向普通共享復制時，要具有相應權限（即對方管理員事先設定的訪問權限）；
4 ）對方可以通過防火墻或安全軟件的設置，禁止外部訪問共享；
注意：
1 不要認為 administrator 就一定具有管理員權限，管理員名稱是可以改的
2 管理員可以訪問默認共享的文件夾，但不一定能夠訪問普通的共享文件夾，因為管理員可以對普通的共享文件夾進行訪問權限設置，如圖 6 ，管理員為 D 盤設置的訪問權限為僅允許名為 xinxin 的用戶對該文件夾進行完全訪問，那么此時即使你擁有管理員權限，你仍然不能訪問 D 盤。不過有意思的是，如果此時對方又開啟了 D$ 的默認共享，那么你卻可以訪問 D$ ，從而繞過了權限限制，有興趣的朋友可以自己做測試。
4 被防火墻殺死或在局域網
還有一種情況，那就是也許你的復制操作已經成功，但當遠程運行時，被防火墻殺掉了，導致找不到文件；或者你把木馬復制到了局域網內的主機，導致連接失敗（反向連接的木馬不會發生這種情況）。如果你沒有想到這種情況，你會以為是復制上出了問題，但實際你的復制操作已經成功了，只是運行時出了問題。
呵呵，大家也知道， ipc$ 連接在實際操作過程中會出現各種各樣的問題，上面我所總結的只是一些常見錯誤，沒說到的，大家可以給我提個醒兒。

轉載于:https://www.cnblogs.com/findeasy/archive/2011/11/17/4053220.html

總結

以上是生活随笔為你收集整理的怎么用命令开远程主机的telnet服务 2的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。