文档介绍：最近3389端口入侵
前言:由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼的w2000 服务器存在着远程登陆并能获取超级用户权限的严重漏洞。JeJK
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享+tNwY*
3389端口简介:WIN2000中文简体版存在的输入法漏洞,可以使本地用户绕过身份验证机制而进入系统内部。经实验,WIN2000中文简体版的终端服务,在远程操作时仍然存在这一漏洞,而且危害更大。 epN%##
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享 RGa;%z
WIN2000的终端服务功能,能使系统管理员对WIN2000进行远程操作,采用的是图形界面,用户在远程控制计算机时其功能与在本地使用一样,其默认端口为3389,用户只要装了WIN2000的客户端连接管理器就能与开启了该服务的计算机相联。因此这一漏洞使终端服务成为WIN2000的合法木马。 eQq
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享$&36.
这次我们要用到的工具有: WIN2000终端服务客户端。]NW;
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享 M
下面我们来看看是怎么入侵的。x
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享.-
第一步:我们现在要做的是找到一台存在3389端口漏洞的主机,这是我们可爱的SUPERSCAN上场的时候了,D[Kx7
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享 AQY,
z
如果您对SUPERSCAN不太熟悉的话,你按照上图的配置就行了,在开始处填上你要扫描的IP地址段,结束处填上结束的IP地址段,如果你的网速和机器配置并不高的话,请不要扫描多个IP地址段。-C
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享
第二步:假设我们现在已经得到一台存在3389漏洞的主机,现在我们要做的是进入到他的计算机中。这里我们就要用到上面所说到的终端客户端连接器了连接了。如下图所示:J
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享 OV~
V3Gk
我们需要在服务器处填上我们刚才扫描得到的3389端口主机,屏幕区域:640*480 800*600 1024*768……这个是你连接上去以后在你机器上显示的分辨率,建议为:800*600。在启用数据压缩处打上勾。其他的就不用调整了!就使用默认了!点连接,我们就可以看到熟悉的WIN2000登陆界面了!,
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享 uwBB
第三步:我们要做的是利用输入法漏洞为我们创建一个用户,并加入到administrators中去,或者将guset激活。建议激活guset,因为这样不容易被网管发现。具体方法如下:pp<
©黑色海岸线网络安全技术论坛-- 自由,开放,免费,共享\|E8M@
用终端连接器连接上几秒钟后,屏幕上显示出WIN2000登录界面(如果发现是英文或繁体中文版,放弃,另换一个地址)。用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条(如果没有出现,请耐心等待,因为对方的数据流传输还有一个过程)。用右键点击状态条上的