记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

调戏突破SecureRDP对远程桌面连接的限制

2013-01-07 12:35


缘起自某群某孩纸遇到的一案例!


连接远程桌面的时候服务器出现如下提示:

You are not allowed to access to this Terminal Server. Please contact your administrator for more information. Secured by SecureRDP.


仔细一看不是远程管理组的问题,而是SecureRDP这个软件搞的鬼,网上一搜,

好家伙,这个软件的功能如下:



secureRDP是一款用户登录服务器管理软件。防止非法用户试图暴力破解用户密码;可以过滤IP/MAC地址、计算机名等。具体有以下功能:  

1.连接限制  允许按照登陆时间,IP地址,主机名,MAC地址,Client版本等信息作连接



看来是对客户端的连接做了限制了,现在流行的D盾和安全狗都有这样的功能!

着实第一次见这个软件,好奇心也来了,也想顺便帮这位童鞋一把,下了软件

虚拟机装好,配置好限制ip,一看软件目录,依然只有这几个文件,那么他的配置要么

是写入其他目录了,要么写到注册表里面啦!





想想之前调试的某狗。Od打开,加载软件

Aspack壳无视之,运行起软件,直接下好注册表API断点RegOpenKeyExA,直接保存配置

断点断下了,注册表的路径显示出来了

HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter



跑到注册表里面一看,果然是这个

邪恶的直接把WTSFilter项给删除了







看在删除之前我是配置把自己的ip除外了的。提示不允许连接!


把注册表项删除以后,已经没有任何的限制了!





思路已经很清楚了。直接干掉那个注册表项,就能搞定啦!


我先是在shell上读取了这个注册表的值,的确存在的。

读取注册表值:

reg query "HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter" /v tsdata


备份导出注册表项:

Cmd /c "regedit /e d:\freehost\jiqiren\web\Editor\js\wts.reg "HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter""



然后就是删除注册表项:

reg delete "HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter" /va /f





好吧,此时连接目标服务器,发现限制已经么有啦!





服务器已经提权,登录之后,恢复注册表项,看他的配置,发现对计算机名进行了限制!




这次好玩的过程就结束啦。成功的kill掉了它的限制!


最后总结:

1.开始没看清提示,以为是组策略或者是远程组的关系!

2.发现软件时,直接kill掉进程是没用的,实现的手法还待探索!

3.其实这些个小安全软件做的还真是不太“安全”!


By:闪电小子/PKAV.Net


知识来源: pkav.net/2012/10/241.html

阅读:136894 | 评论:0 | 标签:碎珠散玉

想收藏或者和大家分享这篇好文章→复制链接地址

“调戏突破SecureRDP对远程桌面连接的限制”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云