安全技术 使用windows脚本入侵WINDOWS服务器

  • 时间:
  • 浏览:0
  • 来源:极速快3注册平台-极速快3官网平台_极速快3官网





作者: 论坛收集 zdnet网络安全

CNETNews.com.cn

808-01-06 15:51:23

关键词: 服务器安全 系统安全 Windows 安全技术

随着网络的快速发展,好多好多 服务器都采用WINDOWS架构,WINDOWS系列以操作简单而著称,但并肩漏洞也好多好多 ,号称BUG之王,现在有好多好多 入侵WINDOWS服务器的黑客软件,今天我介绍一款另类的入侵windows服务器软件--rcmd.VBS。

    

     rcmd.VBS是使用VB脚本语言编写的文件,体积很小,还匮乏18K,但却能实现有过后 很强大的功能,比如远程让服务器重起、远程开启或关闭telnet服务、远程更改终端服务器的端口号、远程删除日志、列出和删除服务器系统进程运行运行等,我就从“http://81.heibai.net:81/download/show.php?id=3879”下载文件压缩包,该软件适用于win800 pro、 win800 server、 win xp 、win803平台,下面亲戚亲戚亲戚亲戚朋友并肩来看看它的强大功能。

    该软件必须另一1个 VBS脚本系统进程运行,它一种生活是必须单独执行的,需用windows自带的脚本宿主系统进程运行cscript.exe解释执行。

它的执行格式如下:

   cscript  rcmd.vbs 服务器IP 用户名 密码

  从不光说不练,现在亲戚亲戚亲戚亲戚朋友结束英语 小试牛刀。

要入侵服务器首很难想最好的办法和服务器建立连接,选泽好目标,亲戚亲戚亲戚亲戚朋友就结束英语 吧!

 下面就以IP地址为“218.22.123.26”的机器为目标,来介绍一下入侵的过程

 

入侵第一步:使用rcmd.vbs连接远程服务器

  首先亲戚亲戚亲戚亲戚朋友需用有另一1个 合法的目标机器帐号,可否 使用好多好多 黑客软件进行破解,有过后 过程就不再删改介绍了。

假设亲戚亲戚亲戚亲戚朋友获得了VBS有过后 帐号,密码为123456,另一1个 就可否 结束英语 连接远程服务器。

    单击“结束英语 -->运行”,在运行对话框输入“CMD“命令,弹出的命令提示符窗口,在提示符窗口运行RCMD.vbs,具体操作如下:

       

          cscript e:vbscmd.vbs 218.22.123.26 vbs 123456

 

    脚本宿主系统进程运行cscript.exe解释rcmd.vbs文件,”e:vbs“为rcmd.vbs文件的路径,”218.22.123.26“为服务器的IP地址,”vbs“和”123456“为用户名和密码,因为系统输出”Conneting 218.22.123.26....OK!“表示连接成功(图一),下面还显示命令说明提示,这时就可否 在”CMD>“下输入各个操作的数字代号了。

  

   数字代号与操作对应如下:

0         退出脚本

1         远程开启或关闭telnet服务器

2         远程修改终端服务器端口

3         远程删除所有日志(包括系统日志、系统进程运行运行日志、安全日志>

4         获取服务器系统信息

5         例出服务器系统进程运行运行

6         删除服务器系统进程运行运行

7         远程执行DOS命令

8         远程重启服务器

另外要不得劲注意,客户端要关闭病毒防火墙,好多好多 杀毒软件把rcmd.vbs当作脚本病毒。

因为和服务器建立连接,要想进一步控制服务器就要启动telnet服务,另一1个 亲戚亲戚亲戚亲戚朋友就能远程登录到服务器,很难一切尽在掌握之中了。

入侵第二步:远程开启telnet服务器

  在”CMD>“提示符下输入“1”,这里"1"代表的就说 远程开启或关闭telnet服务器,因为telnet服务器是关闭的,回车后则显示“Querying state of telnet server....OK!  Changeing state....OK!  plese enter the ntlm:”提示,这里要求你选泽telnet服务器使用哪种NTLM身份验证最好的办法,在WINDOWS系统涵盖3种NTLM身份验证最好的办法,分别为:



1、不使用NTLM身份验证

2、先尝试NTLM身份验证,因为失败,再使用用户名和密码

3、只使用NTLM身份验证“

它们分别用0、1、2表示,WINDOWS系统默认为只使用NTLM身份验证。

这里输入数字”2“(图二),有过后在”plese enter the port:“中输入TELNET服务器的默认端口“23”,有过后系统输出成功启动TELNET服务信息“Setting NTLM=2....OK!  Setting port=23....OK!    Target telnet server has been START Successfully!   Now, you can try: telnet 218.22.123.26 23, to get a shell.”。

 当过后使用时,关闭TELNET服务器就更加容易,在”CMD>“提示符下输入“1”,有过后系统输出“Querying state of telnet server....OK!

Changeing state....OK!  Target telnet server has been STOP Successfully”,表示因为关闭TELNET服务器。

网络管理员为了管理方便,好多好多 windows服务器都开通了终端服务,但使用默认的3389端口很不安全,还是做些好事吧!修改它的端口号,哈哈,过后终端服务必须我就 用了。



入侵第三步:远程修改终端服务器端口

  

   在CMD>提示符下输入“2”,有过后在“plese enter the port:”顶端输入你想修改使用的端口号,比如“1234”,但有过后 端口号必须被有过后 的系统进程运行使用,接着修改注册表,要求你重启服务器(图三),嘴笨 原理很简单,“rcmd.vbs”远程修改服务器注册表项“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsdpwdTds cp”和“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp”的PortNumber数值。

既然因为控制了这台服务器,就要尽一份力量,服务器上运行的好多好多 系统进程运行看起来很不舒服,干掉它!



入侵第四步:远程杀掉服务器系统进程运行运行

  要想杀掉服务器系统进程运行运行,首很难知道它的PID,在“CMD>”下输入“5”,显示服务器系统进程运行运行列表,找到要删除系统进程运行运行的PID,这类要删除CMD.exe系统进程运行运行.它的PID为 “179676”,在“CMD>”下输入“6”,在“plese enter the process’s id:”输入179676,另一1个 就删除CMD.exe系统进程运行运行(图四)。

WINDOWS服务器有很完善的日志,亲戚亲戚亲戚亲戚朋友的一切操作都被记录在案了,必须我就看一遍那先 足丝马迹,没的商量,用rcmd.vbs提供的功能清空那先 记录。

入侵第五步:远程清空所有日志



  在“CMD>”下输入“3”后,系统提示“Clearing all logs....OK!  All logs have been cleared Successfully!”,另一1个 就清空了所有的记录。

   一切完毕,在“CMD>”下输入“0”后,就可否 退出此系统进程运行,rcmd.vbs还提供远程执行DOS命令、远程重启服务器功能、获取服务器系统信息功能,嘴笨 有过后 功能还不完善,如远程执行DOS命令必须显示运行结果,但作为VBS脚本语言编写的系统进程运行,能实现那先 功能因为不容易,使用最好的办法都很简单,亲戚亲戚亲戚亲戚朋友不妨一试。,