快卫⼠RDP远程桌面保护绕过

0x00 简介

快卫士是集实时监测、智能分析、风险预警于一体的统一管理主机的安全软件，通过防病毒、防勒索、防篡改、高危漏洞检测、基线一键检测、安全防火墙等安全功能，帮助企业用户实现威胁识别、告警、阻止入侵行为，构建安全的主机防护体系。

0x01 安装方式

执⾏以下命令快速安装快卫⼠客户端，然后在控制台“安装与设置”⽣成key值填⼊客户端中即可，如下图所示。

powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://oss-cn-quanzhou.kz.cc/kws-bucket-public/windows_client/KWS.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.KwsInstall.exe'))"; "./KwsInstall.exe -Silent"

控制台生成key值

快卫士客户端界面

RDP远程桌面保护认证方式有4种：计算机名、白名单IP、区域认证、登录时间认证，相关的端口/服务/进程有以下几个个，有兴趣的可以去研究下。

端口：9501、9503服务：KSGTermSrv、KWSUpdateSrv进程：KWSUpdate.exe、KSecurityGuard.exe、KSecurityConsole.exe

管理员在控制台开启以上任意⼀种认证⽅式，这时我们在进⾏3389登录时都会出现下图报错：你的远程桌⾯服务会话已结束。⽹络管理员可能已结束了连接......。

0x03 绕过方法

快卫⼠客户端的安装⽬录下有⼀个KSGTermSrv.log⽇志⽂件，记录的有我们设置的计算机名、⽩名单IP、区域认证、登录时间认证等信息，以及之前登录过3389的计算机名、IP等各种信息。

C:Program Files (x86)快快⽹络快卫⼠LogKSGTermSrv.log

安装时默认给了Users可读取权限，所以还可以通过KSGTermSrv.log获取到更多有⽤的信息，如：公⽹/内⽹IP、MAC、主机名、系统版本与位数、RDP远程登录端⼝、控制台登录⽤户名等。 

我们可以通过KSGTermSrv.log日志文件查看管理员设置的远程桌面保护认证规则，或者找之前成功登录过的计算机名、IP、地区、时间段等来绕过。

多观察各种认证方式下登录成功和登录失败的日志，说不定还会有意外惊喜...，如下图所示。

1. LastConfigId上次配置时间：1682680601；

2. FilterType过滤器类型：0不认证、1计算机名、2白名单IP、4区域认证、5登录时间认证；

3. ComputerName白名单计算机名、IpAdress白名单IP、FilterArea白名单区域、StartTime开始时间、EndTime结束时间。

设置不认证日志：

设置计算机名日志：

设置白名单IP日志：

设置区域认证日志：

设置登录时间认证日志：

023 年的【炼石计划@PHP代码审计】主题是【挖 0day，交 CNVD】，目标是今年将带每个人冲刺三张 CNVD 证书（两中一高），你只需认认真真的学习，我则用心手把手的教你。

首先冲刺第一张，其次冲刺第二张，最后冲刺第三张，最后恭喜你获得三张专属于自己的 CNVD 证书！

是不是看我说的还挺简单的，要我说，确实不难，毕竟世上无难事，只怕有心人！

另外这事又遇到了【炼石计划@PHP代码审计】，那就又简单了些。

【炼石计划@PHP代码审计】这里是一个专注 PHP 代码审计，系统化从基础入门到实战提升学习 PHP 代码审计的地方。这里不仅注重夯实基础，更加专注实战进阶。从基础概念知识开始学习，配合项目级系统实战演练，共六大学习阶段，一百二十余篇原创教程，带你提升真正的 PHP 代码审计技术！利用碎片化时间学习也会让你有不菲的收获，总之这里一定是你不错的选择。加上 2023 年主题是【挖 0day，交 CNVD】，目标是带大家挖掘两中一高 CNVD 证书，激情碰撞下来，收获最多的一定是你！

毫不夸张说，认真学习下来，相当于 96 元买了三张 CNVD 证书和一身 PHP 代码审计的技术，随随便便挖个漏洞都是这个数的好几倍！

如果说一年认真学习下来，你还没拿到证书，这事我负责！

来，下面跟随我一起瞅瞅学习计划，看看我们是如何完成这个目标的！

【第一阶段】

入门学习 PHP 语言基础与 WEB 安全漏洞（约 10 篇）

我们首先关注 PHP 语言，掌握 PHP 基础语法。其次关注 WEB 漏洞入门学习，并掌握 WEB 常见漏洞概念。

【第二阶段】

学习 PHP 代码审计中的 WEB 常见漏洞（约 12 篇）

学习 PHP 下常见的 WEB 安全相关漏洞代码，并且补充学习常见的 WEB 安全漏洞。

这部分主要关注常见的 WEB 漏洞函数，关键在于了解和记住，进而在下一阶段活学活用。

【第三阶段】

实战代码审计24套基于PHP开发的系统（约 50 篇）

提升 PHP 代码审计能力，一定要从实战出发。我们选取 24 套开源 CMS 系统进行代码审计手把手讲解。从挖掘 CNVD 角度出发，发现和理解常见的 WEB 漏洞，为提交 CNVD 证书打下实战基础。

下面是目前分享的系统，剩余还在调试选型中。代码审计漏洞讲解越往后分享的系统越新鲜热乎。

【第四阶段】

PHP相关系统历史漏洞复现（约 50 篇）

该阶段与前面阶段进行穿插分享。主要关注历史和最新的 PHP 相关系统漏洞复现，并且着重从代码审计层面进行分享。让大家逐渐有独立分析的能力，而不是只会使用 POC。

并且在有着历史漏洞分析的基础上，进而可以对其他版本的系统进行代码审计，发现和挖掘漏洞！

到这，我们基本就可以上手针对相关系统进行漏洞挖掘了，着手提交 CNVD 证书了，提交重复撞洞不可怕，这都是对自己的磨炼，有问题我们可以一起探讨！

下面是进阶学习阶段。

【第五阶段】

PHP 反序列化漏洞讲解与利用链分析（约 12 篇）

反序列化可以说是代码审计中非常重要的一部分。但很多朋友学着那是一个痛苦，云里雾里的。

在这里我们将系统学习 PHP 反序列化漏洞。先从PHP反序列化基础知识讲起。在从简入深学习POP链。让你真正掌握PHP反序列化。

【第六阶段】

系统学习ThinkPHP框架与代码审计分析（约 12 篇）

近几年 ThinkPHP 框架漏洞可以说是 PHP 系统漏洞的主力军。

是非常值得我们需要学习的，在这个阶段，我们从 ThinkPHP 框架基础学起，配合历史漏洞代码深入分析。让大家可以对 ThinkPHP 框架有个深入的了解。

从框架角度出发，分析漏洞，总结经验，在框架面前，可以更加得心应手！

好啦，上面就是我们的学习计划，实际上分享会更加精彩！

心动不如行动，赶紧加入，犹豫就会败北！

早加入早内卷，早拿 CNVD 证书！

原文始发于微信公众号（哈拉少安全小队）：快卫⼠RDP远程桌面保护绕过