黑客技術——ipc$命令所使用的端口

首先我們來了解一些基礎知識：

1 SMB:(Server Message Block) Windows協議族，用于文件打印共享的服務；

2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口實現基于TCP/IP協議的NETBIOS網絡互聯。

3 在WindowsNT中SMB基于NBT實現，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT實現，還可以直接通過445端口實現。

有了這些基礎知識，我們就可以進一步來討論訪問網絡共享對端口的選擇了：

對于win2000客戶端（發起端）來說：

1 如果在允許NBT的情況下連接服務器時，客戶端會同時嘗試訪問139和445端口，如果445端口有響應，那么就發送RST包給139端口斷開連接，用455端口進行會話，當445端口無響應時，才使用139端口，如果兩個端口都沒有響應，則會話失??；

2 如果在禁止NBT的情況下連接服務器時，那么客戶端只會嘗試訪問445端口，如果445端口無響應，那么會話失敗。

對于win2000服務器端來說：

1 如果允許NBT, 那么UDP端口137, 138, TCP 端口 139, 445將開放（LISTENING）；

2 如果禁止NBT，那么只有445端口開放。

我們建立的ipc$會話對端口的選擇同樣遵守以上原則。顯而易見，如果遠程服務器沒有監聽139或445端口，ipc$會話是無法建立的。

黑客技術——ipc管道在黑客攻擊中的意義

ipc管道本來是微軟為了方便管理員進行遠程管理而設計的，但在入侵者看來，開放ipc管道的主機似乎更容易得手。通過ipc管道，我們可以遠程調用一些系統函數（大多通過工具實現，但需要相應的權限），這往往是入侵成敗的關鍵。如果不考慮這些，僅從傳送文件這一方面，ipc管道已經給了入侵者莫大的支持，甚至已經成為了最重要的傳輸手段，因此你總能在各大論壇上看到一些朋友因為打不開目標機器的ipc管道而一籌莫展大呼救命。當然，我們也不能忽視權限在ipc管道中扮演的重要角色，想必你一定品嘗過空會話的尷尬，沒有權限，開啟管道我們也無可奈何。但入侵者一旦獲得了管理員的權限，那么ipc管道這把雙刃劍將顯示出它猙獰的一面。

黑客技術——ipc$連接失敗的常見原因

以下是一些常見的導致ipc$連接失敗的原因：

1 IPC連接是Windows NT及以上系統中特有的功能，由于其需要用到Windows NT中很多DLL函數，所以不能在Windows 9.x/Me系統中運行，也就是說只有nt/2000/xp才可以相互建立ipc$連接，98/me是不能建立ipc$連接的；

2 如果想成功的建立一個ipc$連接，就需要響應方開啟ipc$共享，即使是空連接也是這樣，如果響應方關閉了ipc$共享，將不能建立連接；

3 連接發起方未啟動Lanmanworkstation服務（顯示名為：Workstation）：它提供網絡鏈結和通訊，沒有它發起方無法發起連接請求；

4 響應方未啟動Lanmanserver服務（顯示名為：Server）：它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依賴于此服務，沒有它主機將無法響應發起方的連接請求，不過沒有它仍可發起ipc$連接；

5 響應方未啟動NetLogon，它支持網絡上計算機 pass-through 帳戶登錄身份（不過這種情況好像不多）；

6 響應方的139，445端口未處于監聽狀態或被防火墻屏蔽；

7 連接發起方未打開139，445端口；

8 用戶名或者密碼錯誤：如果發生這樣的錯誤，系統將給你類似于'無法更新密碼'這樣的錯誤提示（顯然空會話排除這種錯誤）；

9 命令輸入錯誤：可能多了或少了空格，當用戶名和密碼中不包含空格時兩邊的雙引號可以省略，如果密碼為空，可以直接輸入兩個引號""即可；

10 如果在已經建立好連接的情況下對方重啟計算機，那么ipc$連接將會自動斷開，需要重新建立連接。 

另外,你也可以根據返回的錯誤號分析原因： 

錯誤號5，拒絕訪問：很可能你使用的用戶不是管理員權限的； 

錯誤號51，Windows無法找到網絡路徑：網絡有問題； 

錯誤號53，找不到網絡路徑：ip地址錯誤；目標未開機；目標lanmanserver服務未啟動；目標有防火墻（端口過濾）； 

錯誤號67，找不到網絡名：你的lanmanworkstation服務未啟動或者目標刪除了ipc$； 

錯誤號1219，提供的憑據與已存在的憑據集沖突：你已經和對方建立了一個ipc$，請刪除再連； 

錯誤號1326，未知的用戶名或錯誤密碼：原因很明顯了； 

錯誤號1792，試圖登錄，但是網絡登錄服務沒有啟動：目標NetLogon服務未啟動；

錯誤號2242，此用戶的密碼已經過期：目標有帳號策略，強制定期要求更改密碼。 

黑客技術——復制文件失敗的原因

有些朋友雖然成功的建立了ipc$連接，但在copy時卻遇到了這樣那樣的麻煩，無法復制成功，那么導致復制失敗的常見原因又有哪些呢？

1 對方未開啟共享文件夾

這類錯誤出現的最多，占到50%以上。許多朋友在ipc$連接建立成功后，甚至都不知道對方是否有共享文件夾，就進行盲目復制，結果導致復制失敗而且郁悶的很。因此我建議大家在進行復制之前務必用net view \\IP這個命令看一下你想要復制的共享文件夾是否存在（用軟件查看當然更好），不要認為能建立ipc$連接就一定有共享文件夾存在。

2 向默認共享復制失敗

這類錯誤也是大家經常犯的，主要有兩個小方面：

1）錯誤的認為能建立ipc$連接的主機就一定開啟了默認共享，因而在建立完連接之后馬上向c$,d$,admin$之類的默認共享復制文件，一旦對方未開啟默認共享，將導致復制失敗。ipc$連接成功只能說明對方打開了ipc$共享，并不能說明默認共享一定存在。ipc$共享與默認共享是兩碼事，ipc$共享是一個命名管道，并不是哪個實際的文件夾，而默認共享卻是實實在在的共享文件夾；

2）由于net view \\IP 這個命令無法顯示默認共享文件夾（因為默認共享帶$），因此通過這個命令，我們并不能判斷對方是否開啟了默認共享，因此如果對方未開啟默認共享，那么所有向默認共享進行的操作都不能成功；（不過大部分掃描軟件在掃弱口令的同時，都能掃到默認共享目錄，可以避免此類錯誤的發生）

要點：請大家一定區分ipc共享，默認共享，普通共享這三者的區別：ipc共享是一個管道，并不是實際的共享文件夾；默認共享是安裝時默認打開的文件夾；普通共享是我們自己開啟的可以設置權限的共享文件夾。

3用戶權限不夠，包括四種情形：

1）空連接向所有共享（默認共享和普通共享）復制時，權限是不夠的；

2）向默認共享復制時，在Win2000 Pro版中，只有Administrators和Backup Operators組成員才可以，在Win2000 Server版本 Server Operatros組也可以訪問到這些共享目錄； 

3）向普通共享復制時，要具有相應權限（即對方管理員事先設定的訪問權限）；

4）對方可以通過防火墻或安全軟件的設置，禁止外部訪問共享；

注意：

1 不要認為administrator就一定具有管理員權限，管理員名稱是可以改的

2 管理員可以訪問默認共享的文件夾，但不一定能夠訪問普通的共享文件夾，因為管理員可以對普通的共享文件夾進行訪問權限設置，如圖6，管理員為D盤設置的訪問權限為僅允許名為xinxin的用戶對該文件夾進行完全訪問，那么此時即使你擁有管理員權限，你仍然不能訪問D盤。不過有意思的是，如果此時對方又開啟了D$的默認共享，那么你卻可以訪問D$，從而繞過了權限限制，有興趣的朋友可以自己做測試。

4被防火墻殺死或在局域網

還有一種情況，那就是也許你的復制操作已經成功，但當遠程運行時，被防火墻殺掉了，導致找不到文件；或者你把木馬復制到了局域網內的主機，導致連接失?。ǚ聪蜻B接的木馬不會發生這種情況）。如果你沒有想到這種情況，你會以為是復制上出了問題，但實際你的復制操作已經成功了，只是運行時出了問題。

黑客技術——關于at命令和xp對ipc$的限制

本來還想說一下用at遠程運行程序失敗的原因，但考慮到at的成功率不是很高，問題也很多，在這里就不提它了（提的越多，用的人就越多），而是推薦大家用psexec.exe遠程運行程序，假設想要遠程機器執行本地c:\xinxin.exe文件，且管理員為administrator，密碼為1234，那么輸入下面的命令：

psexec \\ip -u administrator -p 1234 -c c:\xinxin.exe

如果已經建立ipc連接，則-u -p這兩個參數不需要，psexec.exe將自動拷貝文件到遠程機器并運行。

本來xp中的ipc$也不想在這里討論，想單獨拿出來討論，但看到越來越多的朋友很急切的提問為什么遇到xp的時候，大部分操作都很難成功。我在這里就簡單提一下吧，在xp的默認安全選項中，任何遠程訪問僅被賦予來賓權限，也就是說即使你是用管理員帳戶和密碼，你所得到的權限也只是Guest，因此大部分操作都會因為權限不夠而失敗，而且到目前為止并沒有一個好的辦法來突破這一限制。所以如果你真的得到了xp的管理員密碼，我建議你盡量避開ipc管道。

黑客技術——如何打開目標的IPC$共享以及其他共享

目標的ipc$不是輕易就能打開的，否則就要天下打亂了。你需要一個admin權限的shell，比如telnet，木馬，cmd重定向等，然后在shell下執行：

net share ipc$

開放目標的ipc$共享；

net share ipc$ /del

關閉目標的ipc$共享；如果你要給它開共享文件夾，你可以用：

net share xinxin=c:\

這樣就把它的c盤開為共享名為xinxin共享文件夾了。（可是我發現很多人錯誤的認為開共享文件夾的命令是net share c$，還大模大樣的給菜鳥指指點點，真是誤人子弟了）。再次聲明，這些操作都是在shell下才能實現的。

黑客技術——一些需要shell才能完成的命令

看到很多教程這方面寫的十分不準確，一些需要shell才能完成命令就簡簡單單的在ipc$連接下執行了，起了誤導作用。那么下面我總結一下需要在shell才能完成的命令：

1 向遠程主機建立用戶，激活用戶，修改用戶密碼，加入管理組的操作需要在shell下完成；

2 打開遠程主機的ipc$共享，默認共享，普通共享的操作需要在shell下完成；

3 運行/關閉遠程主機的服務，需要在shell下完成；

4 啟動/殺掉遠程主機的進程，也需要在shell下完成（用軟件的情況下除外，如pskill）。

ipc$連接在實際操作過程中會出現各種各樣的問題，本文就為大家總結這么多內容，如有遺漏歡迎指正。