【3.A.S.T】网络安全爱好者 » 原创专区 » 【原创】跨越3389障碍终极思考

柔肠寸断 发表于 2008-8-12 01:43

【原创】跨越3389障碍终极思考

文章首发:[3.A.S.T]http://www.3ast.com.cn/
-L!B9Z4Q U-]+Eo 原文作者:柔肠寸断[3.A.S.T]
3f$U{#R"MB)O
.KN(`XQ.kk*R9j9\E =========================================
7K!J Y!m!OkZ1_ 首先给点基础的代码，然后再说障碍
2}rQu;? =========================================
zM*N$f:k#g%V/A(W6?9^ 2000生成3389bat代码[code]echo Windows Registry Editor Version 5.00 >2000.reg
`d$n!~4|7h echo. >>2000.reg2d G7p(yG nm-c
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg a.O`6j!W
echo "Enabled"="0" >>2000.reg
jP,~T,vwnz echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
_0Bf
X Uv2WN:n echo "ShutdownWithoutLogon"="0" >>2000.reg ,tJX9LJP-Ea
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
J)FS)T+k\9Oi0\ echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg 4dYu{5D1p"~;_V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg ].AC(e
~:j;y1E
echo "TSEnabled"=dword:00000001 >>2000.reg
'~+{F,xv$F
\i,m W echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg k_%O0kK0Ef
echo "Start"=dword:00000002 >>2000.reg |.e A+aT*A&C
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg M)x7I3v#Ci"si-q
echo "Start"=dword:00000002 >>2000.reg ,vn:AY2JlPXcq3Hf|(a
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
|5rg8Q%bR echo "Hotkey"="1" >>2000.reg i([S\[$r e({
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg +UPnqb'S
echo "PortNumber"=dword:00000D3D >>2000.reg
tY2{Rp*j4m,E1Lc?2A echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg 4V'{n|&Z
echo "PortNumber"=dword:00000D3D >>2000.reg[/code]Win XP&Win 2003生成3389bat代码[code]echo Windows Registry Editor Version 5.00 >3389.reg
4iP5le9k1n echo. >>3389.reg
@)mlZ,B?&R? echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg/BxG"Tb g*bh\
echo "fDenyTSConnections"=dword:00000000 >>3389.reg/@#`0^~4{!Q"E
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg
;^i.MrFb
{ echo "PortNumber"=dword:00000d3d >>3389.reg
$h.C#V
pv#v1yLz echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
,_2B#g[e,y:Ec F echo "PortNumber"=dword:00000d3d >>3389.reg[/code]其中PortNumber是端口号，00000d3d为3389*_G(l#k;hw

.^6v9l5k3I"x-[*}l+p 通过cmd下“  regedit /s "reg文件路径"  ”进行reg文件导入
'Cm~9jqXW 但是必须要重新启动，虽然已经表面上开启了 Z w^3bxl
给一段比较好的代码，从众多代码中遴选出来的，具有较高的成功率，[color=red][b]基本上重启成功率达到100%[/b][/color]
E6t*ayV
I!`O A"wh5XE_GIk
重启bat代码[code]@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
`D&i,z4d Di a (set inf=InstallHinfSection DefaultInstall)
'Cd-L%^ ra7T echo signature=$chicago$ >> restart.inf
uu\[Z echo [defaultinstall] >> restart.inf
-O'mYVH;jJ*P rundll32 setupapi,%inf% 1 %temp%\restart.inf[/code]如果安装有IIS，可以使用iisreset.exe    命令:iisreset /reboot
W+ees5r
j Xu7h.r
重启之后就可以登陆了，而且不会出现错误
'W b,|e$]d :I0^7M4w!Ce!l
====================================================
6G2J]$pe r 下面听好了，开始说说障碍；TB$_
M)G!\1q.V
面对很多的克隆版本操作系统，即使你成功开启了3389，但是你连接的时候会出现如图的情况?]&@e0cg.?2|
[attach]199[/attach]
I
xi@6y}e'P 这是为什么呢？？其实答案很简单，就是在做系统封装的时候，为了减小程序的体积，有的程序就被删除或者忽略了，造成现在的无法连接3389（但是已经开启了），这要怎么办呢？？？？
c-J8Ky-Zr4D-N
J$UL5_6d
我们可以使用[color=red][b]devcon程序[/b][/color]，有的系统已经把他包含在自己的内部命令中，如果没有也没关系，微软官方网站都有下载，复制到system32目录，就可以当作内部命令使用了。我们为什么要用他？？？就是因为精简版的系统中，系统的终端服务器设备重定向器没有正确安装，我们用devcon的目的就是对终端服务器设备重定向器进行恢复。
p"jOBr,LSD 运行[code]devcon -r install %windir%\inf\machine.inf root\rdpdr[/code]成功执行，通过这种方法就可以解决上述问题
.Ds[X Wb [attach]200[/attach]
-HUeA4~ 再说一种比较常见的方法，导入一个Reg文件[code]

{)gk$Z+x Windows Registry Editor Version 5.00#t \7W5C}!TD
[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]
*kv4Z];Ds'OC^ "ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"
R`G1t3H "Class"="System":h!W_K
d)Tj"c
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\tv,q2Oj*loN
00,00,00,00,00
{ q#te z#\7d "Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030"L7G8f5[b1O }0Ej
"Mfg"="(标准系统设备)"
h%ZB@HUg "Service"="rdpdr"
Hw[(a _s7nW;| "DeviceDesc"="终端服务器设备重定向器"9a+O)YD"]w
"ConfigFlags"=dword:000000004M,C7^-z-ie8G\*mE
"Capabilities"=dword:00000000
3GL&z%S z#J
`gh:[(Z8p1] [/code]对系统进行导入，但是问题又来了
F+w tn.Awy 进行注册表文件进行导入的时候就会出现问题
5By+V'~C [attach]201[/attach]6dMWTr;n
进行reg的查看才知道，是因为相关的键值没有权限才会造成无法导入
?2A_@g&w:\;W;bB 这里我推荐一个新的工具：Regini0|K]gP3iPO
相关的用法（regini  /？  没有帮助）：kCP)kEv"G
[quote]
OO9Xt.Q
D
PB k Regini Data [Options...]
a`k]Vm"_      Useful Options:.l@;vAD4?3_
                1 - Administrators Full Access
Fg&S-F5BFt                 2 - Administrators Read Access
#PF d3jM"~ M6\P                 3 - Administrators Read and Write Access+o%Wt7{;c
]
                4 - Administrators Read, Write and Delete Access
L+K.]"t/C"a                 5 - Creator Full Access(c|O;sp4Rh
                6 - Creator Read and Write Access
.DN g%i-I                 7 - World Full Access
(d,|gh8^P:Nm                 8 - World Read Access
-qb6y z6w6Y1Gp                 9 - World Read and Write Access
@Z EP;Hx                10 - World Read, Write and Delete Access
+_|7G1{9|2Bb                11 - Power Users Full Access
.F1|K#wJ8qr                12 - Power Users Read and Write Access#M s"a eRW0{
               13 - Power Users Read, Write and Delete Access
!\'k;S]5W@eM ~d                14 - System Operators Full Access
Q
c$G:yeY1wC                15 - System Operators Read and Write Access,YP-Hm
R
               16 - System Operators Read, Write and Delete Access x#D$PgT'Zf
               17 - System Full Accessx}1qu$aT0f
               18 - System Read and Write Access
%O/Ibn3fz                19 - System Read Access*k(Ly+_v0a
               20 - Administrators Read, Write and Execute Access!rBz8A3E+zFm3j
               21 - Interactive User Full Access
6?TDrs:u                22 - Interactive User Read and Write Access8A
J4]z ?BU%K
               23 - Interactive User Read, Write and Delete Access

_E%} F? N0M ,h6e/pnS3h1j!?gSh
B(D w \,b`N
[/quote]
8e!~/?!up
WE NuW3l j&[*@ data中为注册表的键值，通过这样的方法就可以提升键值为相关的权限，从而成功导入reg文件
Wr6f+bYv7W!Lu [attach]202[/attach]

流氓 发表于 2008-8-12 02:22

能看懂！！+}_ K*y,g^"j5~]dj
但是没有时间实践啊！！%Ry$b e/p`!e+|
还需努力！！！
4_7s#rR1{H 柔柔深夜写作！
me7eq8T2U 值得学习！！！

柔肠寸断 发表于 2008-8-12 02:26

累死了，睡觉了.................

saitojie 发表于 2008-8-12 02:51

回复 1楼 柔肠寸断 的帖子

小柔，上面的批处理有点问题，代码的最后四行，2000还有XP&2003的都有问题！[code]
(^;V3d(PTg echo "PortNumber"=dword:00000D3D >>2000.reg +A-ap$r]N
g#c9t+h
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
"ON*o'D\#yG echo "PortNumber"=dword:00000D3D >>2000.reg
al H} kVk9\ [/code][code]
mFX}xS.b0B d echo "PortNumber"=dword:00000d3d >>3389.regJ)l:r,V/{l\n)L/S)v
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.regp8YM9u _'nG
echo "PortNumber"=dword:00000d3d >>3389.reg
-nl[1^K1H{ Y [/code][color=red]PortNumber[/color]
{5DJnS [color=black][/color]
3E/PP zkB$p;F/s3i(F [color=black]如果是因为发出来的时候出现了表情，那你在发帖的时候，把左边的【禁用表情】勾上就可以了！[/color]
6G(b R:TR6O
P7HaH jV9u [[i] 本帖最后由 saitojie 于 2008-8-12 03:00 编辑 [/i]]

saitojie 发表于 2008-8-12 10:55

你再看看上面！9Ipk hC'p
你的批处理里面的是ortnumber我的是Portnumber

柔肠寸断 发表于 2008-8-12 11:38

OK了

律师界撒 发表于 2008-8-12 13:39

学习了$^ U^8Xj2SR#h"o7@-b
写的不错

3ast 发表于 2008-8-12 16:42

不错，学习

applehdh 发表于 2008-8-14 14:41

学习一下啊  谢谢老大

ylw7999 发表于 2008-9-2 21:51

云里雾里

去里雾里，分方向不清！

柔肠寸断 发表于 2009-2-19 17:10

自己定下

查看完整版本: 【原创】跨越3389障碍终极思考