IPC入侵命令(2)

4）显示本地主机当前启动的服务

net start

5）启动/关闭本地服务

net start 服务名

net stop 服务名

6）在本地添加帐户

net user 帐户名 密码 /add

7）激活禁用的用户

net uesr 帐户名 /active:yes

8）加入管理员组

net localgroup administrators 帐户名 /add

很显然的是，虽然这些都是本地命令，但如果你在远程主机的shell中输入，比如你telnet成功后输入上面这些命令，那么这些本地输入将作用在远程主机上。

如何防范ipc$入侵察看本地共享资源

运行-cmd-输入net share

删除共享(每次输入一个）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)

运行regedit，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：1

如果设置为"1"，一个匿名用户仍然可以连接到IPC$共享，但无法通过这种连接得到列举SAM帐号和共享信息的权限；在Windows 2000 中增加了"2"，未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在，就新建一个再改键值。如果你觉得改注册表麻烦，可以在本地安全设置中设置此项： 在本地安全设置－本地策略－安全选项－'对匿名连接的额外限制'

2 禁止默认共享

1）察看本地共享资源

运行-cmd-输入net share

2）删除共享（重起后默认共享仍然存在）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

3）停止server服务

net stop server /y （重新启动后server服务会重新开启）

4）禁止自动打开默认共享（此操作并不能关闭ipc$共享）

运行-regedit

server版:找到如下主键

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把