[讨论]关于3389登录的问题 讨论, 登录

jjcd

[讨论]关于3389登录的问题
议题作者：梦风
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

  各位邪恶的前辈。。我又遇到了棘手的问题了。。
  拿下了一个网站的shell   网站开着3389 。在cmd。和asp马里面都可以查出来，千真万确开了3389
终端端口也没有修改。但是我却连接不上。。。
已经是第二次遇见了。。 我感觉我3389连接不上，有两个原因。第一：有了硬防。 第二： 则策略做了限制。。
   请问还有其他的原因么？要是有应该如何解决。。
  有的人就要说了，用lcx转发，我的想法是 ，假如可以在lcx里面运行lcx。那么我的马是不是也可以运行了。。  
  还有个shell。他的sever-u  开放了，但是21端口没有开放，我查看了他所有的端口，哪怕是一个一个的试都没有试出他的ftp端口到底多少
   关键还是 3389开了，却连接不上的原因再哪里呢！！  有好的解决的办法么、、 这个网站有3个ip  3个ip都不可以连接。。。。
   
以后我发的问题帖子，都可以圆满的解决掉，希望这次也是。。shell我已经拿了一个月了。。。

  因为各种原因。shell截图，和端口开放情况我就不截图了。。安全第一。。。拿下以后我会通知管理员的

谢谢
帖子25 精华0 积分61 阅读权限40 性别男 在线时间67 小时 注册时间2007-10-12 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP 软件项目外包


ring04h
团队执行官

原始宝宝

回复 7楼 wwwsssxxxqaz 的帖子
支持7楼的说法！忽略了内网的原因！

开放了其他服务器的3389对外，通过连接登陆内网的3389！

我服务器就是这样做的！一切都要靠自己

帖子7 精华0 积分22 阅读权限40 在线时间2 小时 注册时间2005-10-11 最后登录2008-7-10 查看详细资料引用 报告 回复 TOP

丢失的蓝色
晶莹剔透§烈日灼然

爱车族长

如果确定不是内网.就用反弹木马,反弹回来.然后重新开一下,,,

你可能跟我碰到的一样,参考一下我那个帖子..就是那个请教root提权的问题..
帖子20 精华0 积分54 阅读权限40 性别男 在线时间8 小时 注册时间2007-3-24 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

丢失的蓝色
晶莹剔透§烈日灼然

betty

内网 不映射 连接不上 3389 的 你最好先确定是不是内网 管理员可以通过VNC 等远程管理服务器的不一定非的用3389
所以他可以不映射 他的终端
连接上3389 但是进不去的 原因 我看2003 本地安全策略里有终端限制的d

帖子11 精华0 积分38 阅读权限40 在线时间15 小时 注册时间2007-3-16 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

冷了左眼
晶莹剔透§烈日灼然

咖啡豆

呵呵, 有可能遇到DMZ主机, 不同端口映射不同的机器, 比如80映射10.1.1.1   3389映射10.1.1.2 etc....
这种情况下, 不管你用lcx, 还是开服务什么的, 全部无效, 因为路由端口不映射
遇到这种情况, 也不是没有办法
就是确定这个IP到底开了哪些端口是可以从外部链接的, 然后停止一个, 把3389改上去, 就搞定了.....自从做了俯卧撑，腰也不痛了，背也不酸了，打酱油也有劲了

帖子151 精华6 积分3794 阅读权限200 性别男 来自AUS 在线时间90 小时 注册时间2005-11-15 最后登录2008-7-17 查看个人网站
查看详细资料引用 报告 回复 TOP

zmhack
晶莹剔透§烈日灼然

dgsouxin.com

我有一个更麻烦的，3389开了，远程界面可以连接，就是进不去，用户权限都是够的。后来我将他的高级用户还有远程用户组一个一个试了个遍，都不行，进不去，没办法了！只能闪了，想不到解决的办法。看了下他的IP，是内网，10.*。*。*的IP，可能路由转了端口，但可以打开输入用户名密码的界面，为什么进不去，搞不懂。
帖子66 精华0 积分209 阅读权限40 在线时间46 小时 注册时间2006-1-19 最后登录2008-7-12 查看详细资料引用 报告 回复 TOP

fr.qaker
技术核心组

biaofbi

引用:
原帖由 laowan 于 2008-4-2 12:29 发表
指定ip连接3389.我感觉不像把，管理员进行远程维护的时候难道他的ip一直都试固定的啊



有这种情况
很有可能是他限制了登录的IP
因为他可以通过vpn管理
帖子33 精华0 积分78 阅读权限40 在线时间14 小时 注册时间2005-8-29 最后登录2008-7-5 查看详细资料引用 报告 回复 TOP

yyb1813
晶莹剔透§烈日灼然

蓝精灵

我也遇到过同样问题 不知该如何处理
帖子2 精华0 积分2 阅读权限40 在线时间2 小时 注册时间2008-5-14 最后登录2008-6-22 查看详细资料引用 报告 回复 TOP

ws
晶莹剔透§烈日灼然

沙王

lcx是可以运行起来的，我也试过。
我觉得应该是只能允许内网连接。
可以试试下面的lcx命令：
lcx -listen 1234
lcx -tran 1234 127.0.0.1 3389
如果还不行，就用ipconfig看下内网IP，比如是192.168.0.1，然后输入下面的命令试试：
lcx -listen 1234
lcx -tran 1234 192.168.0.1 3389

卡车司机

很可能用IPSEC做了设置，呵呵 我前段时间搞个站的时候也是，做了这个IPSEC设置，只能指定的IP段访问，呵呵，
帖子7 精华0 积分14 阅读权限40 在线时间21 小时 注册时间2007-4-30 最后登录2008-7-14 查看详细资料引用 报告 回复 TOP

zerosoul
晶莹剔透§烈日灼然

hua668

引用:
原帖由 leida520 于 2008-6-13 17:51 发表
你有最高systm权限  如果连不上  那就做个LCX反连接 就可以解决的
他可能是有防火墙 或者设置里IP策略 或者是在内网里!
实在不行做个免杀鸽子之类的反弹木马systm下运行下就OK咯
记得 LCX 也是需要systm权限才可以 ...
牛人.....LCX用得着SYSTEM权限运行吗?
现在的牛人越来越多了.
帖子12 精华0 积分3 阅读权限40 性别女 在线时间6 小时 注册时间2008-6-12 最后登录2008-7-3 查看详细资料引用 报告 回复 TOP

67469696
晶莹剔透§烈日灼然

马自达

木马是可以运行的```不过权限和shell的一样```
帖子4 精华0 积分11 阅读权限40 在线时间3 小时 注册时间2007-4-17 最后登录2008-6-16 查看详细资料引用 报告 回复 TOP

Avon
晶莹剔透§烈日灼然

terry

万一只支持本机登陆呢？lcx转发。

帖子58 精华0 积分155 阅读权限40 来自杭州 在线时间152 小时 注册时间2007-9-29 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

泡泡
晶莹剔透§烈日灼然

hjh

这种情况我曾经遇到过，曾经有个服务器的站拿下webshell的时候已经在76532端口开了远程，我又傻呼呼的按照网上教程去开3389端口（ser-u 里面弄的，连管理员我都添加成功了）结果造成无法登陆，折腾N久。后来居然让管理员发现无法登陆而自己重新把端口又设回了76532。后来我才拿我添加的管理员登陆成功的。那是个超级意外，而且又是2000.
还有个可能，他是内网主机，在WEBSHELL拿ipconfig -all试试，看看自己的网络环境，如果内网就必须拿LCX了。LCX需要运行的权限比较低，不用担心会运行不起来（除非被杀毒拦截了）。这个你自己试试，反正我曾经一试就OK了。
帖子31 精华0 积分105 阅读权限40 性别男 在线时间83 小时 注册时间2006-10-21 最后登录2008-4-2 查看详细资料引用 报告 回复 TOP

leida520
晶莹剔透§烈日灼然

枫枫

你有最高systm权限  如果连不上  那就做个LCX反连接 就可以解决的
他可能是有防火墙 或者设置里IP策略 或者是在内网里!
实在不行做个免杀鸽子之类的反弹木马systm下运行下就OK咯
记得 LCX 也是需要systm权限才可以反弹连接的!
帖子7 精华0 积分19 阅读权限40 在线时间6 小时 注册时间2007-12-19 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

゛小︷帅！﹊
晶莹剔透§烈日灼然

kinsaang

引用:
原帖由 wwwsssxxxqaz 于 2008-4-2 06:06 发表
忽略了一个内网的原因
很有可能是他限制了登录的IP
以前拿了个网站服务器不过在内网中，不过有外网的IP，但是一直无法登录3389
后来登录后发现是管理员限制外网的IP。
你可以看看他有没有什么可以利用的软件。

帖子8 精华0 积分31 阅读权限40 性别男 在线时间8 小时 注册时间2007-9-15 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

我爱一条柴
晶莹剔透§烈日灼然

网上网下

回复 6楼 梦风 的帖子
指定ip连接3389.我感觉不像把，管理员进行远程维护的时候难道他的ip一直都试固定的啊



有这种情况
帖子18 精华0 积分46 阅读权限40 性别男 在线时间32 小时 注册时间2007-12-26 最后登录2008-4-5 查看详细资料引用 报告 回复 TOP

hackqy
晶莹剔透§烈日灼然

bbbbf

忽略了一个内网的原因
帖子3 精华0 积分5 阅读权限40 在线时间2 小时 注册时间2007-9-19 最后登录2008-4-13 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

pt007
荣誉会员

大胃仔

网站开着3389 。在cmd。和asp马里面都可以查出来，千真万确开了3389
终端端口也没有修改。但是我却连接不上。。。
有可能通过防火墙做了端口转换,以前遇到过把3389转到8055的情况,用superscaner进行一下全端口扫描,还有一种情况是对方通过的VPN或者中转主机进行远程维护的.每个人都有属于自已的世界，人生因此而精彩，HACK就是我的世界！

帖子209 精华30 积分3816 阅读权限100 性别男 在线时间432 小时 注册时间2005-9-9 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

laowan
晶莹剔透§烈日灼然

吉普2020

谢谢各位。

  首先，我试了下ping baidu  ping  的通。
   
  第二个：指定ip连接3389.我感觉不像把，管理员进行远程维护的时候难道他的ip一直都试固定的啊。。也应该试在家维护的把。。    还有lcx运行的问题
  我昨天问了个朋友同样的问题，他告诉我说。。 在shell里面试guest权限，不能运行木马，因为木马的运行需要administrator的权限，而lcx需要guest的权限就可以运行，还只能用他的转发功能，我想这个可能也是吧  还有，现在貌似03系统想放个文件到启动项不容易把。。。

  我碰到好多在shell里面都不可以运行lcx。。就能运行个cmd。。
  
   还有其他办法连接么、、、。。谢谢，，
帖子25 精华0 积分61 阅读权限40 性别男 在线时间67 小时 注册时间2007-10-12 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

wwwsssxxxqaz
晶莹剔透§烈日灼然