远程攻击的手法应该比较多,有的不需要指定远程端口,只要remote desktop services是监听的,就能一直攻击
我知道这种就是(无需指定端口),例如
wmic /node:"IP" /USER:"用户名" /password:"密码" process call create "cmd.exe"
如果返回了下面的,就代表用户名密码不对
错误:
描述 = 拒绝访问。
如果返回了如下信息,说明用户名密码已经试对了
执行(Win32_Process)->Create()
方法执行成功。
外参数:
instance of __PARAMETERS
{
ProcessId = xxxx;
ReturnValue = 0;
};
基于上面的原因,光改默认远程端口号,也不能躲避这种攻击,因此,要加强安全设置:①修改远程端口②在安全组放行新的远程端口并限定客户端IP。
要通过winrm访问的服务器上,管理员身份运行powershell执行下面几句命令
winrm quickconfig -q 2>&1 > $null
winrm quickconfig -q -force 2>&1 > $null
restart-service winrm 2>&1 > $null
Set-Item WSMan:localhost\client\trustedhosts -value * -force 2>&1 > $null
客户端上以管理员身份打开powershell执行Set-Item WSMan:localhost\client\trustedhosts -value * -force 2>&1 > $null
然后以管理员身份打开cmd,执行下面命令看看是否报错,看看对端磁盘根目录有没有产生一个empt.txt的空文件
wmic /node:"对端IP或主机名" /USER:"域\administrator" /password:"密码" process call create "fsutil file createnew C:\empty.txt 0"
例如
wmic /node:"IP" /USER:"administrator" /password:"密码" process call create "fsutil file createnew C:\empty.txt 0"
下面这句是重启对端机器
wmic /node:"IP" /USER:"administrator" /password:"密码" process call create "shutdown -r -t 0"
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。