Webshell有了SYSTEM权限,却无法成功添加administrators用户,因此导致无法成功连接3389。
总结原因有以下几点: 一.杀软篇 1,360杀毒软件 2,麦咖啡杀毒软件 3,卡巴斯基杀毒软件 4,其他杀毒软件或防护软件 二.策略篇 1,3389端口变更 2,莫名其妙无法添加账户 3,管理员限制篇 4,系统已达最大连接数处理
———————–I. 杀软篇—————————– 1,360杀毒软件 经常会在国内的一些服务器上遇到360杀毒和防护软件,如果使用webshell进行添加administrators账户时,360会阻止并提示管理员,导致添加失败。 那么如何突破360的限制?360不能完美的支持Server系统,也就是说,其实很简单。 阻止Webshell添加账户的主要是360主动防御,而结束了主动防御,360杀毒根本就是摆设。 那天手痒去百度搜了下blackbap.org这个关键字,居然出现在360 论坛 上,原来是Silic开发的php大马被某个服务器管理员举报到360论坛上去了。 大致就是这个网管把webshell传上去,说360查不出来,希望更新病毒库云云,结果360工程师看了以后说更新360就能杀到了,结果网管说更新了还是杀不到。然后工程师说装什么什么的,网管说装了,还是杀不到,然后工程师就缩头乌龟了。可见360在server上面很垃圾,用小白的话说就是,请把拿着打口水仗的钱多花在研发产品上吧。 好了,扯淡到此为止,突破方法也该千呼万唤始出来了。 先执行tasklist看一下进程列表,然后 taskkill /im 进程名.exe /f 复制代码 把主动防御结束 360相关进程如下: 360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe,这几个灭了,基本上360的阻碍就清除了,该加账户加账户,该pr就pr了。 Windows下Apache+PHP的特殊性,导致很多php站的webshell有SYSTEM的权限,所以结束360简直易如反掌啊。 即使不是SYSTEM,也有办法的,例如ASPX, asp .net有个操纵进程的功能。看代码(直接从webshell上面拔下来的):
1 2 3 4 5 6 7 8 9 10 protected void kp_Click(object sender, EventArgs e) { Process[] kp = Process.GetProcesses (); foreach ( Process kp1 in kp ) if (kp1.ProcessName == ListBox1.SelectedValue.ToString()) { try { kp1.Kill(); Response.Write("查看更多关于webshell无法添加3389账户情况突破总结 - 网站安全的详细内容...