标签：WebShell Control CurrentControlSet -- 端口 3389 Server regecho

世间最好的默契，并非是有人懂你说出的故事，而是有人懂你说不出的心事。。。

----  网易云热评

一、查询远程连接的端口

1、命令查询，win7/win10/win2003都可以使用

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

0xd3d转换十进制是3389

2、注册表查询

二、开启3389端口的方法

1、工具开启

2、批处理开启，将下面代码复制到bat文件，双击自行开启远程连接

echo Windows Registry Editor Version 5.00>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.regecho "fDenyTSConnections"=dword:00000000>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regregedit /s 3389.regdel 3389.reg

三、当3389端口被修改后，如何查找

1、通过大马的读注册表、找到3389端口，然后读取

2、通过大马的cmd命令

tasklist /svc,获取termservice的pid号

再执行netstat -ano查找2684对应的的端口就是远程连接端口

3、通过工具扫描

标签：WebShell,Control,CurrentControlSet,--,端口,3389,Server,regecho
来源： https://blog.51cto.com/u_15288375/2969176

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。