Что за шара IPC$? Чего-то не могу найти информацию, зачем её

← →
Алексей Петров (2002-04-12 11:12) [0]

Windows создает.

← →
Yuri Btr (2002-04-12 11:20) [1]

Представляет собой ресурс совместного доступа к именованным каналам, которые обеспечивают связь между программами. Используется для удаленного администрирования компьютера и для просмотра общих ресурсов компьютера. Этот ресурс нельзя удалить.

← →
Fellomena (2002-04-12 11:28) [2]

Из личной коллекции:

IPC$ (меж-процессовая связь) - стандартный скрытый ресурс на NT машине, которая главным образом
используется для связи сервер-сервер. NT машины были разработаны для соединений друг с другом и
получения различных типов необходимой информации через этот ресурс. Как и со многими особенностями
проекта в любой операционной системе, хакеры научились использовать эту особенность в их собственных
целях. Соединяясь с этим ресурсом хакер получает, для всех технических целей, допустимое подключение к
вашему серверу. Соединяясь с этим ресурсом как нулевое соединение, хакер способен установить подключение
без необходимой аутентификации.

Чтобы соединиться с ресурсом IPC$ как нулевое соединение, хакер выполняет следующую команду:

c:\>net use \\[ip address of target machine]\ipc$ "" /user:""

Если подключение успешно, хакер может делать множество других вещей, кроме как подбор имён
пользователей, но давайте сначала поговорим именно об этом. Как упомянуто ранее, эта методика требует
нулевого сеанса IPC и инструментальных средств SID, которые написал Evgenii Rudnyi. Инструментальные
средства SID состоят из двух различных частей, User2sid и Sid2user. User2sid будет брать имя аккаунта или
группы и давать Вам соответствующий SID. Sid2user будет брать SID и давать Вам имя соответствующего
пользователя или группы. Как автономный инструмент, это - процесс ручной и очень требует время. Userlist.pl -
perl скрипт, написанный Mnemonix, который автоматизирует этот процесс размола SID, он решительно
сокращает время, трубующееся хакеру на подбор информации.

На данном этапе хакер знает какие услуги выполняются на удаленной машине, какие главные пакеты программ
были установлены (в некоторых пределах), и имеет список правильных имён пользователей и групп для
данной машины. Хотя это может походить на тонну информации для постороннего, чтобы иметь её
относительно вашей сети, нулевой сеанс IPC открыл другие способы сбора информации. Группа Rhino9
разработала полную политику защиты для удаленной машины. Такие вещи, как блокировка аккаунта,
минимальная длина пароля, возраст пароля, уникальность пароля для каждого пользователя и группы, которой
он принадлежит, и индивидуальные ограничения домена для данного пользователя - все через нулевой сеанс
IPC. Некоторые из доступных инструментальных средств для сбора большего количества информации через
нулевой сеанс IPC, будут обсуждены ниже.

При помощи нулевого сеанса IPC хакер может также получить список сетевых ресурсов, которые не могут
иначе быть доступны. По очевидным причинам, хакер хотел бы знать то, какие сетевые ресурсы Вы имеете
доступными на ваших машинах. Для сбора такой информации используется стандартная сетевая команда
следующим образом:

c:\>net view \\[IP-адрес целевой машины]

В зависимости от политики защиты целевой машины, этот список может или не может быть отклонен. Пример
ниже (ip-адрес не был указан по очевидным причинам):

C:\>net view \\0.0.0.0
System error 5 has occurred.

В доступе отказано.

C:\>net use \\0.0.0.0\ipc$ "" /user:""
The command completed successfully.

C:\>net view \\0.0.0.0
Shared resources at \\0.0.0.0

Share name Type Used as Comment
-------------------------------------------------------------------------------
Accelerator Disk Agent Accelerator share for Seagate backup
Inetpub Disk
mirc Disk
NETLOGON Disk Logon server share
www_pages Disk

Команда выполнилась успешно.

Как Вы можете видеть, список ресурсов на этом сервере не был доступен, пока не был установлен нулевой
сеанс IPC. Теперь вы начинаете понимать, насколько может быть опасно это подключение IPC, но методы
IPC, известные нам, фактически самые основные. Возможности, предоставленные ресурсом IPC, только
начинают исследоваться.

← →
Fellomena (2002-04-12 11:34) [3]

Хех... хотя на самом деле возможности все давно исследованы.
Если сервак на NT ставишь - то рекомендую посмотреть на www.securityfocus.com/bid/

← →
IronHawk (2002-04-12 14:17) [4]

> Fellomena (12.04.02 11:34)

Эх, уважаемая дама, еслиб всё было так росто как вы процитировали ....

← →
Alexandr (2002-04-12 14:23) [5]

Это для Named Pipe в NetBIOS.
Типизованный каналы.

← →
Алексей Петров (2002-04-12 15:33) [6]

Что за шара IPC$? Чего-то не могу найти информацию, зачем её Найти похожие ветки