SiS001! Board - [第一会所关闭注册]

标题: [交流] 小心被windows脚本入侵WINDOWS服务器 [打印本页]

作者: wangleic1b2 时间: 2008-3-9 01:09 标题: 小心被windows脚本入侵WINDOWS服务器

随着网络的快速发展，很多服务器都采用WINDOWS架构，WINDOWS系列以操作简单而著称，但同时漏洞也很多，号称BUG之王，现在有很多入侵WINDOWS服务器的黑客软件，今天我介绍一款另类的入侵windows服务器软件--rcmd.VBS。

   rcmd.VBS是使用VB脚本语言编写的文件，体积很小，还不足18K,但却能实现一些很强大的功能，比如远程让服务器重起、远程开启或关闭telnet服务、远程更改终端服务器的端口号、远程删除日志、列出和删除服务器进程等，你可以从“http://81.heibai.net:81/download/show.php?id=3879”下载文件压缩包，该软件适用于win2000 pro、 win2000 server、 win xp 、win2003平台，下面我们一起来看看它的强大功能。
该软件只有一个VBS脚本程序，它本身是不能单独执行的，需要windows自带的脚本宿主程序cscript.exe解释执行。
它的执行格式如下：
cscript  rcmd.vbs 服务器IP 用户名密码

  不要光说不练，现在我们开始小试牛刀。
要入侵服务器首先要想办法和服务器建立连接，选择好目标，我们就开始吧！
下面就以IP地址为“218.22.123.26”的机器为目标，来介绍一下入侵的过程

入侵第一步：使用rcmd.vbs连接远程服务器
  首先我们需要有一个合法的目标机器帐号，可以使用很多黑客软件进行破解，这个过程就不再详细介绍了。
假设我们获得了VBS这个帐号，密码为123456，这样就可以开始连接远程服务器。
单击“开始－－>运行”，在运行对话框输入“CMD“命令，弹出的命令提示符窗口，在提示符窗口运行RCMD.vbs，具体操作如下：

      cscript e:vbsrcmd.vbs 218.22.123.26 vbs 123456

脚本宿主程序cscript.exe解释rcmd.vbs文件，”e:vbs“为rcmd.vbs文件的路径，”218.22.123.26“为服务器的IP地址，”vbs“和”123456“为用户名和密码，如果系统输出”Conneting 218.22.123.26....OK!“表示连接成功（图一），下面还显示命令说明提示，这时就可以在”CMD>“下输入各个操作的数字代号了。

数字代号与操作对应如下：
0       退出脚本
1       远程开启或关闭telnet服务器
2       远程修改终端服务器端口
3       远程删除所有日志（包括系统日志、应用程序日志、安全日志>
4       获取服务器系统信息
5       例出服务器进程
6       删除服务器进程
7       远程执行DOS命令
8       远程重启服务器

另外要特别注意，客户端要关闭病毒防火墙，很多杀毒软件把rcmd.vbs当作脚本病毒。

已经和服务器建立连接，要想进一步控制服务器就要启动telnet服务，这样我们就能远程登录到服务器，那么一切尽在掌握之中了。

入侵第二步：远程开启telnet服务器

  在”CMD>“提示符下输入“1”，这里"1"代表的就是远程开启或关闭telnet服务器，如果telnet服务器是关闭的，回车后则显示“Querying state of telnet server....OK!  Changeing state....OK!  plese enter the ntlm:”提示，这里要求你选择telnet服务器使用哪种NTLM身份验证方式，在WINDOWS系统中有3种NTLM身份验证方式，分别为：
1、不使用NTLM身份验证
2、先尝试NTLM身份验证，如果失败，再使用用户名和密码
3、只使用NTLM身份验证“
它们分别用0、1、2表示，WINDOWS系统默认为只使用NTLM身份验证。
这里输入数字”2“（图二），然后在”plese enter the port:“中输入TELNET服务器的默认端口“23”，然后系统输出成功启动TELNET服务信息“Setting NTLM=2....OK!  Setting port=23....OK! Target telnet server has been START Successfully! Now, you can try: telnet 218.22.123.26 23, to get a shell.”。
当不想使用时，关闭TELNET服务器就更加容易，在”CMD>“提示符下输入“1”，然后系统输出“Querying state of telnet server....OK!
Changeing state....OK!  Target telnet server has been STOP Successfully”，表示已经关闭TELNET服务器。

网络管理员为了管理方便，很多windows服务器都开通了终端服务，但使用默认的3389端口很不安全，还是做些好事吧！修改它的端口号，哈哈，以后终端服务只有我可以用了。
入侵第三步：远程修改终端服务器端口

在CMD>提示符下输入“2”，然后在“plese enter the port:”后面输入你想修改使用的端口号，比如“1234”，但这个端口号不能被其他的程序使用，接着修改注册表，要求你重启服务器（图三），其实原理很简单，“rcmd.vbs”远程修改服务器注册表项“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp”和“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp”的PortNumber数值。

既然已经控制了这台服务器，就要尽一份力量，服务器上运行的很多程序看起来很不舒服，干掉它！
入侵第四步：远程杀掉服务器进程
  要想杀掉服务器进程，首先要知道它的PID，在“CMD>”下输入“5”，显示服务器进程列表，找到要删除进程的PID，例如要删除CMD.exe进程.它的PID为 “179676”，在“CMD>”下输入“6”，在“plese enter the process’s id:”输入179676，这样就删除CMD.exe进程（图四）。

WINDOWS服务器有很完善的日志，我们的一切操作都被记录在案了，不能让人看到这些足丝马迹，没的商量，用rcmd.vbs提供的功能清空这些记录。

入侵第五步：远程清空所有日志
  在“CMD>”下输入“3”后，系统提示“Clearing all logs....OK!  All logs have been cleared Successfully!”，这样就清空了所有的记录。

一切完毕，在“CMD>”下输入“0”后，就可以退出此程序，rcmd.vbs还提供远程执行DOS命令、远程重启服务器功能、获取服务器系统信息功能，虽然有些功能还不完善，如远程执行DOS命令不能显示运行结果，但作为VBS脚本语言编写的程序，能实现这些功能已经不容易，使用方法都很简单，大家不妨一试。

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://154.84.5.200/bbs/)