​

很多刚接触内网渗透的同学都会有一个疑问：
Windows 为啥默认就开着 IPC$、C$、ADMIN$ 这种"看起来就很危险"的共享？

更反直觉的是：

• 都 2026 年了
• EDR、零信任、最小权限喊得震天响

👉 这些共享不仅还在，而且在域环境里你根本关不掉。

这篇文章，把它一次性讲清楚。

一、先说结论：这些不是漏洞，是 Windows 的"命门"

一句话总结：

IPC$、C$、ADMIN$ 不是给普通用户用的，
是给"系统和管理员隔着网络干活"用的。

如果没有它们：

• 域控无法管理主机
• GPO 无法下发
• 远程补丁、运维、批量管理全部失效
• PsExec / wmiexec / smbexec 全部不能用

Windows 的远程管理能力，本质上 100% 建立在这些共享之上。

二、什么是"隐藏共享"？为什么都带 $

你平时在资源管理器里看不到它们，是因为：

• 以 $ 结尾的共享 = 隐藏共享
• 不会显示在“网络”或“共享列表”中
• 但：知道名字 + 有权限 = 可以直接访问

📌 注意：
这只是 UI 层面的隐藏，不是安全机制。

三、IPC$：SMB 世界的"控制通道"

1. IPC$ 是干嘛的？

IPC$ 全名是 Inter-Process Communication。

它不是用来存文件的，而是：

SMB 会话建立后，用来传输控制指令和管理通信的通道

包括：

• RPC 通信
• Named Pipe
• 远程管理请求

2.一个你无数次见过的命令net use \\target\IPC$ /user:Administrator password


很多人以为这是“挂载个共享”，但它真正的含义是：

"我用这个身份，和目标主机建立一条可信的管理信道"

3. IPC$ 里真正干活的东西（重点）

👉 PsExec / wmiexec / smbexec 的第一步，永远是 IPC$

四、C$ / ADMIN$：真正"动手"的地方

1. C$ 是什么？C$ → C 盘根目录
D$ → D 盘根目录


访问条件：

• 本地管理员
• 域管理员

它的用途一句话就够了：

远程写文件、落地执行、拉取数据

2. PsExec 的真实执行链（非常关键）1️⃣ 连接 IPC$（身份验证）
2️⃣ 通过 C$ 写入 exe 到 C:\Windows\Temp
3️⃣ 通过 svcctl 创建服务
4️⃣ 启动服务 → 执行命令
5️⃣ 清理文件和服务


所以你会遇到一种经典情况：

IPC$ 能连，但 PsExec 执行失败

原因往往不是票据，而是：

• 无法访问 C$
• 或无法创建服务（svcctl）

3.ADMIN$ 又是干嘛的？ADMIN$ → C:\Windows


主要用于：

• 系统级文件管理
• 补丁更新
• GPO 下发
• 域运维工具

在域环境中，这是刚需共享。

五、为什么 Windows 非要这么设计？

原因其实很“历史遗留”。

Windows 的核心设计目标一直是：

"让一个管理员，远程管理成百上千台主机"

所以优先级是：

1.可管理 2.可扩展 3.最后才是安全

结果就是：

• SMB 默认开启
• 管理共享默认存在
• 管理员 = 高度信任角色

六、从攻防视角看：为什么它们这么重要

对攻击者来说：

👉 只要拿到"能访问 IPC$和C$的身份， 横向移动就只剩下工程问题。

七、防守方为什么"明知危险却关不掉"

现实情况是：

• 关 IPC$ → 域管理直接瘫痪
• 关 C$ → 运维工具不可用
• 关 ADMIN$ → GPO / 补丁体系崩溃

所以企业真正做的是：

• 限制谁能访问
• 检测谁在用
• 重点监控 IPC$ + svcctl + 写文件 这种组合行为

而不是“一刀切关闭”。

八、一句话终极总结

IPC$ 是"说话的嘴",C$和ADMIN$ 是"干活的手"。

没有它们，Windows 没法被远程管理； 有了它们，内网攻防才真正开始。