1nbsp;首先，我們先建立一個空連接（當(dāng)然，這需要目標(biāo)開放ipc$）nbsp;命令：netnbsp;usenbsp;ipipc$nbsp;““nbsp;/user:““nbsp;注意：上面的命令包括四個空格，net與use中間有一個空格，use后面一個，密碼左右各一個空格。nbsp;2nbsp;查看遠(yuǎn)程主機(jī)的共享資源nbsp;命令：netnbsp;viewnbsp;ipnbsp;解釋：前提是建立了空連接后，用此命令可以查看遠(yuǎn)程主機(jī)的共享資源，如果它開了共享，可以得到如下面的結(jié)果，但此命令不能顯示默認(rèn)共享。nbsp;在nbsp;*.*.*.*的共享資源nbsp;資源共享名nbsp;類型nbsp;用途nbsp;注釋nbsp;-----------------------------------------------------------nbsp;NETLOGONnbsp;Disknbsp;Logonnbsp;servernbsp;sharenbsp;SYSVOLnbsp;Disknbsp;Logonnbsp;servernbsp;sharenbsp;命令成功完成。nbsp;3nbsp;查看遠(yuǎn)程主機(jī)的當(dāng)前時間nbsp;命令：nbsp;netnbsp;timenbsp;ipnbsp;解釋：用此命令可以得到一個遠(yuǎn)程主機(jī)的當(dāng)前時間。nbsp;4nbsp;得到遠(yuǎn)程主機(jī)的NetBIOS用戶名列表（需要打開自己的NBT）nbsp;命令：nbtstatnbsp;-Anbsp;ipnbsp;用此命令可以得到一個遠(yuǎn)程主機(jī)的NetBIOS用戶名列表，返回如下結(jié)果：nbsp;Nodenbsp;IpAddress:nbsp;[*.*.*.*]nbsp;Scopenbsp;Id:nbsp;[]nbsp;NetBIOSnbsp;Remotenbsp;Machinenbsp;Namenbsp;Tablenbsp;Namenbsp;Typenbsp;Statusnbsp;---------------------------------------------nbsp;SERVERnbsp;amp;lt;00amp;gt;nbsp;UNIQUEnbsp;Registerednbsp;OYAMANISHI-Hnbsp;amp;lt;00amp;gt;nbsp;GROUPnbsp;Registerednbsp;OYAMANISHI-Hnbsp;amp;lt;1Camp;gt;nbsp;GROUPnbsp;Registerednbsp;SERVERnbsp;amp;lt;20amp;gt;nbsp;UNIQUEnbsp;Registerednbsp;OYAMANISHI-Hnbsp;amp;lt;1Bamp;gt;nbsp;UNIQUEnbsp;Registerednbsp;OYAMANISHI-Hnbsp;amp;lt;1Eamp;gt;nbsp;GROUPnbsp;Registerednbsp;SERVERnbsp;amp;lt;03amp;gt;nbsp;UNIQUEnbsp;Registerednbsp;OYAMANISHI-Hnbsp;amp;lt;1Damp;gt;nbsp;UNIQUEnbsp;Registerednbsp;..__MSBROWSE__.amp;lt;01amp;gt;nbsp;GROUPnbsp;Registerednbsp;INet~Servicesnbsp;amp;lt;1Camp;gt;nbsp;GROUPnbsp;Registerednbsp;IS~SERVER......amp;lt;00amp;gt;nbsp;UNIQUEnbsp;Registerednbsp;MACnbsp;Addressnbsp;=nbsp;00-50-8B-9A-2D-37nbsp;以上就是我們經(jīng)常使用空會話做的事情，好像也能獲得不少東西喲，不過要注意一點：建立IPC$連接的操作會在Eventnbsp;Log中留下記錄，不管你是否登錄成功。nbsp;好了，那么下面我們就來看看ipc$所使用的端口是什么？nbsp;五nbsp;ipc$所使用的端口nbsp;首先我們來了解一些基礎(chǔ)知識：nbsp;1nbsp;SMB:(Servernbsp;Messagenbsp;Block)nbsp;Windows協(xié)議族，用于文件打印共享的服務(wù)；nbsp;2nbsp;NBT:(NETBiosnbsp;Overnbsp;TCP/IP)使用137（UDP）138（UDP）139（TCP）端口實現(xiàn)基于TCP/IP協(xié)議的NETBIOS網(wǎng)絡(luò)互聯(lián)。nbsp;3nbsp;在WindowsNT中SMB基于NBT實現(xiàn)，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT實現(xiàn)，還可以直接通過445端口實現(xiàn)。nbsp;有了這些基礎(chǔ)知識，我們就可以進(jìn)一步來討論訪問網(wǎng)絡(luò)共享對端口的選擇了：nbsp;對于win2000客戶端（發(fā)起端）來說：nbsp;1nbsp;如果在允許NBT的情況下連接服務(wù)器時，客戶端會同時嘗試訪問139和445端口，如果445端口有響應(yīng)，那么就發(fā)送RST包給139端口斷開連接，用455端口進(jìn)行會話，當(dāng)445端口無響應(yīng)時，才使用139端口，如果兩個端口都沒有響應(yīng)，則會話失敗；nbsp;2nbsp;如果在禁止NBT的情況下連接服務(wù)器時，那么客戶端只會嘗試訪問445端口，如果445端口無響應(yīng)，那么會話失敗。nbsp;對于win2000服務(wù)器端來說：nbsp;1nbsp;如果允許

用戶名，這屬于比較老的內(nèi)網(wǎng)滲透手段了，現(xiàn)在很多系統(tǒng)都默認(rèn)關(guān)閉了匿名枚舉和空會話，除非對方?jīng)]加固過系統(tǒng)，否則基本連不上，而且現(xiàn)在殺軟都會報這類行為為高危操作，真要搞運維還是推薦用更安全的方式比如RDP或者WinRM

username這樣的格式，這命令本質(zhì)是利用SMB協(xié)議進(jìn)行認(rèn)證連接，以前常被用來做內(nèi)網(wǎng)橫向移動，但現(xiàn)在基本都被攔截了，不僅防火墻會攔，WindowsDefender也會記錄為可疑行為，建議別在非授權(quán)環(huán)境下亂試，不然容易被封IP甚至惹上法律麻煩

用戶名這種格式才對，常用于局域網(wǎng)內(nèi)遠(yuǎn)程管理，但得注意安全風(fēng)險，現(xiàn)在大多數(shù)防火墻都默認(rèn)禁用了139和445端口，而且隨便用這種命令可能涉嫌未授權(quán)訪問，搞不好會被當(dāng)成黑客行為，建議在自己測試環(huán)境或者有明確授權(quán)的情況下再操作