ipc$常见问题(ZT)

钉子 · 发表于 2003-9-3 10:51:56

1，怎样建立空连接，它有什么用？ 
答：使用命令 net use \\IP\ipc$ "" /user:"" 就可以简单地和目标建立一个空连接（需要目标开放ipc$）。 对于NT，在默认安全设置下，借助空连接可以列举目标用户、共享，访问everyone权限的共享，访问小部分注册表等，没有什么利用价值。对2000作用就更小了。而且实现也不方便，需借助工具。如果你不理解“没用”的东西为什么还会存在，就看看“专业”的解释吧： 在NT/2000下的空连接 <a target=_blank href=http://www.3389.net/bbs/dispbbs.asp?boardID=22&RootID=3424&ID=3424&page=1>http://www.3389.net/bbs/dispbbs.asp?boardID=22&RootID=3424&ID=3424&page=1</a>： 解剖WIN2K下的空会话 <a target=_blank href=http://www.sandflee.net/txt/list.asp?id=117>http://www.sandflee.net/txt/list.asp?id=117</a> ; 
 
2，为什么我连不上IPC$？ 
答：1，只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功能的。 2，确认你的命令没有打错。正确的命令是： net use \\目标IP\ipc$ "密码" /user:"用户名" 注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用""表示。 
 
3，根据返回的错误号分析原因： 
错误号5，拒绝访问：很可能你使用的用户不是管理员权限的，先提升权限； 
错误号51，Windows 无法找到网络路径 : 网络有问题； 
错误号53，找不到网络路径： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）； 
错误号67，找不到网络名：你的lanmanworkstation服务未启动；目标删除了ipc$； 
错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连。 
错误号1326，未知的用户名或错误密码：原因很明显了； 
错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动。（连接域控会出现此情况） 
错误号2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。 
 
4，关于ipc$连不上的问题比较复杂，没有总结出一个统一的认识，我在肉鸡上实验有时会得出矛盾的结论，十分棘手。而且知道了问题所在，如果没有用其他办法获得shell，很多问题依然不能解决。问题过于细致后就不适合在本文章里探讨了。各位看着办吧，呵呵。 
 
5，怎样打开目标的IPC$？ 答：首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马。当然，这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上一问题可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）。还是不行的话（比如有防火墙，杀不了）建议放弃。 
 
6，怎样映射和访问默认共享？ 
答：使用命令 net use z: \\目标IP\c$ "密码" /user:"用户名" 将对方的c盘映射为自己的z盘，其他盘类推。 如果已经和目标建立了ipc$，则可以直接用IP加盘符加$访问。比如 copy muma.exe \\IP\d$\path\muma.exe 。或者再映射也可以，只是不用用户名和密码了：net use y: \\IP\d$ 。然后 copy muma.exe y:\path\muma.exe 。当路径中包含空格时，须用""将路径全引住。 
 
7，如何删除映射和ipc$连接？ 
答：用命令 net use \\IP\ipc$ /del 删除和一个目标的ipc$连接。 
用命令 net use z: /del 删除映射的z盘，其他盘类推。 
用命令 net use * /del 删除全部。会有提示要求按y确认。 
 
8，连上ipc$然后我能做什么？ 
答：能使用管理员权限的帐号成功和目标连接ipc$，表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具（比如pstools系列、Win2000SrvReskit、telnethack等）获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享（没开你就帮他开），你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具（木马）还具有直接控屏的功能。如果是2000server，还可以考虑开启终端服务方便控制。这里提到的工具的使用，请看自带的说明或相关教程。 
9，怎样防止别人用ips$和默认共享入侵我？ 
答：A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。 
1，先把已有的删除 
net share ipc$ /del 
net share admin$ /del 
net share c$ /del 
…………（有几个删几个） 
2，禁止别人空连接 
　　首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous（DWORD）的键值改为：00000001。 
3，禁止自动打开默认共享 对于server版，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。 对于pro版，则是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。 如果上面所说的主键不存在，就新建一个再改键值。 
B、另一种是关闭ipc$和默认共享依赖的服务（不推荐） net stop lanmanserver 可能会有提示说，XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。 
C、最简单的办法是设置复杂密码，防止通过ipc$穷举密码。但如果你有其他漏洞，ipc$将为进一步入侵提供方便。 
D、还有一个办法就是装防火墙，或者端口过滤。

钉子 · 发表于 2003-6-23 16:18:22

在网络中的另一计算机上，单击开始，然后单击运行。 
键入 \\<服务器名>\<共享名>，其中 <共享名> 是您在上面的设置共享步骤中配置的目录的名称。 
在系统管理器中查看虚拟服务器和目录权限 
在 IIS 中，您可以对虚拟目录或虚拟服务器设置权限，以允许以下操作： 
 
读访问读取和打开公告、邮件等。 
写访问在公共文件夹中张贴公告，发送邮件，等等。 
脚本资源访问下载脚本的源代码，而非运行脚本。 
目录浏览查看一个文件夹的内容。 
执行许可运行脚本或可执行文件。 
确保按照您的组织的需要配置这些权限。例如，如果您将一个虚拟目录仅用于访问一个邮箱服务器，则默认设置为启用读、写、脚本资源访问和目录浏览权限，而执行许可设置为无。 
 
在 IIS 中验证虚拟服务器和目录权限 
本节讲述如何使用 Internet 服务管理器 MMC 管理单元来确保 Outlook Web Access 使用的 IIS 目录的权限已正确分配。 
 
打开 Internet 服务管理器 
 
单击开始，指向程序，再指向管理工具，然后单击 Internet 服务管理器。 
在 Internet 信息服务中，验证下面的权限是否正确。 
 
验证对 Exchweb 虚拟目录的权限 
 
在 Internet 信息服务中，单击展开本地计算机对象，单击展开 Web 站点，然后单击默认 Web 站点。 
在细节窗格中，右键单击 Exchweb，然后单击属性。 
在虚拟目录选项卡上，验证读是否已选中。 
验证对 Exchweb\bin 虚拟目录的权限 
 
在 Internet 信息服务中，单击展开本地计算机对象，单击展开 Web 站点，单击展开默认 Web 站点，然后单击 Exchweb。 
在细节窗格中，右键单击 bin，然后单击属性。 
在虚拟目录选项卡上，验证： 
读已选中 
在应用程序设置下，执行许可已设置为 Scripts and Executables（脚本和可执行文件） 
Exchweb\bin 中的应用程序保护 
Outlook Web Access 使用的 ASP 页存储在 Exchweb\bin\<lang> 文件夹中（其中 <lang> 指语言）。如想使任何 ASP 页运行，必须对 Exchweb\bin 虚拟目录或其父目录之一启用应用程序保护。应用程序保护确定应用程序是与 Web 服务在同一进程中运行，在所有应用程序共享的独立汇集进程中运行，还是在与其他应用程序分离的独立汇集进程中运行。 
 
如果您在访问 Exchweb\bin\<lang> 目录中的一个 ASP 页时收到 HTTP 500 错误，但在 Exchweb 中检索其他项（如 .gif 文件）能够正常进行，则可能是对 Exchweb\bin 目录、Exchweb 目录或 HTTP 虚拟服务器未启用应用程序保护。 
 
启用应用程序保护 
 
在 Internet 信息服务中，单击展开本地计算机对象，单击展开 Web 站点，单击展开默认 Web 站点，然后单击 Exchweb。 
在细节窗格中，右键单击 bin，然后单击属性。 
在虚拟目录选项卡的应用程序设置下，单击创建。 
在应用程序保护列表中，选择适当的保护级别：低（IIS 进程）、中等（池）或高（独立）。 
确保复制 IIS 设置 
Exchange 将配置信息存储在 Active Directory 中，IIS 将配置信息存储在元数据库（计算机上的一个本地数据库）中。Exchange System Attendant（Exchange 系统助理）服务确保将 Exchange HTTP 虚拟服务器的配置信息复制到本地元数据库，从而使 IIS 能够访问这些信息。 
 
这种复制只能单向进行；所以，在元数据库 (IIS) 中所作的更改不会复制给 Active Directory (Exchange)。因此，某些配置更改必须在系统管理器（而非 Internet 服务管理器）中进行。复制过程在系统助理运行时每隔 15 分钟发生一次，或者在 Exchange 系统管理器中执行更改后也会立即进行复制。 
 
当您在 Internet 服务管理器中查看 IIS 配置设置时，您就是直接在元数据库中查看配置。如果某个复选框在 IIS（Internet 服务管理器）中未选中，但它在 Exchange（系统管理器）中选中了，则在目录中选中的属性的值有效，但元数据库中的这个值无效。 
 
使用系统管理器，仅在 Exchange 中设置以下配置： 
 
除默认 Exchange HTTP 虚拟服务器以外的虚拟服务器的主机标题和 IP 地址 
身份验证方法 
读/写和其他权限 
使用 Internet 服务管理器，仅在 IIS 中设置以下配置： 
 
默认虚拟服务器的主机标题和 IP 地址 
安全套接字层 (SSL) 
HTTP 登录 
作为一般规则，如果系统管理器中存在执行操作的 UI，则请使用系统管理器。如果系统管理器中没有所需的 UI，请使用 Internet 服务管理器。 
 
复制问题症状 
有两种主要症状表明从 Exchange 到 IIS 的复制过程可能有问题： 
 
如果您以某种方式配置一个选项，但 20 分钟后发现该选项已重置，则可能是您在 Internet 服务管理器中配置了一个本应在系统管理器中配置的选项。 
如果您在系统管理器中配置了一个选项，但该配置没有以同样的配置设置出现在 Internet 服务管理器中（等 30 分钟让复制完成），则很可能根本没有发生复制。验证“系统助理”是否在运行，并验证计算机是否能访问 Active Directory。 
疑难解答工具 
本节讨论可用来帮助您对常见 Outlook Web Access 问题（例如本文讨论的问题）进行疑难解答的一些工具。 
 
网络监视器网络监视器用于监视通讯量并判定前端服务器和其他服务器之间发生的确切情况。设置一个与服务器连接的客户端，监视客户端浏览器和 Exchange 服务器之间的通讯量。如果您使用 SSL，将无法查看网络通讯量，因为它是加密的。 
事件查看器事件日志文件用于提供可帮助您缩小问题范围的错误号和错误描述。查找事件 ID，并在 Microsoft 知识库中搜索这些 ID。这些项可提供问题的线索。 
IIS 日志使用 IIS 日志文件可让您知道访问了哪些资源，以及返回到浏览器的任何错误。这些日志文件在使用了 SSL 而网络监视器选项不可用的情况下尤其有用。 
不同的浏览器使用一个以上的浏览器来重现问题。正如前面所提到的，最好使用一个以上的浏览器或客户机来重现问题。除主浏览器外，再安装一些浏览器。遇到问题后，尝试使用多个浏览器重现这些问题。

		自动登录	找回密码
密码			会员注册

ipc$常见问题(ZT)

Re:Microsoft Exchange 2000 Server 中 Outlook Web Access 疑难解答