3389远程连接

3389远程连接流量分析

Cookie mstshash=Administr..

本地尝试连接3389 抓包流量如下

请求中包含Cookie:mstshash=Administo
位于TransportLayerSecurity中 后面内容应该是被加密了
流量包中短时间内多次出现该字段 有可能是3389爆破用户名密码

3389远程溢出漏洞

https://www.cnblogs.com/huim/p/7570776.html

远程桌面连接安全机制

包内会有TransportLayerSecurity层
以win7为例 查看组策略 gpedit.msc,依次》计算机配置》管理模版》Windows组件》远程桌面服务》远程桌面会话主机》安全》 右边找到 远程(RDP)连接要求使用指定的安全层。
在已启用中可以看到支持RDP、SSL(TLS1.0)、协商三种。

另外还可以设置加密级别,高128 低56

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注