要牢牢抓住一只3389的机，还真要下一番功夫呢~

240106

[s:162] 2000直接破解SAM 文件也可以吧?

黑夜幽靈

首先说下修改端口，直接用3389那不是等着别人来扫吗（况且后来偶察觉到那鸡还有NT-Server弱口令，那Administrator居然空口令，偶$@#&^*……），那可不行！打开注册表，修改如下2个地方：

[HKEY_LOCAL_MACHINE\\\\System\\\\CurrentControlSet\\\\Control\\\\TerminalServer\\\\Wds\\\\rdpwd\\\\Tds\\\\tcp]PortNumber默认为3389，改为其它的但不要和常用端口重复
[HKEY_LOCAL_MACHINE\\\\System\\\\CurrentControlSet\\\\Control\\\\TerminalSrver\\\\WinStation\\\\RDP-Tcp]PortNumber同上

修改好后等它重起，就OK了。然后连接的时候注意只能用XP中分离出来的Mstsc.exe，格式为[color]IP:新端口[/COLOR]，如127.0.0.1:1234。这样处理之后，在端口上是没什么问题的了，而且尽量把端口设高点，免得被别人扫到，比如我就设的9765，呵呵。

不过“攘外必先安内”（好象这话用在这里有点不大对劲呢？呵呵~），有经验一点的管理员应该能在进程和服务里面发现偶启用了它的远程终端服务。像打扮偶的小马一样，给终端服务也来点伪装吧，嘿嘿~利用工具srvinstws：它能添加\\\\删除系统里的任何服务，还可以把程序变成服务。呵呵，猜到偶要做什么了没？哈哈，是的！删掉他一个服务，再把远程终端服务“冒名顶替”上去，这下看那管理员还找得着北不！哈哈哈哈~srvinstws的使用相当简单，看得懂English就知道怎么用，我就不螯述了。先删掉个不起眼的服务，再安装个服务，中间有一步要选择此安装的服务对应的程序，到“管理工具”中的“服務”里双击打开远程终端服务（Terminal Services？），在“可執行文件的路徑”里就是远程终端服务对应的程序了。完成后，再用另外一个小工具sc在CMD下输入“sc description 服务名 服务的相关说明（在顶替这个服务前先记下来）”，这样就完善了。做好以后，若那个服务没启动，用net start 服务名命令就好了。

最后再把你进来的时候利用的漏洞帮它补上，“独霸”工作基本上就算搞定了，不过还可以再做些更决的，偶留着以后再介绍，嘻嘻~

下面再回到建立用户的问题上。如果你是直接建立一个帐号并添加到管理员组，再登上去玩的，我可以告诉你：你这么做简直就是视对方管理员为空气，找死！为什么？呵呵，回想一下，你打开自己电脑登陆自己系统的时候有些什么东西？是不是有个登陆界面啊？如果登陆界面里多冒出个人而且还是大大的“系统管理员”你做何感想啊？如果是偶的话偶必将其大卸八块！如果是远程机来建的看偶不把那机也xyz了！呵呵，这样说明白了没？所以，建立一个隐藏起来的管理员帐号也是一件迫在眉睫的事。方法有2，且听偶道来~

首先粉墨登场的是大名鼎鼎的ca.exe，克隆帐号工具，使用方法相当简单。选个不起眼的帐号，一般来说什么HelpAssistant、IUSR_???、IWAM_???什么的就最好不过了，呵呵~然后用命令“ca.exe 管理员帐号 管理员帐号密码 被克隆帐号 被克隆帐号密码”就OK了，不过这里要用到管理员的密码，要获取也不是难事，只要管理员正在使用就行。方法如下：

利用工具FindPass，格式“findpass 登陆的域 管理员帐号 WinLogon的PID值（可以从任务管理器中获得）”。如果是在CMD下就要麻烦些，需要传2个工具pulist和p***ec过去，用“p***ec \\\\\\\\IP -u sa -p \"321\" c:\\\\winnt\\\\system32\\\\cmd.exe”开启对方的shell，接下来用pulist查看WinLogon的PID值和所在的域。

利用ca.exe很小巧方便，省事；不过下面介绍的一个手动来的方法更厉害！不过过程也比较繁琐，偶又不方便截图，且看偶能否以文字说明清楚，呵呵。

话说注册表是Windows的命脉所在，这话一点也不假啊~打开注册表，找到如下位置：
[HKEY_LOCAL_MACHINE\\\\SAM\\\\SAM\\\\Domains\\\\Account\\\\Users]
这里面会有很多像“000001F4”、“000003E9”什么的东东，并且还有一个Names，把它展开，展开之后会看到各个用户的名字。下面就是关键所在了，看好！！！越仔细越好！！！

第一步：首先选中Administrator，然后看右边的键值类型，一般是“0x1f4”，然后在左边找有没有“000001F4”这个东东，找到后选中它，把右边的F键值双击打开并把里面的代码全部复制（除了最左边的0000、0008、0010、……那一列）；再选中你要克隆成为隐藏帐户的用户（我以sk为例），同样查看右边的键值类型，我这里是“[color]0x3e9[/COLOR]”（这是我的，你们看自己的实际情况），之后就在左边找“000003E9”，同样选中并双击打开右边的F键值，把刚才复制的那一段粘贴上去。
第二步：选中000003E9后，然后在菜单栏里选文件、导出注册表文件。然后选中sk，同样导出注册表文件。
第三步：删除用户sk，在CMD下或“我的电脑、右键、管理、本地用户和组”里删除都行。
第四步：刷新注册表，选中Users，然后再导入刚才导出的那2个注册表文件。

哈哈，成啦！现在无论是用net user还是在“我的电脑、右键、管理、本地用户和组”中都找不到你了，而且对方登陆时也不会有你这个帐号的名字，真可谓是销声匿迹、人间蒸发了~哈哈！不过你却可以用这个帐号登陆，而且是超级管理员！爽呆了！！！看谁能阻止我！帅吧？！嘻嘻~

利用这个方法做出来的超级隐藏管理员帐号可是找也没处找，删也删不掉的哦，就算他用什么方法找到了要删，系统也会出错“该用户不属于此组”，也就是说他不属于任何组，无法删除，哈哈哈哈哈哈！这一招可是又狠毒又阴险，还致命！！！可别怪偶手段毒辣哦，偶只是有点贪玩而已啦，想多在里面玩玩而已啦~上帝保佑，阿门！

总之，要独霸肉鸡，偶觉得有3件必做：改端口、换服务、藏帐号！