|
|
0x01 前言
某锁/某神/某狗的“远程桌面登录防护”都有多种绕过方式,但在这里为了避免与第3章有过多重复内容,所以每篇都只写了一种绕过姿势,关于更多WAF软件的计算机名和IP认证的绕过方式可参考第3章。
0x02 某锁计算机名认证绕过
症状说明:
由于IP限制,此次登录失败。
由于计算机名限制,此次登录失败。
问题原因:
因为目标主机上安装的有某锁,并启用了远程桌面登录防护的计算机名、IP认证方式,所以在进行3389远程桌面连接时会出现上图报错提示。
解决方案:
利用某锁登录日志文件绕过“登录防护”,这个日志文件会记录远程登录IP、时间、用户和计算机名等信息,但在每次重启系统后都会初始化日志文件,重新记录远程登录信息。
C:ProgramDataboost_interprocess_yunsuoLoginLogQueue{"eventId":0,"ip":"192.168.1.109","localTimestamp":1532500782,"login":{"loginUser":"Administrator","pcName":"YunSuo"},"operation":"system_login","result":1,"subject":{"process":"C:\Windows\system32\LogonUI.exe","type":"rdp","user":"SYSTEM"}}
0x03 某神计算机名认证绕过
症状说明:
你的远程桌面服务会话已结束。到远程计算机的连接已丢失,可能是因为网络连接问题,请尝试重新连接到远程计算机。如果问题仍然存在,请联系网络管理员或技术支持。
你的远程桌面服务会话已结束。你已从此远程计算机注销,网络管理员或另一用户可能结束了你的会话,请尝试再次连接,或联系技术支持以获取帮助。
问题原因:
因为目标主机安装的有某神的入侵防护系统,并开启了远程登录监控的计算机名认证、IP或域名认证,所以在进行3389远程桌面连接时会出现上图报错提示。
解决方案:
利用某神日志文件绕过计算机名认证限制,这个日志文件不仅记录了攻击者的攻击行为,也记录了“某神”的正常设置操作,可以得知管理员或“他”人在什么时间段设置了哪些安全选项。
1、tasklist /svc找到hws服务,然后sc qc hws找到“某神”安装路径;2、某神日志路径:C:Huweishen.comHwsSec_26319loghws2018-07-03.log;3、查看hws2018-07-03.log,找到以前登录过这台主机的计算机名称(HuWeiShenServer);
0x04 某狗计算机名认证绕过
症状说明:
出现了内部错误。
你的远程桌面服务会话已结束。网络管理员可能已结束了连接。请尝试再次连接,或联系技术支持以获取帮助。
你的远程桌面服务会话已结束,可能是下列原因之一:管理员已结束了会话。在建立连接时发生错误。发生网络问题。有关解决此问题的帮助,请参阅“帮助和支持”中的“远程桌面”。
问题原因:
解决方案:
利用服务器某狗安装目录下的ProGuardData.ini配置文件绕过计算机名认证限制,将目标主机上的配置文件下载到本地并覆盖至某狗SafeDogGuardCenter目录下。
接着在本地打开某狗查看白名单访问控制规则,然后修改当前计算机名为白名单内容项中的计算机名即可。
ProgramFilesSafeDogSafeDogServerSafeDogGuardCenterProGuardData.iniProgramFiles(x86)%SafeDogSafeDogServerSafeDogGuardCenterProGuardData.ini
还在等什么?赶紧点击下方名片关注学习吧!
推 荐 阅 读
欢 迎 私 下 骚 扰
原文始发于微信公众号(潇湘信安):某锁/某神/某狗的计算机名认证绕过
