終端服務相關知識

24/24從終端服務3389講起

昨天我們講到了提升權(quán)限的問題，好現(xiàn)在我們就來講一個簡單的入侵，從3389找個肉雞（沒有肉雞的話，對自己的技術提高是沒好處的，不能老是看卻不練啊，陳同學你講對嗎？）

請各位注意，我那個地點并不是講什么爛鬼輸入法漏洞。這種漏洞差不多差不多絕跡了，太難找了，假如有人找到了，那恭喜你啦。眾所周知，有開3389的一般差不多上服務器，也確實是講有專門大可能帶局域網(wǎng)的，而內(nèi)部入侵比外部要方便一點，這對大伙兒是專門好的，我想看我那個東西的專門多差不多上學生吧(聲明我就個學生哦）。如何能快速方便的得到開了終端的肉機呢？這需要用到兩個工具，差不多上掃描工具來的，scanner3.0和焦點的xscan。打開scanner，輸入一段IP，范圍要大一點，scanner速度專門快的。在“所有端口從”那兒都填3389，點擊“開始”就能夠開工了。

專門快的，掃描完成，結(jié)果出來了。點擊右下腳的“刪除”把多余的IP刪了，只留下開了3389的IP。再點擊“保存”，把結(jié)果保存到文件夾里。找到保存文件的目錄，打開它。用記事本的替換功能把它保存為一個純IP的TXT文件?！熬庉嫞鎿Q”在“查找內(nèi)容”里輸入要刪除的垃圾，再點“全部替換”就行了。打開xscan，點擊左邊的藍色按鈕，進入“掃描板塊”，只需在“SQL-Server弱口令”“NT-Server弱口令”前打鉤，其他都清除掉。再點擊右邊的藍色按鈕，進入“掃描參數(shù)”，鉤上“從文件獵取主機列表”，打開剛才替換成純IP的TXT文件，確定之后就能夠掃描了。這時需要比較長的時刻?。ㄗ⒁馕沂悄?.0為例的，其他的也差不多）。確定目標，用mstsc（登陸終端的工具，那個我不喜愛用，但確實專門容易上手的）登陸對方主機后，打開對方cmd.exe，輸入“netuse”，先看看有沒有人也在連接這部機（安全一點好，怎么講不是在學雷峰啊）?！皀etview”命令之后當出現(xiàn)一堆前面帶\\字符的就表示～～就表示什么呢？？我想大伙兒都特不明白吧!，假如不明白的話，我。。（也不明白如何講了）

想做個補充發(fā)覺專門多朋友對什么叫終端服務有點模糊

好，我們就詳細講講怎么講那個概念專門重要的

終端服務提供了通過作為終端仿真器工作的“瘦客戶機”軟件遠程訪問服務器桌面的能力。終端服務只把該程序的用戶界面?zhèn)鹘o客戶機?？蛻魴C然后返回鍵盤和鼠標單擊動作，以便由服務器處理。每個用戶都只能登錄并看到它們自己的會話，這些會話由服務器操作系統(tǒng)透明地進行治理，而且與任何其他客戶機會話無關。客戶軟件能夠運行在多個客戶機硬件設備上，包括計算機和基于Windows的終端。其他設備，如Macintosh計算機或基于UNIX的工作站，也能夠使用其他第三方的軟件連接到終端服務器。終端服務能夠在應用服務器模式或遠程治理模式下在服務器上進行配置。作為應用服務器，終端服務提供了一種有效而可*的方式，通過網(wǎng)絡服務器分發(fā)基于Windows的程序。在應用服務器模式下，終端服務為可能無法正常運行Windows的計算機顯示W(wǎng)indows2000的桌面以及目前基于Windows的大多數(shù)應用程序。在遠程治理模式下使用時，終端服務提供了遠程訪問的能力，使您能夠從網(wǎng)絡上的任何地點虛擬地治理您的服務器。終端服務有以下好處：

更快地顯示W(wǎng)indows2000的桌面。終端服務架設了一座從舊式桌面遷移到Windows2000Professional的橋梁，為非計算機桌面以及需要進行硬件升級才能在本地完全運行Windows2000操作系統(tǒng)的計算機提供了一種虛擬的Windows2000桌面環(huán)境。終端服務客戶可用于多種不同的桌面平臺，包括MS-DOS、基于Windows的終端、Macintosh和UNIX。（與MS-DOS、Macintosh和基于UNIX的計算機的連接需要附加的軟件）。

充分利用已有的硬件。終端服務擴展了分布式計算模型，同意計算機同時作為瘦客戶機和具有完整功能的個人計算機操作。當計算機在現(xiàn)有的網(wǎng)絡上時，能夠接著使用，同時也可作為能仿真Windows2000Professional桌面的瘦客戶機使用。

程序的集中配置。使用運行在Windows2000Server上的終端服務，所有程序的執(zhí)行、數(shù)據(jù)的處理以及數(shù)據(jù)的存儲都在服務器上進行，程序得以集中配置。終端服務可確保所有客戶機都能訪問當前版本的程序。軟件只能在服務器上安裝一次，而不能安裝在您單位的每個桌面上，如此可減少單獨更新計算機所花費的成本。

遠程治理。終端服務提供了對Windows2000Server的遠程治理，為系統(tǒng)治理員提供了從任何客戶機通過廣域網(wǎng)或撥號連接遠程治理其服務器的一種方法。

功能：

易于使用

可治理性

安全性易于使用

功能講明詳細信息，請參閱：

自動的本地打印機支持Windows2000Server終端服務能夠添加并自動重新連接終端服務客戶所連接的打印機。提供對本地打印機的客戶訪問

剪貼板重定向現(xiàn)在，用戶能夠在運行于本地計算機和終端服務器上的程序之間剪切和粘貼。共享的剪貼板

性能增強對緩存功能的增強，包括持久性緩存、數(shù)據(jù)包的利用和數(shù)據(jù)幀大小，明顯地改進了終端服務的性能。位圖緩存

漫游式斷開連接支持此功能使用戶不用注銷即可從會話中斷開連接。在斷開時會話仍可保持活動狀態(tài)，這使得用戶能夠從另一臺計算機中或在稍后某個時刻重新連接到現(xiàn)有會話。重新連接需要登錄，以便在任何時候都能保證每個會話的安全性。注銷或斷開連接

多登錄支持用戶能夠登錄到多個會話，同時從一個或多個客戶機到多個Windows2000Server，或者多次登錄到一個服務器。如此，用戶就能夠同時執(zhí)行多項任務或運行多個單獨的桌面會話。治理用戶和客戶機可治理性

功能講明詳細信息，請參閱：

會話遠程操縱支持者可查看或操縱另一終端服務會話。鍵盤輸入、鼠標移動以及圖形顯示可在兩個終端服務會話之間共享，為支持者提供了診斷和解決配置問題以及遠程培訓用戶的能力。此功能關于帶有分支機構(gòu)的單位特不有用。遠程操縱

網(wǎng)絡負載平衡網(wǎng)絡負載平衡使終端服務客戶可連接到運行終端服務的服務器組中最輕閑的成員。網(wǎng)絡負載平衡和終端服務

基于Windows的終端依照WindowsCE操作系統(tǒng)和遠程桌面協(xié)議(RDP)的自定義實現(xiàn)，不同的制造商可提供基于Windows的終端。

客戶連接治理器治理員和用戶能夠為一個程序或全部桌面訪問建立到服務器的預定義連接?？蛻暨B接治理器在客戶機桌面上創(chuàng)建圖標，以便能通過一次單擊連接到一個或多個終端服務器。想在計算環(huán)境中提供單個程序的治理員能夠創(chuàng)建連接并將該連接與終端服務客戶軟件一同分發(fā)。治理終端服務用戶連接

終端服務授權(quán)終端服務授權(quán)關心系統(tǒng)治理員和采購部門跟蹤客戶機及其相關許可證。授權(quán)終端服務

分布式文件系統(tǒng)(DFS)支持對分布式文件系統(tǒng)(DFS)的支持使用戶能夠連接到DFS共享位置，而且使治理員能夠從終端服務器主控DFS共享。分布式文件系統(tǒng)概述

終端服務治理器治理員能夠使用終端服務治理器查詢和治理Windows2000Server上的終端服務會話、用戶和進程。治理終端服務

終端服務配置終端服務連接配置可用于創(chuàng)建、修改和刪除Windows2000Server上的一個或一組會話并訪問服務器設置。配置終端服務

與Windows2000Server“本地用戶和組”以及“ActiveDirectory用戶和計算機”的集成治理員能夠按照為Windows2000Server用戶創(chuàng)建帳戶的相同方式為終端服務用戶創(chuàng)建帳戶。另有一些字段可用來指定終端服務專用信息，如終端服務配置文件路徑和主目錄。終端服務用戶帳戶

與Windows2000Server系統(tǒng)監(jiān)視器的集成與Windows2000Server系統(tǒng)監(jiān)視器的集成使治理員能夠監(jiān)視器終端服務系統(tǒng)性能，包括跟蹤處理器的使用情況、內(nèi)存分配和分頁內(nèi)存使用情況，并在每個用戶的會話之間交換。性能監(jiān)視

消息傳遞支持治理員能夠就一些重要的信息警告用戶，如系統(tǒng)關機、升級或新程序。使用終端服務治理器

遠程治理具有治理級特權(quán)而且可訪問終端服務治理級有用程序的任何用戶都能夠遠程治理運行終端服務的服務器的各方面工作。

可配置的會話超時設置治理員能夠通過配置會話超時來減少服務器資源的使用。治理員能夠指定活動會話的長度以及會話可在服務器上閑置多長時刻配置會話限制安全性

功能講明詳細信息，請參閱：

加密多級加密使治理員能夠依照安全性需要在三種不同級不（低級、中級或高級）上加密在Windows2000Server和終端服務客戶之間傳輸?shù)乃谢虿糠謹?shù)據(jù)。另外，終端服務登錄過程包括更改密碼、桌面解鎖以及屏幕愛護功能解鎖。登錄過程是加密的，以確保用戶名稱和密碼的安全傳輸。終端服務支持在服務器和客戶機之間的40位和128位加密（128位加密只能在美國和加拿大使用）。確定加密的級不

限制登錄嘗試和連接時刻治理員能夠限制用戶登錄嘗試次數(shù)，以防止有人未授權(quán)訪問服務器。另外，個不用戶或分組用戶的連接時刻能夠進行限制。配置終端服務

終端服務配置概述

終端服務連接提供了客戶機可用于登錄到服務器上某個會話的鏈接。TCP/IP連接是當終端服務在Windows2000Server上啟用時自動配置的。使用終端服務配置，您能夠更改連接的默認屬性或添加新連接。終端服務配置

打開終端服務配置時，您將會看到差不多配置的連接。這稱為RDP-TCP連接。通常，這只是需要為使用終端服務器的客戶配置的連接。關于終端服務器，只能為每個網(wǎng)卡配置一個RDP（遠程桌面協(xié)議）連接。假如要配置其他的RDP連接，您必須安裝附加的網(wǎng)卡。使用終端服務配置，您能夠重新配置RDP-TCP連接的屬性，包括限制客戶機會話在服務器上保持活動狀態(tài)的時刻、設置加密的愛護級不以及選擇您希望用戶和組具備的權(quán)限。某些連接屬性也能夠使用“本地用戶和組”的終端服務擴展程序在每用戶基礎上配置。例如，當您使用“本地用戶和組”的終端服務擴展程序時，能夠為每個用戶設置不同會話期限。使用終端服務配置，您能夠只在每連接基礎上設置會話期限，這意味著相同期限將應用于使用連接登錄到服務器的所有用戶。除配置連接以外，您能夠使用“終端服務配置”功能配置可應用于終端服務器的設置。包括臨時文件夾的設置、默認連接安全性以及啟用/禁用Internet連接器許可。詳細信息，請參閱配置服務器設置?；贑itrixCA的客戶機

終端服務配置還用于為基于CitrixCA的客戶機配置連接。當CitrixCA協(xié)議和基于CitrixCA的客戶軟件添加到該系統(tǒng)時，能夠使用TCP/IP、同步、IPX/SPX或NetBIOS傳輸協(xié)議配置這些連接有專門多朋友問如何開啟3389終端服務下面我們一起來探究一下遠程開啟3389的方法.首先我們應該了解3389終端服務,能夠運行在什么系統(tǒng)下,個人了解,終端服務在M$的大部分

產(chǎn)品中都可運行,如:winnt4/win2000server/win2000ADV-server/win2000DS/XP等.

但winnt4中是需要單獨購買的,2000專業(yè)版不能遠程安裝終端服務的,至少我沒成功過.

我們在以下的探究中,是以win2000server和高級server為例的.(現(xiàn)在用的也最多).

現(xiàn)在開始.假設我們拿到了一個主機的治理員帳戶和密碼.

主機:192.168.0.1

帳號:administrator

密碼:7788

2000系統(tǒng)安裝在c:\winnt下

從上面的的介紹能夠明白,2000專業(yè)版是不能夠遠程安裝終端服務的,那我們就要首先來

推斷此主機是專業(yè)版依舊服務器版,才能進入下一個環(huán)節(jié).我們能夠先用對方所開帳戶推斷:c:\>letmein\\192.168.0.1-all-d

statingconnectingtoserver...

Serverlocaltimeis:2002-1-1310:19:22

StartgetallusersFORMserver...

Total=5

num0=Administrator()

num1=Guest()

num2=IUSR_servername(Internet來賓帳號)

num3=IWAM_servername(啟動IIS進程帳號)

num4=TsInternetUser(TsInternetUser)

Total=5

一般情況num2/3/4這三個帳戶差不多上2000server默認開啟的.

2000專業(yè)版默認是不開這些帳戶的.我們也能夠掃描對方開放的端口進一步確認:

用掃描軟件如:superscan3.exe掃描對方所開端口

推斷對方是否開啟25,3372等2000server默認開啟的端口.因此我們還能夠使用一些工具,如:cmdinfo.zip

這2個東東能夠獲得本地或遠程NT/2K主機的版本,系統(tǒng)路徑,源盤路徑,PACK版本,安裝時刻等一

系列信息,一個圖形界面,一個命令行.

通過返回的信息就能夠?qū)ｉT清晰的了解對方主機情況.還有一些其他的方法來推斷,如:從對方所開的服務來確定等,

從上面的推斷準確率還算高,不的就不一一講明了.

假如你在以上步驟里發(fā)覺對方主機并沒有那3個帳戶,默認端口也沒開,

或cmdinfo返回的信息對方是2000專業(yè)版,你就要放棄安裝3389的打罷了.

現(xiàn)在我們要進入下一環(huán)節(jié):

推斷終端服務到底有沒有安裝?你也許要問:什么緣故還要推斷啊?我掃描沒有發(fā)覺3389端口啊

那個地點就需要解釋一下,假如裝了終端服務組件,可能有哪幾種情況掃描不到3389端口?

1.終端服務termservice在"治理工具">>>"服務"中被禁用.

2.終端服務連接所需的RDP協(xié)議在"治理工具">>>"終端服務配置"中被停用連接.

3.終端服務默認連接端口3389被人為的改變.如何改變請看修改終端服務默認的3389端口4.終端服務綁定的網(wǎng)絡適配器不是外網(wǎng)的.

5.防火墻和端口過濾之類的問題.

6(還有我沒想到的)

事實上,我們遇到最多的情況確實是以上5種情況.現(xiàn)在開始判組件是否被安裝.先與遠程主機連接,映射遠程主機C盤為本地Z盤

netusez:\\192.168.0.1\c$"7788"/user:"administrator"

命令成功完成。然后轉(zhuǎn)到Z盤,檢查

Z:\DocumentsandSettings\AllUsers\「開始」菜單\程序\治理工具>

里是否有"終端服務治理器"和"終端服務配置"的快捷方式文件

如有已安裝服務組件的會有,反之,沒有(98%人為有意刪的可能性較小)

我們還能夠在下一步telnet到對方主機后使用終端服務自帶的命令進一步的核實.推斷完畢,對方看起來是沒有安裝終端服務組件,能夠進入下一步:

telnet登陸對方主機,預備安裝服務組件.在那個地點,我強烈建議使用2000自帶的telnet服務端登陸,

有回顯,不容易出錯.個人感受使用它,一次成功的比例高專門多.(呵呵~,個人理解啊!)

就算沒有開,打開用完后再關掉就完了.

.abu.寫的最快速登錄WIN2KTELNET服務差不多把那個方法介紹的特不詳細,

而且他的方法(在本機建立同名,同密碼帳戶),讓快速實現(xiàn)telnet登陸成為現(xiàn)實.假如我們已開啟對方23端口,

telnet192.168.0.1

輸入用戶名/密碼

*===============================================================

歡迎使用MicrosoftTelnet服務器。

*===============================================================

C:\>

\\成功進入!!!!進入后,再次檢查終端組件是否安裝:

c:\>queryuser

那個工具需要安裝終端服務.如此就進一步確定了組件沒有被安裝.假如返回:

USERNAMESESSIONNAMEIDSTATEIDLETIMELOGONTIME

>w1console0運行中.2002-1-1222:5

\\類似如此的信息,可能組件就已安裝.好!都清晰了,能夠開始安裝了.

C:\>dirc:\sysoc.inf/s//檢查INF文件的位置

c:\WINNT\inf的目錄2000-01-1020:003,770sysoc.inf

1個文件3,770字節(jié)

C:\>dirc:\sysocmgr.*/s//檢查組件安裝程序

c:\WINNT\system32的目錄2000-01-1020:0042,768sysocmgr.exe

1個文件42,768字節(jié)

c:\>echo[Components]>c:\wawa

c:\>echoTSEnable=on>>c:\wawa

//這是建立無人參與的安裝參數(shù)

c:\>typec:\wawa

[Components]

TSEnable=on

//檢查參數(shù)文件

c:\>sysocmgr/i:c:\winnt\inf\sysoc.inf/u:c:\wawa/q

這一條確實是真正安裝組件的命令.

以上這條命令沒有加/R參數(shù),主機在安裝完后自動重起.

如若加了/R參數(shù)主機就可不能重起.假如一切正常的話,幾分鐘后對方主機將會離線,當它重新回來時,

3389終端服務就差不多開啟.你就能夠連上去了.問題和建議:A在安裝過程中,不使用/R,有時主機也可不能重起,你就要手動重起他,但在使用諸如:iisreset/reboot命令時,對方

的屏幕會出現(xiàn)個對話框,寫著誰引起的這次啟動,離重起還有多少秒.B一次不行能夠再試一次,在實際中專門有作用.C在輸入sysocmgr命令開始安裝時,一定不要把命令參數(shù)輸錯,那會在對方出現(xiàn)一個大的對話框,是sysocmgr的關心,專門是顯眼,

而且要求確定.在你的屏幕上是可不能有任何反應的,你可不能明白出錯，因此會有B的建議.

好了以后你就想干什么就干什么了。只是有時候還真不明白干什么，總之得干個事，裝個什么局域網(wǎng)操縱軟件，只是不要體積太大，容易被發(fā)覺。超強C語言代碼,你有信心看明白嗎?

剛剛講有輸入法漏洞的機子專門少了，但有些朋友擔心還有如何辦，不是吃大虧了嗎？如此我找了一篇寫的不錯的文章貼一下(注意是轉(zhuǎn)載)寫的不錯，據(jù)講是新寫的，這位老大也真閑啊WIN2000中文簡體版存在的輸入法漏洞，能夠使本地用戶繞過身分驗證機制進入系統(tǒng)內(nèi)部。經(jīng)實驗，WIN2000中文簡體版的終端服務，在遠程操作時仍然存在這一漏洞，而且危害更大。

WIN2000的終端服務功能，能使系統(tǒng)治理員對WIN2000進行遠程操作，采納的是圖形界面，能使用戶在遠程操縱計算機時功能與在本地使用一樣，其默認端口為3389，用戶只要裝了WIN2000的客戶端連接治理器就能與開啟了該服務的計算機相聯(lián)。因此這一漏洞使終端服務成為WIN2000的合法木馬。

工具：客戶端連接治理器，下載地址：自己找吧，天天有好幾種呢。

入侵步驟：

一，獲得治理員賬號。

我們先對一個網(wǎng)段進行掃描，掃描端口設為3389，運行客戶端連接治理器，將掃描到的任一地址加入到，設置好客戶端連接治理器，然后與服務器連結(jié)。幾秒鐘后，屏幕上顯示出WIN2000登錄界面（假如發(fā)覺是英文或繁體中文版，放棄，另換一個地址），用CTRL+SHIFT快速切換輸入法，切換至全拼，這時在登錄界面左下角將出現(xiàn)輸入法狀態(tài)條（假如沒有出現(xiàn)，請耐心等待，因為對方的數(shù)據(jù)流傳輸還有一個過程）。用右鍵點擊狀態(tài)條上的微軟徽標，彈出“關心”（假如發(fā)覺“關心”呈灰色，放棄，因為對方專門可能發(fā)覺并差不多補上了那個漏洞），打開“關心”一欄中“操作指南”，在最上面的任務欄點擊右鍵，會彈出一個菜單，打開“跳至URL”?，F(xiàn)在將出現(xiàn)WIN2000的系統(tǒng)安裝路徑和要求我們填入的路徑的空白欄。比如，該系統(tǒng)安裝在Ｃ盤上，就在空白欄中填入"c:\winnt\system32"。然后按“確定”，因此我們就成功地繞過了身份驗證，進入了系統(tǒng)的SYSTEM32目錄。

現(xiàn)在我們要獲得一個賬號，成為系統(tǒng)的合法用戶。在該目錄下找到"net.exe"，為"net.exe"創(chuàng)建一個快捷方式，右鍵點擊該快捷方式，在“屬性”－>“目標”－>c:\winnt\system32\net.exe后面空一格，填入"userguest/active:yes"點“確定”。這一步驟目的在于用net.exe激活被禁止使用的guest賬戶，因此也能夠利用"user用戶名密碼／add"，創(chuàng)建一個新賬號，但容易引起網(wǎng)管懷疑。運行該快捷方式，現(xiàn)在你可不能看到運行狀態(tài)，但guest用戶已被激活。然后又修改該快捷方式，填入"userguest密碼"，運行，因此guest便有了密碼。最后，再次修改，填入“l(fā)ocalgroupadministratorsguest/add，將guest變成系統(tǒng)治理員。

注意事項：１、在這過程中，假如對方治理員正在使用終端服務治理器，他將看到你所打開的進程id，你的ip和機器名，甚至能夠給你發(fā)送消息。

２、終端服務器在驗證你的身份的時候只留給了你一分鐘的時刻，在這一分鐘內(nèi)假如你不能完成上述操作，你只能再連結(jié)。

３、你所看到的圖像與操作會有所延遲，這受網(wǎng)速的阻礙。二，創(chuàng)建跳板。

再次登錄終端用務器，以"guest"身份進入，現(xiàn)在guest已是系統(tǒng)治理員，已具備一切可執(zhí)行權(quán)。打開“操縱面板”，進入“網(wǎng)絡和拔號連接”，在“本地連接”或“拔號連接”中查看屬性，看對方是否選擇“Microsoft網(wǎng)絡的文件和打印機共享”，假如沒有，就打上勾。對方假如使用的是拔號上網(wǎng)，下次拔號網(wǎng)絡共享才會打開。

退出對