緣起自某群某孩紙遇到的一案例!
連接配接遠端桌面的時候伺服器出現如下提示:
仔細一看不是遠端管理組的問題,而是SecureRDP這個軟體搞的鬼,網上一搜,
好家夥,這個軟體的功能如下:
secureRDP是一款使用者登入伺服器管理軟體。防止非法使用者試圖暴力破解使用者密碼;可以過濾IP/MAC位址、計算機名等。具體有以下功能:
1.連接配接限制 允許按照登陸時間,IP位址,主機名,MAC位址,Client版本等資訊作連接配接
<a href="http://pkav.net/wp-content/uploads/2012/10/1.png"></a>
看來是對用戶端的連接配接做了限制了,現在流行的D盾和安全狗都有這樣的功能!
着實第一次見這個軟體,好奇心也來了,也想順便幫這位童鞋一把,下了軟體
虛拟機裝好,配置好限制ip,一看軟體目錄,依然隻有這幾個檔案,那麼他的配置要麼
是寫入其他目錄了,要麼寫到系統資料庫裡面啦!
<a href="http://pkav.net/wp-content/uploads/2012/10/2.png"></a>
想想之前調試的某狗。Od打開,加載軟體
Aspack殼無視之,運作起軟體,直接下好系統資料庫API斷點RegOpenKeyExA,直接儲存配置
斷點斷下了,系統資料庫的路徑顯示出來了
HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter
跑到系統資料庫裡面一看,果然是這個
邪惡的直接把WTSFilter項給删除了
看在删除之前我是配置把自己的ip除外了的。提示不允許連接配接!
把系統資料庫項删除以後,已經沒有任何的限制了!
思路已經很清楚了。直接幹掉那個系統資料庫項,就能搞定啦!
我先是在shell上讀取了這個系統資料庫的值,的确存在的。
讀取系統資料庫值:
reg query “HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter” /v tsdata
備份導出系統資料庫項:
Cmd /c “regedit /e d:\freehost\jiqiren\web\Editor\js\wts.reg “HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter”"
然後就是删除系統資料庫項:
reg delete “HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter” /va /f
好吧,此時連接配接目标伺服器,發現限制已經麼有啦!
伺服器已經提權,登入之後,恢複系統資料庫項,看他的配置,發現對計算機名進行了限制!
這次好玩的過程就結束啦。成功的kill掉了它的限制!
最後總結:
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)