[讨论]关于3389登录的问题
议题作者:梦风信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
各位邪恶的前辈。。我又遇到了棘手的问题了。。
拿下了一个网站的shell 网站开着3389 。在cmd。和asp马里面都可以查出来,千真万确开了3389
终端端口也没有修改。但是我却连接不上。。。
已经是第二次遇见了。。 我感觉我3389连接不上,有两个原因。第一:有了硬防。 第二: 则策略做了限制。。
请问还有其他的原因么?要是有应该如何解决。。
有的人就要说了,用lcx转发,我的想法是 ,假如可以在lcx里面运行lcx。那么我的马是不是也可以运行了。。
还有个shell。他的sever-u 开放了,但是21端口没有开放,我查看了他所有的端口,哪怕是一个一个的试都没有试出他的ftp端口到底多少
关键还是 3389开了,却连接不上的原因再哪里呢!! 有好的解决的办法么、、 这个网站有3个ip 3个ip都不可以连接。。。。
以后我发的问题帖子,都可以圆满的解决掉,希望这次也是。。shell我已经拿了一个月了。。。
因为各种原因。shell截图,和端口开放情况我就不截图了。。安全第一。。。拿下以后我会通知管理员的
谢谢 ping qq.com 看能与外部网络互联不? 不能连外网,lcx再怎么转都没用。 很可能用IPSEC做了设置,只能由指定IP连接3389端口,能运行LCX当然就可以运行木马了,
关于FTP端口可以用amap扫描后智能判断。如果Serv-u无法利用建议放置免杀木马至启动文件夹,等到运行后上线。
[[i] 本帖最后由 撕碎了的小C 于 2008-3-26 12:51 编辑 [/i]] 防火墙、tcp/ip筛选、ipsec、第三方软件、硬防 看看是不是防火墙引起的原因,如果是关掉防火墙在连接试试 谢谢各位。
首先,我试了下ping baidu ping 的通。
第二个:指定ip连接3389.我感觉不像把,管理员进行远程维护的时候难道他的ip一直都试固定的啊。。也应该试在家维护的把。。 还有lcx运行的问题
我昨天问了个朋友同样的问题,他告诉我说。。 在shell里面试guest权限,不能运行木马,因为木马的运行需要administrator的权限,而lcx需要guest的权限就可以运行,还只能用他的转发功能,我想这个可能也是吧 还有,现在貌似03系统想放个文件到启动项不容易把。。。
我碰到好多在shell里面都不可以运行lcx。。就能运行个cmd。。
还有其他办法连接么、、、。。谢谢,, 忽略了一个内网的原因 网站开着3389 。在cmd。和asp马里面都可以查出来,千真万确开了3389
终端端口也没有修改。但是我却连接不上。。。
有可能通过防火墙做了端口转换,以前遇到过把3389转到8055的情况,用superscaner进行一下全端口扫描,还有一种情况是对方通过的VPN或者中转主机进行远程维护的.
回复 6楼 梦风 的帖子
指定ip连接3389.我感觉不像把,管理员进行远程维护的时候难道他的ip一直都试固定的啊有这种情况 [quote]原帖由 [i]wwwsssxxxqaz[/i] 于 2008-4-2 06:06 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=140760&ptid=32546][img]images/common/back.gif[/img][/url]
忽略了一个内网的原因 [/quote]
很有可能是他限制了登录的IP
以前拿了个网站服务器不过在内网中,不过有外网的IP,但是一直无法登录3389
后来登录后发现是管理员限制外网的IP。
你可以看看他有没有什么可以利用的软件。 这种情况我曾经遇到过,曾经有个服务器的站拿下webshell的时候已经在76532端口开了远程,我又傻呼呼的按照网上教程去开3389端口(ser-u 里面弄的,连管理员我都添加成功了)结果造成无法登陆,折腾N久。后来居然让管理员发现无法登陆而自己重新把端口又设回了76532。后来我才拿我添加的管理员登陆成功的。那是个超级意外,而且又是2000.
还有个可能,他是内网主机,在WEBSHELL拿ipconfig -all试试,看看自己的网络环境,如果内网就必须拿LCX了。LCX需要运行的权限比较低,不用担心会运行不起来(除非被杀毒拦截了)。这个你自己试试,反正我曾经一试就OK了。 你有最高systm权限 如果连不上 那就做个LCX反连接 就可以解决的
他可能是有防火墙 或者设置里IP策略 或者是在内网里!
实在不行做个免杀鸽子之类的反弹木马systm下运行下就OK咯
记得 LCX 也是需要systm权限才可以反弹连接的! 万一只支持本机登陆呢?lcx转发。 木马是可以运行的```不过权限和shell的一样``` [quote]原帖由 [i]leida520[/i] 于 2008-6-13 17:51 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=144436&ptid=32546][img]images/common/back.gif[/img][/url]
你有最高systm权限 如果连不上 那就做个LCX反连接 就可以解决的
他可能是有防火墙 或者设置里IP策略 或者是在内网里!
实在不行做个免杀鸽子之类的反弹木马systm下运行下就OK咯
记得 LCX 也是需要systm权限才可以 ... [/quote]
牛人.....LCX用得着SYSTEM权限运行吗?
现在的牛人越来越多了. 很可能用IPSEC做了设置,呵呵 我前段时间搞个站的时候也是,做了这个IPSEC设置,只能指定的IP段访问,呵呵, lcx是可以运行起来的,我也试过。
我觉得应该是只能允许内网连接。
可以试试下面的lcx命令:
lcx -listen 1234
lcx -tran 1234 127.0.0.1 3389
如果还不行,就用ipconfig看下内网IP,比如是192.168.0.1,然后输入下面的命令试试:
lcx -listen 1234
lcx -tran 1234 192.168.0.1 3389
[[i] 本帖最后由 zerosoul 于 2008-6-15 09:18 编辑 [/i]] 我也遇到过同样问题 不知该如何处理 [quote]原帖由 [i]laowan[/i] 于 2008-4-2 12:29 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=140774&ptid=32546][img]images/common/back.gif[/img][/url]
指定ip连接3389.我感觉不像把,管理员进行远程维护的时候难道他的ip一直都试固定的啊
有这种情况 [/quote]
很有可能是他限制了登录的IP
因为他可以通过vpn管理 我有一个更麻烦的,3389开了,远程界面可以连接,就是进不去,用户权限都是够的。后来我将他的高级用户还有远程用户组一个一个试了个遍,都不行,进不去,没办法了!只能闪了,想不到解决的办法。看了下他的IP,是内网,10.*。*。*的IP,可能路由转了端口,但可以打开输入用户名密码的界面,为什么进不去,搞不懂。 呵呵, 有可能遇到DMZ主机, 不同端口映射不同的机器, 比如80映射10.1.1.1 3389映射10.1.1.2 etc....
这种情况下, 不管你用lcx, 还是开服务什么的, 全部无效, 因为路由端口不映射
遇到这种情况, 也不是没有办法
就是确定这个IP到底开了哪些端口是可以从外部链接的, 然后停止一个, 把3389改上去, 就搞定了..... 内网 不映射 连接不上 3389 的 你最好先确定是不是内网 管理员可以通过VNC 等远程管理服务器的不一定非的用3389
所以他可以不映射 他的终端
连接上3389 但是进不去的 原因 我看2003 本地安全策略里有终端限制的 如果确定不是内网.就用反弹木马,反弹回来.然后重新开一下,,,
你可能跟我碰到的一样,参考一下我那个帖子..就是那个请教root提权的问题..
回复 7楼 wwwsssxxxqaz 的帖子
支持7楼的说法!忽略了内网的原因!开放了其他服务器的3389对外,通过连接登陆内网的3389!
我服务器就是这样做的!
回复 20楼 yyb1813 的帖子
如果管理员指定了一个用户登陆,你如何进入呢??回复 20楼 yyb1813 的帖子
如果管理员指定了一个用户登陆,你如何进入呢?? 最近经常碰到这种情况,可能的原因很多,只允许某些IP登录,端口被防火墙转啦等等,这时需要仔细看防护策略啦。 支持6楼的说法.内网的原因 支持7楼的说法!忽略了内网的原因 我问个问题我登陆3389,克隆了管理员的账号,然后用这个克隆的账号登陆3389,进去后就是系统管理员的桌面
请问,我直接操作,管理员在电脑前,能不能看到我的操作啊
这问题困扰我很长时间了,希望高手帮忙回答下。
页:
[1]