Board logo

标题: [讨论]关于3389登录的问题 [打印本页]

作者: jjcd    时间: 2008-7-21 00:57     标题: [讨论]关于3389登录的问题

[讨论]关于3389登录的问题
议题作者:梦风
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

  各位邪恶的前辈。。我又遇到了棘手的问题了。。
  拿下了一个网站的shell   网站开着3389 。在cmd。和asp马里面都可以查出来,千真万确开了3389
终端端口也没有修改。但是我却连接不上。。。
已经是第二次遇见了。。 我感觉我3389连接不上,有两个原因。第一:有了硬防。 第二: 则策略做了限制。。
   请问还有其他的原因么?要是有应该如何解决。。
  有的人就要说了,用lcx转发,我的想法是 ,假如可以在lcx里面运行lcx。那么我的马是不是也可以运行了。。  
  还有个shell。他的sever-u  开放了,但是21端口没有开放,我查看了他所有的端口,哪怕是一个一个的试都没有试出他的ftp端口到底多少
   关键还是 3389开了,却连接不上的原因再哪里呢!!  有好的解决的办法么、、 这个网站有3个ip  3个ip都不可以连接。。。。
   
以后我发的问题帖子,都可以圆满的解决掉,希望这次也是。。shell我已经拿了一个月了。。。

  因为各种原因。shell截图,和端口开放情况我就不截图了。。安全第一。。。拿下以后我会通知管理员的

谢谢
帖子25 精华0 积分61 阅读权限40 性别男 在线时间67 小时 注册时间2007-10-12 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP 软件项目外包


ring04h
团队执行官

作者: 热带牛仔    时间: 2008-7-21 00:57

ping qq.com  看能与外部网络互联不?      不能连外网,lcx再怎么转都没用。
帖子3923 精华128 积分209640 阅读权限200 性别男 在线时间1095 小时 注册时间2007-10-23 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘(图)

撕碎了的小C
技术核心组

作者: 土人    时间: 2008-7-21 00:57

很可能用IPSEC做了设置,只能由指定IP连接3389端口,能运行LCX当然就可以运行木马了,
关于FTP端口可以用amap扫描后智能判断。如果Serv-u无法利用建议放置免杀木马至启动文件夹,等到运行后上线。
作者: 44447777kun    时间: 2008-7-21 00:57

防火墙、tcp/ip筛选、ipsec、第三方软件、硬防上次我上网查资料,突然弹出来一个网页,很黄很暴力,我赶紧给关了。

帖子191 精华2 积分494 阅读权限40 性别男 在线时间87 小时 注册时间2005-1-18 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

黑暗传说
晶莹剔透§烈日灼然
作者: 缺一    时间: 2008-7-21 00:57

看看是不是防火墙引起的原因,如果是关掉防火墙在连接试试
帖子17 精华0 积分-121 阅读权限1 在线时间9 小时 注册时间2008-3-19 最后登录2008-6-13 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

梦风
晶莹剔透§烈日灼然
作者: 吉普2020    时间: 2008-7-21 00:57

谢谢各位。

  首先,我试了下ping baidu  ping  的通。
   
  第二个:指定ip连接3389.我感觉不像把,管理员进行远程维护的时候难道他的ip一直都试固定的啊。。也应该试在家维护的把。。    还有lcx运行的问题
  我昨天问了个朋友同样的问题,他告诉我说。。 在shell里面试guest权限,不能运行木马,因为木马的运行需要administrator的权限,而lcx需要guest的权限就可以运行,还只能用他的转发功能,我想这个可能也是吧  还有,现在貌似03系统想放个文件到启动项不容易把。。。

  我碰到好多在shell里面都不可以运行lcx。。就能运行个cmd。。
  
   还有其他办法连接么、、、。。谢谢,,
帖子25 精华0 积分61 阅读权限40 性别男 在线时间67 小时 注册时间2007-10-12 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

wwwsssxxxqaz
晶莹剔透§烈日灼然
作者: bbbbf    时间: 2008-7-21 00:57

忽略了一个内网的原因
帖子3 精华0 积分5 阅读权限40 在线时间2 小时 注册时间2007-9-19 最后登录2008-4-13 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

pt007
荣誉会员

作者: 大胃仔    时间: 2008-7-21 00:57

网站开着3389 。在cmd。和asp马里面都可以查出来,千真万确开了3389
终端端口也没有修改。但是我却连接不上。。。
有可能通过防火墙做了端口转换,以前遇到过把3389转到8055的情况,用superscaner进行一下全端口扫描,还有一种情况是对方通过的VPN或者中转主机进行远程维护的.每个人都有属于自已的世界,人生因此而精彩,HACK就是我的世界!

帖子209 精华30 积分3816 阅读权限100 性别男 在线时间432 小时 注册时间2005-9-9 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

laowan
晶莹剔透§烈日灼然
作者: 网上网下    时间: 2008-7-21 00:57

回复 6楼 梦风 的帖子
指定ip连接3389.我感觉不像把,管理员进行远程维护的时候难道他的ip一直都试固定的啊



有这种情况
帖子18 精华0 积分46 阅读权限40 性别男 在线时间32 小时 注册时间2007-12-26 最后登录2008-4-5 查看详细资料引用 报告 回复 TOP

hackqy
晶莹剔透§烈日灼然
作者: kinsaang    时间: 2008-7-21 00:57

引用:
原帖由 wwwsssxxxqaz 于 2008-4-2 06:06 发表
忽略了一个内网的原因
很有可能是他限制了登录的IP
以前拿了个网站服务器不过在内网中,不过有外网的IP,但是一直无法登录3389
后来登录后发现是管理员限制外网的IP。
你可以看看他有没有什么可以利用的软件。

帖子8 精华0 积分31 阅读权限40 性别男 在线时间8 小时 注册时间2007-9-15 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

我爱一条柴
晶莹剔透§烈日灼然
作者: hjh    时间: 2008-7-21 00:57

这种情况我曾经遇到过,曾经有个服务器的站拿下webshell的时候已经在76532端口开了远程,我又傻呼呼的按照网上教程去开3389端口(ser-u 里面弄的,连管理员我都添加成功了)结果造成无法登陆,折腾N久。后来居然让管理员发现无法登陆而自己重新把端口又设回了76532。后来我才拿我添加的管理员登陆成功的。那是个超级意外,而且又是2000.
还有个可能,他是内网主机,在WEBSHELL拿ipconfig -all试试,看看自己的网络环境,如果内网就必须拿LCX了。LCX需要运行的权限比较低,不用担心会运行不起来(除非被杀毒拦截了)。这个你自己试试,反正我曾经一试就OK了。
帖子31 精华0 积分105 阅读权限40 性别男 在线时间83 小时 注册时间2006-10-21 最后登录2008-4-2 查看详细资料引用 报告 回复 TOP

leida520
晶莹剔透§烈日灼然
作者: 枫枫    时间: 2008-7-21 00:57

你有最高systm权限  如果连不上  那就做个LCX反连接 就可以解决的
他可能是有防火墙 或者设置里IP策略 或者是在内网里!
实在不行做个免杀鸽子之类的反弹木马systm下运行下就OK咯
记得 LCX 也是需要systm权限才可以反弹连接的!
帖子7 精华0 积分19 阅读权限40 在线时间6 小时 注册时间2007-12-19 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

゛小︷帅!﹊
晶莹剔透§烈日灼然
作者: terry    时间: 2008-7-21 00:57

万一只支持本机登陆呢?lcx转发。

帖子58 精华0 积分155 阅读权限40 来自杭州 在线时间152 小时 注册时间2007-9-29 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

泡泡
晶莹剔透§烈日灼然
作者: 马自达    时间: 2008-7-21 00:57

木马是可以运行的```不过权限和shell的一样```
帖子4 精华0 积分11 阅读权限40 在线时间3 小时 注册时间2007-4-17 最后登录2008-6-16 查看详细资料引用 报告 回复 TOP

Avon
晶莹剔透§烈日灼然
作者: hua668    时间: 2008-7-21 00:57

引用:
原帖由 leida520 于 2008-6-13 17:51 发表
你有最高systm权限  如果连不上  那就做个LCX反连接 就可以解决的
他可能是有防火墙 或者设置里IP策略 或者是在内网里!
实在不行做个免杀鸽子之类的反弹木马systm下运行下就OK咯
记得 LCX 也是需要systm权限才可以 ...
牛人.....LCX用得着SYSTEM权限运行吗?
现在的牛人越来越多了.
帖子12 精华0 积分3 阅读权限40 性别女 在线时间6 小时 注册时间2008-6-12 最后登录2008-7-3 查看详细资料引用 报告 回复 TOP

67469696
晶莹剔透§烈日灼然
作者: 卡车司机    时间: 2008-7-21 00:57

很可能用IPSEC做了设置,呵呵 我前段时间搞个站的时候也是,做了这个IPSEC设置,只能指定的IP段访问,呵呵,
帖子7 精华0 积分14 阅读权限40 在线时间21 小时 注册时间2007-4-30 最后登录2008-7-14 查看详细资料引用 报告 回复 TOP

zerosoul
晶莹剔透§烈日灼然
作者: 沙王    时间: 2008-7-21 00:57

lcx是可以运行起来的,我也试过。
我觉得应该是只能允许内网连接。
可以试试下面的lcx命令:
lcx -listen 1234
lcx -tran 1234 127.0.0.1 3389
如果还不行,就用ipconfig看下内网IP,比如是192.168.0.1,然后输入下面的命令试试:
lcx -listen 1234
lcx -tran 1234 192.168.0.1 3389
作者: 蓝精灵    时间: 2008-7-21 00:57

我也遇到过同样问题 不知该如何处理
帖子2 精华0 积分2 阅读权限40 在线时间2 小时 注册时间2008-5-14 最后登录2008-6-22 查看详细资料引用 报告 回复 TOP

ws
晶莹剔透§烈日灼然
作者: biaofbi    时间: 2008-7-21 00:57

引用:
原帖由 laowan 于 2008-4-2 12:29 发表
指定ip连接3389.我感觉不像把,管理员进行远程维护的时候难道他的ip一直都试固定的啊



有这种情况
很有可能是他限制了登录的IP
因为他可以通过vpn管理
帖子33 精华0 积分78 阅读权限40 在线时间14 小时 注册时间2005-8-29 最后登录2008-7-5 查看详细资料引用 报告 回复 TOP

yyb1813
晶莹剔透§烈日灼然
作者: dgsouxin.com    时间: 2008-7-21 00:57

我有一个更麻烦的,3389开了,远程界面可以连接,就是进不去,用户权限都是够的。后来我将他的高级用户还有远程用户组一个一个试了个遍,都不行,进不去,没办法了!只能闪了,想不到解决的办法。看了下他的IP,是内网,10.*。*。*的IP,可能路由转了端口,但可以打开输入用户名密码的界面,为什么进不去,搞不懂。
帖子66 精华0 积分209 阅读权限40 在线时间46 小时 注册时间2006-1-19 最后登录2008-7-12 查看详细资料引用 报告 回复 TOP

fr.qaker
技术核心组

作者: 咖啡豆    时间: 2008-7-21 00:57

呵呵, 有可能遇到DMZ主机, 不同端口映射不同的机器, 比如80映射10.1.1.1   3389映射10.1.1.2 etc....
这种情况下, 不管你用lcx, 还是开服务什么的, 全部无效, 因为路由端口不映射
遇到这种情况, 也不是没有办法
就是确定这个IP到底开了哪些端口是可以从外部链接的, 然后停止一个, 把3389改上去, 就搞定了.....自从做了俯卧撑,腰也不痛了,背也不酸了,打酱油也有劲了

帖子151 精华6 积分3794 阅读权限200 性别男 来自AUS 在线时间90 小时 注册时间2005-11-15 最后登录2008-7-17 查看个人网站
查看详细资料引用 报告 回复 TOP

zmhack
晶莹剔透§烈日灼然
作者: betty    时间: 2008-7-21 00:57

内网 不映射 连接不上 3389 的 你最好先确定是不是内网 管理员可以通过VNC 等远程管理服务器的不一定非的用3389
所以他可以不映射 他的终端
连接上3389 但是进不去的 原因 我看2003 本地安全策略里有终端限制的d

帖子11 精华0 积分38 阅读权限40 在线时间15 小时 注册时间2007-3-16 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

冷了左眼
晶莹剔透§烈日灼然
作者: 爱车族长    时间: 2008-7-21 00:57

如果确定不是内网.就用反弹木马,反弹回来.然后重新开一下,,,

你可能跟我碰到的一样,参考一下我那个帖子..就是那个请教root提权的问题..
帖子20 精华0 积分54 阅读权限40 性别男 在线时间8 小时 注册时间2007-3-24 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

丢失的蓝色
晶莹剔透§烈日灼然
作者: 原始宝宝    时间: 2008-7-21 00:57

回复 7楼 wwwsssxxxqaz 的帖子
支持7楼的说法!忽略了内网的原因!

开放了其他服务器的3389对外,通过连接登陆内网的3389!

我服务器就是这样做的!一切都要靠自己

帖子7 精华0 积分22 阅读权限40 在线时间2 小时 注册时间2005-10-11 最后登录2008-7-10 查看详细资料引用 报告 回复 TOP

丢失的蓝色
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2