| 隨著網(wǎng)絡(luò)的快速發(fā)展,很多服務(wù)器都采用WINDOWS架構(gòu),WINDOWS系列以操作簡單而著稱,但同時漏洞也很多,號稱BUG之王,現(xiàn)在有很多入侵WINDOWS服務(wù)器的黑客軟件,今天我介紹一款另類的入侵windows服務(wù)器軟件--rcmd.VBS。
rcmd.VBS是使用VB腳本語言編寫的文件,體積很小,還不足18K,但卻能實現(xiàn)一些很強大的功能,比如遠程讓服務(wù)器重起、遠程開啟或關(guān)閉telnet服務(wù)、遠程更改終端服務(wù)器的端口號、遠程刪除日志、列出和刪除服務(wù)器進程等,你可以從“http://81.heibai.net:81/download/show.php?id=3879”下載文件壓縮包,該軟件適用于win2000 pro、 win2000 server、 win xp 、win2003平臺,下面我們一起來看看它的強大功能。 該軟件只有一個VBS腳本程序,它本身是不能單獨執(zhí)行的,需要windows自帶的腳本宿主程序cscript.exe解釋執(zhí)行。 它的執(zhí)行格式如下: cscript rcmd.vbs 服務(wù)器IP 用戶名 密碼 不要光說不練,現(xiàn)在我們開始小試牛刀。 要入侵服務(wù)器首先要想辦法和服務(wù)器建立連接,選擇好目標(biāo),我們就開始吧! 下面就以IP地址為“218.22.123.26”的機器為目標(biāo),來介紹一下入侵的過程 入侵第一步:使用rcmd.vbs連接遠程服務(wù)器 首先我們需要有一個合法的目標(biāo)機器帳號,可以使用很多黑客軟件進行破解,這個過程就不再詳細介紹了。 假設(shè)我們獲得了VBS這個帳號,密碼為123456,這樣就可以開始連接遠程服務(wù)器。 單擊“開始-->運行”,在運行對話框輸入“CMD“命令,彈出的命令提示符窗口,在提示符窗口運行RCMD.vbs,具體操作如下: cscript e:\vbs\rcmd.vbs 218.22.123.26 vbs 123456 腳本宿主程序cscript.exe解釋rcmd.vbs文件,”e:\vbs\“為rcmd.vbs文件的路徑,”218.22.123.26“為服務(wù)器的IP地址,”vbs“和”123456“為用戶名和密碼,如果系統(tǒng)輸出”Conneting 218.22.123.26....OK!“表示連接成功(圖一),下面還顯示命令說明提示,這時就可以在”CMD>“下輸入各個操作的數(shù)字代號了。 數(shù)字代號與操作對應(yīng)如下: 0 退出腳本 1 遠程開啟或關(guān)閉telnet服務(wù)器 2 遠程修改終端服務(wù)器端口 3 遠程刪除所有日志(包括系統(tǒng)日志、應(yīng)用程序日志、安全日志> 4 獲取服務(wù)器系統(tǒng)信息 5 例出服務(wù)器進程 6 刪除服務(wù)器進程 7 遠程執(zhí)行DOS命令 8 遠程重啟服務(wù)器 另外要特別注意,客戶端要關(guān)閉病毒防火墻,很多殺毒軟件把rcmd.vbs當(dāng)作腳本病毒。 已經(jīng)和服務(wù)器建立連接,要想進一步控制服務(wù)器就要啟動telnet服務(wù),這樣我們就能遠程登錄到服務(wù)器,那么一切盡在掌握之中了。 入侵第二步:遠程開啟telnet服務(wù)器 在”CMD>“提示符下輸入“1”,這里"1"代表的就是遠程開啟或關(guān)閉telnet服務(wù)器,如果telnet服務(wù)器是關(guān)閉的,回車后則顯示“Querying state of telnet server....OK! Changeing state....OK! plese enter the ntlm:”提示,這里要求你選擇telnet服務(wù)器使用哪種NTLM身份驗證方式,在WINDOWS系統(tǒng)中有3種NTLM身份驗證方式,分別為: 1、不使用NTLM身份驗證 2、先嘗試NTLM身份驗證,如果失敗,再使用用戶名和密碼 3、只使用NTLM身份驗證“ 它們分別用0、1、2表示,WINDOWS系統(tǒng)默認為只使用NTLM身份驗證。 這里輸入數(shù)字”2“(圖二),然后在”plese enter the port:“中輸入TELNET服務(wù)器的默認端口“23”,然后系統(tǒng)輸出成功啟動TELNET服務(wù)信息“Setting NTLM=2....OK! Setting port=23....OK! Target telnet server has been START Successfully! Now, you can try: telnet 218.22.123.26 23, to get a shell.”。 當(dāng)不想使用時,關(guān)閉TELNET服務(wù)器就更加容易,在”CMD>“提示符下輸入“1”,然后系統(tǒng)輸出“Querying state of telnet server....OK! Changeing state....OK! Target telnet server has been STOP Successfully”,表示已經(jīng)關(guān)閉TELNET服務(wù)器。 網(wǎng)絡(luò)管理員為了管理方便,很多windows服務(wù)器都開通了終端服務(wù),但使用默認的3389端口很不安全,還是做些好事吧!修改它的端口號,哈哈,以后終端服務(wù)只有我可以用了。 入侵第三步:遠程修改終端服務(wù)器端口 在CMD>提示符下輸入“2”,然后在“plese enter the port:”后面輸入你想修改使用的端口號,比如“1234”,但這個端口號不能被其他的程序使用,接著修改注冊表,要求你重啟服務(wù)器(圖三),其實原理很簡單,“rcmd.vbs”遠程修改服務(wù)器注冊表項“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”和“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”的PortNumber數(shù)值。 既然已經(jīng)控制了這臺服務(wù)器,就要盡一份力量,服務(wù)器上運行的很多程序看起來很不舒服,干掉它! 入侵第四步:遠程殺掉服務(wù)器進程 要想殺掉服務(wù)器進程,首先要知道它的PID,在“CMD>”下輸入“5”,顯示服務(wù)器進程列表,找到要刪除進程的PID,例如要刪除CMD.exe進程.它的PID為 “179676”,在“CMD>”下輸入“6”,在“plese enter the process’s id:”輸入179676,這樣就刪除CMD.exe進程(圖四)。 WINDOWS服務(wù)器有很完善的日志,我們的一切操作都被記錄在案了,不能讓人看到這些足絲馬跡,沒的商量,用rcmd.vbs提供的功能清空這些記錄。 入侵第五步:遠程清空所有日志 在“CMD>”下輸入“3”后,系統(tǒng)提示“Clearing all logs....OK! All logs have been cleared Successfully!”,這樣就清空了所有的記錄。 一切完畢,在“CMD>”下輸入“0”后,就可以退出此程序,rcmd.vbs還提供遠程執(zhí)行DOS命令、遠程重啟服務(wù)器功能、獲取服務(wù)器系統(tǒng)信息功能,雖然有些功能還不完善,如遠程執(zhí)行DOS命令不能顯示運行結(jié)果,但作為VBS腳本語言編寫的程序,能實現(xiàn)這些功能已經(jīng)不容易,使用方法都很簡單,大家不妨一試。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
