3389终端攻击主要通过3389破解登录器(Tscrack)实现。Tscrack是微软远程终端服务(3389)的测试产品,有人将其做了一些修改,可以用来破解3389口令,其核心原理就是利用字典配合远程终端登陆器尝试登陆,一旦登录成功,则可认为破解成功。主要针对windows 2000 server 操作系统。
01Tscrack安装
Tscrack初次运行需要进行安装,直接运行tscrack.exe程序即可。如果不能正常运行,则需要运行“tscrack -U”命令卸载tscrack中的组件后再运行tscrack.exe。运行成功后会提示安装组件、解压缩组件、注册组件成功。
02寻找开放3389端口的IP
在DOS提示符下输入命令sfind -p 192.168.38.*
,探测其端口开放情况
03构建字典文件100words.txt
在该文件中加入破解口令,每一个口令占用独立的一行,且行尾无空格
04编辑破解命令
对于一个IP地址进行破解时,其破解命令为tscrack ip -w 100words.txt
,对于多个IP进行破解,需要将IP地址整理成一个文件,每个IP独占一行,且行尾无空格,将其保存为ip.txt,然后编辑一个批命令for /f %i in (ip.txt) do 3389 %i -w 100words.txt
原程序tscrack.exe可以更改为任意名称。100words.txt也可以更改为任意名称。
若对多个IP地址进行破解,则字典不能太大,否则破解时间会很长
05破解3389口令
运行命令后,远程终端破解程序开始破解,Tscrack会使用字典的口令逐一尝试登录。在破解过程中不要手工进行干涉
06破解成功
程序自动结束,显示破解的口令及花费的时间
07使用口令进行登录
运行mstsc.exe打开终端连接器,输入IP地址进行连接,在3389连接界面输入账户密码,连接成功。
说明
(1)Tscrack破解3389终端口令不会生成log文件,破解口令显示在DOS窗口中,一旦DOS窗口关闭,所有结果不会保存。
(2)Tscrack破解3389终端口令对应的用户只能是administrator。