Авторские статьи Превращение Win-xp-sp2 в сервер терминалов (или троян от Мелкомягких)

Превращение WIN-XP-SP2 в сервер терминалов (или троян от Мелкомягких)

Предисловие.​

Многие знают, что из WIN-XP можно сделать сервер терминалов и подключаться по сети к удалённому рабочему столу удалённо, работая в отдельной ссесии с графическим интерфейсом, при этом не отключая локального пользователя. То есть в итоге мы получаем возможность входа ещё одного пользователя в систему, только удалённого.

ссылка по теме: http://www.xakep.ru/post/28531/default.asp
В случае прямого доступа к компьютеру это сделать несложно, заменив одну dll (termsrv.dll), настроив политики безопасности, разрешив удалённый рабочий стол и т. д.

Наша задача провернуть всё это удалённо, имея только cmd-шелл.

1. Подготовка​

Нам потребуется сама termsrv.dll от старой версии (не помню какой бетты) 5.1.2600.2055 - такая у меня, прямые руки и мозги в голове.
Обратимся к статейке (не помню кто автор, откопаю ссылку-выложу тут, позже):

2. Сборка трояна (down-patch`а)​

Итак приступим к сборке трояна от Meлкомягких:
Ну вот, нужная инфа у нас есть. Используем обычный SFX-архив WinRAR, чтоб положить туда три файла:
termsrv.dll - наша dll
key.reg - файл настроек сервера терминалов
run.cmd - сценарий, который сделает всё необходимое.
Определимся с путём куда будет распаковываться наш архив. Я выбрал %WinDir%\Temp (есть у любой винды)
Можно начинать писать файл run.cmd (ему мы передадим управление после распаковки SFX-архива)
Заменить залоченную termsrv.dll, перезаписав её у нас не получится, но мы можем её переименовать!

Так же не забудем про то, что она может быть легко восстановлена службой System File Protection из dll - кэша, поэтому, заменим её и там (она не залочена) а в system32 уже можно скопировать под оригинальным именем.

далее:

Готовим файл key.reg

Берём нашу винду, запускаем regedit и экспортируем реестр. Далее делаем все настройки удалённого рабочего стола.
а) разрешаем его: Свойства системы -> Удалённые сеансы -> Разрешить удалённый доступ к этому компьютеру. (ставим галку)
б) разрешаем быстрое переключение пользователей: Учётные записи пользователей-> Изменение входа пользователей в систему ставим обе галки (использовать страницу приветствия, разрешить быстрое переключение пользователей)
Кстати, надо сделать чтоб наш пользователь не отображался в этом приветствии, так как это сразу палево, поэтому сделаем его скрытым:

- не забудем добавить эту строку в наш key.reg (потом)
Экспортируем реестр ещё раз, затем в TotalCommander сравниваем два файла реестра по содержимому, отслеживаем изменения и заносим их в блокнот.
Сохраняем как файл key.reg
Добавим туда (в начало) ещё то что, прилагалось в статье (настройка сервера терминалов и политики безопасности):

И в конец строку, делающую нашего админа asdf невидимым в окне приглашения.

То что у меня получилось (файл key.reg) , можно скачать тут (имхо его надо всё-таки почистить, много лишнего)

Ну всё готово! Архивируем три файла (termsrv.dll, run.cmd, key.reg) WinRar`ом. Выставляем параметры:

Всё, наш троян готов! (Я обозвал SFX-архив terminal.exe)

3. Впаривание трояна​

Используя пакет Metasplot Framework и уязвимости в Windows-XP вы можете попробовать обеспечить его загрузку (впаривание) с удалённого сервера и передачу ему управления. (полезная нагрузка win32_downloadexec)
В общем как вы запустите его на компьютере жерты - это зависит от ваших знаний и везения.
Один из способов описан мной в статье "Metasplot Framework часть 2 (или раздача троя)".

Заключение.​

Вот так можно сделать downgrade системы Win-xp-sp2, превратив её в сервер терминалов. Конечно более-менее продвинутый пользователь заметит другого пользователя в системе, убьёт учётку, может сделать откат и т. д. Поэтому в серьёз данного трояна рассматривать не стоит. Кроме того dll ранней версии может быть заменена на новую при установке, добавлении компонентов из дистрибутива и т.д. Но в локалке такая переделка актуальна.
Можно добавить его в автозагрузку - будет даунгрейдится каждый раз при запуске.
Минус в том, что для вступления в силу изменений потребуется перезагрузка системы (можно добавить команду перезагрузки в run.cmd) и только потом будет возможно подключится к удалённому рабочему столу.


P.S.Тут не рассмотренна проблема, которую может создать нестандартный файрвол при подключении к серверу терминалов. (у меня был и стандартный отключен)
Скачать готовый SFX-архив terminal.exe (внутри всё необходимое) Антивирем не палится ;-) (и вряд ли когда будет).

 

класс! только вот в чем проблемка... я пробывал на себе... в общем появляеться окошко, типо "Вставте диск №2", ну да ладно жму отмену и сохранить файлы. Но после перезагрузки новый пользователь не появляеться. Пробывал на остальных юзверях в общем с SP2 ваще не катит... с SP1 прокатило. И то! двух пользователей одновременно не поддерживает. В общем в чем the problem?

 

1. Всё справедливо, для Локализованной русской винды, если сидишь под админской учёткой (под ограниченной админа не добавишь). Удалённый сплоит, насколько мне известно получает права "system". Файл сценария run.cmd должен быть набран в 866 кодировке (иначе не найдётся группа "Администраторы" при добавлении нового админа).
2. Проверь termsrv.dll - найди на системном диске все копии библиотеки и глянь версию, может всё-таки оригинальная используется и операция с заменой dll не прошла успешно...
На неделе попробую на трёх системах WIN-XP, SP1, SP2, имхо там есть различие в функционировании службы защиты системных файлов, доведу сборку до ума, чтоб на всех трёх прокатывало...

 

м... ну я еще не такой опытный... в общем благодаря этой статье идейка у меня появилась, сделать что-то подобное с радмином... в общем за ранее спасибо за доработанную сборку

 

было бы странно палить АВ фактически родную длл винды

 

C РАдмином уже сделано (читай мега FAQ Elekt`a по RA). Да и я тоже делал (немного по своему, хотя смысл тот же). Как раз поэтому и захотелось это сделать с сервером терминалов в XP...

 

Вот в чем проблема короче делаю SFX архив
коментарии:
Path=C:\WINDOWS\Help\123\
SavePath
Setup=C:\WINDOWS\Help\123\svchost.exe
Setup=C:\WINDOWS\Help\123\111.bat
Setup=123.exe
Silent=1
Overwrite=2
А антивирус палит, в чем the problem?

 

onikishov
Не понял, откуда ты взял этот sfx. сам создал и напичкал публичными вирями чтоли? )
Пользоваться надо sfx-сом -=lebed=- (Скачать)
Внимательнее надо читать.
З.Ы.: смотри не запусти случайно его у себя на компе )

 

Как радмин не назови - будет палится, пробуй его криптовать сначала...

 

нет, это не вери, а радмин. Так прикол в том, что сначала проверяешь Касперским на вирусы, он светит ниче нема. А у других юзверей орет, что есть(какой антивирус не знаю).

 

Вместо использования key.reg можно было в run.cmd прописать что то вроде этого:

Code:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core" /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AllowMultipleTSSessions /t REG_DWORD /d 00000001
REG ADD "HKLM\SYSTEM\ControlSet001\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000
REG ADD "HKLM\SYSTEM\ControlSet001\Control\Terminal Server" /v fEnableSalem /t REG_DWORD /d 00000000
REG ADD "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD" /v NextInstance /t REG_DWORD /d 00000001

 

Лучше бы доработали,оч интересно.У самого мозгов пока что не хватает

 

Чтоб не париться вот патченая длл-ка с моей машины: http://temp.aoh.name/termsrv.dll
Патч: http://temp.aoh.name/TS-Free-1.1.exe

Автор молодец, статья кул +)

 

А вам слабо сделать такие файлы с обратным действием??????
(на всякий случай )
Мало ли ты заметил что тебя так протроили...... и ты об этом узнал.!. Конечно же тебе захочется воспользоваться де активом НО ЕГО НЕ СУЩЕСТВУЕТ!!!!!!!!!!!!!!!!!!!

 

Если работает служба восстановления системы (наблюдение за дисками и реестром), то всегда можно сделать откат системы, на более раннюю дату, кроме того, установка какого-либо компонента виндос, как правило, переписывает termsrv.dll на оригинальную.

 

Когда конектюсь к компу выводит такую байду

"Интерактивный вход в систему на данном компьютере запрещен локальной политикой."

В чём дело?

1. Смотри в статье это: "Настройка сервера терминалов и политики безопасности".
2. После изменений настроек политики безопасности в реестре требуется перезагрузка системы.

 

м... А где доработка? уже много времени прошло... В общем возникают проблемы только с SP2. Еще когда на компе включен NOD32 или фаер. netsh firewall add portopening TCP 3389 systerm - эта команда особо не помогает Если кто-то продвинулся в этом деле помогите плиз

 

Почему на некоторых дедиках невылазиет окошко чтобы вставить диск ?
Из за этого дедик терминалом нестановится ((
Почему так ?

 

"было бы странно палить АВ фактически родную длл винды" если включена "Проактивная защита", то спалит =) я про Касперского (kis), а так хз, неплохо )

 

Да всё бы хорошо но как только ты подрубаешься к машине , то у юзера вылетат msgbox , мол asdf пытается установиться связь с этим комп и тд , и если он жмёт "НЕТ " а ведь всё жмут "НЕТ", то облом , а если "ДА" то он тогда вываливается из тачки, начинаются подозрения , жаль что ничего нельзя придумать ... , если есть методы посоветуйте

зы а так всё работает на ура