[这个贴子最后由blackking在 2004/05/09 04:13pm 第 1 次编辑]
第十四章------关于终端服务(3389)
简单说明:
windows终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。图形界面和不影响当前本地用户的特性是它的最大优点。由于它是2000server及以上版本自带的功能,因此成为一个绝好的“后门”而倍受青睐。而且win98也可以成为客户端,这使得在网吧“工作”成为可能。有一点需要强调一下使用客户端登陆远程主机对当前工作的用户没有影响,而且一切动作本地用户都是看不到的。也就是说远程登陆和本地用户是在不相同的空间,两者互不干扰。
相关工具:
WIN2000客户端
http://zudu2000.myetang.com/soft/win2k.rar ;
winxp下的客户端 功能比2000下的更强大
http://zudu2000.myetang.com/soft/windowsXP.zip ;
终端服务程序的一个补丁 使本地和远程间能复制文本 http://www.sandflee.net/wawa/tools/rdpclip_hotfix.exe ;
web版终端客户端 使用浏览器调用ActiveX控件访问终端服务
http://www.enanshan.com/down/tswebsetup.exe ;
C3389.EXE 修改终端服务端口号的工具
http://www.sandflee.net/down/show.asp?id=228&down=1 ;
Win2k终端服务器端所需文件包
http://www.netsill.com/download/download.asp?Did=1965 ;
3389自动安装程序-djshao正式版5.0
http://netsill.com/download/download.asp?Did=2019
开启3389工具(如果要想让远程主机开启WIN2000的终端服务,请把3389.exe也传到远程主机上并运行。然后等待一个漫长的时间(由于是无人执守安装)。就可以看到远程主机的3389端口会被打开。)
http://netsill.com/download/download.asp?Did=1991
W2K终端服务客户端安装版
http://www.sandflee.net/down/show.asp?id=39&down=1
相关帖子:
关于远程启动终端服务的帖子 http://www.sixthroom.com/ailan/f ;... 2&RootID=385&ID=385
终端服务问题常见问答
http://www.sixthroom.com/ailan/f ;... 2&RootID=386&ID=386
图文讲解输入法漏洞入侵
http://www.sandflee.net/txt/list.asp?id=22 ;
3389自动安装工具教程
http://netsill.com/download/download.asp?Did=2068
3389动画教程(密码china)
http://netsill.com/download/download.asp?Did=1990
修改终端客户端端口动画教程
http://netsill.com/download/download.asp?Did=2009
3389资料 http://www21.brinkster.com/srob/wawa/wawa/3389txt.htm
----------------------------------------------
第十五章------关于克隆帐号
简单说明:
克隆帐号的原理简单的说是这样:在注册表中有两处保存了帐号的SID相对标志符,一处是SAM\Domains\Account\Users下的子键名,另一处是该子键的子项F的值中。这里微软犯了个不同步它们的错误,登陆时用的是后者,查询时用前者。当用admin的F项覆盖其他帐号的F项后,就造成了帐号是管理员权限但查询还是原来状态的情况。即所谓的克隆帐号。(前辈就是前辈把大家想到的都写出来了,我实在不知道这里在加些什么了。看来也只有这样了。大家如果还有什么不明白的就到论坛里发贴子吧。
具体的看这里:
解剖安全帐号管理器(SAM)结构 http://www.sixthroom.com/ailan/f ;... 3&RootID=387&ID=387
明白原理后就可以手动或者用现成的工具克隆帐号了。
相关工具:
克隆ca.exe http://www.netxeyes.org/CA.exe ;
检查克隆cca.exe http://www.netxeyes.org/CCA.exe ;
手动克隆需要SYSTEM权限,用它 psu.exe
http://www.sandflee.net/down/show.asp?id=176&down=1 ;
相关帖子:
工具克隆:ca和cca 请访问作者主页 http://www.netxeyes.org/main.html ;
psu用法:psu.exe提升为system权限 http://www.sixthroom.com/ailan/f ;... 2&RootID=390&ID=390
手动克隆:如何克隆管理员帐号 http://www.sixthroom.com/ailan/f ;... 3&RootID=388&ID=388
如何克隆管理员帐号的补充 http://www.sixthroom.com/ailan/f ;... 3&RootID=389&ID=389
常见问题和回答:
1,使用ca时,出现connect **.**.**.** ...Error是怎么会事?
答:ca和cca需要目标开放ipc$,请确认可以与目标建立ipc$。参见“关于ipc$和空连接”
2,使用ca时,出现“Processing....ERROR”是怎么会事?
答:这说明对方主机缺少文件msvcp60.dll,想办法传个过去放在系统目录下就可以了。
3,克隆过程没有错误,但cca没有显示该帐号克隆成功,无法使用被克隆的帐号。
答:这一般是因为对方主机是域控制器,注册表中sam结构不同,工具失效。暂时无法解决。
4,手动克隆无法访问注册表SAM键怎么办?
答:在命令行方式,可以使用psu工具获得SYSTEM权限,从而访问SAM键。详见上面说明。
在图形界面,运行regedt32.exe,找到SAM键并选中。“安全”子菜单栏里有一项“权限”,打开它。在里面设置administrator和SYSTEM一样有完全控制权限。关闭regedt32再打开,就可以访问SAM键了。
第十六章------关于日志
简单说明:
日志是系统自动根据你个人的设置所记载的所定义配置中的活动情况及基本资料,这对一个管理员来说是很重要的,管理员可以根据日志发现系统的异常情况,并且及时做出处理.相反对于一个**来说,这也是至关重要的,因为操作系统的许多服务都带日志。最重要和明显的就是IIS和事件日志。它们最有可能记录你的IP和行动。而且相对于其他的如ftp、计划任务、telnet的日志更为管理员重视。另外,如果你获得了图形界面的shell来用IE,还可能会留cookie,而这些东西对于你来说,都是至命的.消灭它没商量.^_^
相关工具:
cleanIISlog 清除web日志 http://www.netxeyes.org/cleaniislog.zip ;
Clean IIS Log(清除IIS日志)http://arm.533.net/hack/cliislog.zip ;
Clear Event Log(清除事件日志)http://arm.533.net/hack/clearel.zip
elsave.exe 清除事件日志 http://www.sandflee.net/down/show.asp?id=196 ;
相关帖子:
NT/2000下删日志的方法 http://www.sixthroom.com/ailan/f ;... 2&RootID=383&ID=383
windows日志的保护与伪造 http://www.sixthroom.com/ailan/f ;... 2&RootID=382&ID=382
清除日志文件的深入探讨
http://www.sixthroom.com/ailan/f ;... 3&RootID=384&ID=384
|
