00x00 起因
连接远程桌面的时服务器出现如下提示:
|
1
|
You are not allowed to access to this Terminal Server. Please contact your administrator for more information. Secured by SecureRDP. |
仔细一看不是远程管理组的问题,而是SecureRDP这个软件限制造成
SecureRDP是一款用户登录服务器管理软件.防止非法用户试图暴力破解用户密码;可以过滤IP/MAC地址、计算机名等.具体有以下功能:
1.连接限制 允许按照登陆时间,IP地址,主机名,MAC地址,Client版本等信息作连接
看来是对客户端的连接做了限制了,现在流行的D盾和安全狗都有这样的功能.
00x01 解决方法
Od打开,加载软件
Aspack壳无视之,运行起软件,直接下好注册表API断点RegOpenKeyExA,直接保存配置
断点断下了,注册表的路径显示出来了
|
1
|
HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter |
跑到注册表里面一看,果然是这个
邪恶的直接把WTSFilter项给删除了
看在删除之前我是配置把自己的ip除外了的.提示不允许连接.
把注册表项删除以后,已经没有任何的限制.
思路已经很清楚.直接干掉那个注册表项,就能搞定.
我先是在shell上读取了这个注册表的值,的确存在的.
读取注册表值:
|
1
|
reg query "HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter" /v tsdata |
备份导出注册表项:
|
1
|
Cmd /c "regedit /e d:\freehost\jiqiren\web\Editor\js\wts.reg "HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter"" |
接着删除注册表项:
|
1
|
reg delete "HKEY_LOCAL_MACHINE\Software\Terminalsoft\WTSFilter" /va /f |
此时连接目标服务器,限制连接已解除.
服务器已经提权,登录之后,恢复注册表项,看他的配置,发现对计算机名进行了限制.
00x02 总结
1.开始没看清提示,以为是组策略或者是远程组的关系.
2.发现软件时,直接kill掉进程是没用的,实现的手法还待探索.
3.其实这些个小安全软件做的还真是不太“安全”.