|
症状说明:
远程桌面由于以下原因之一无法连接到远程计算机:确保打开远程计算机,连接到网络并启用远程访问"。
问题原因:
secpol.msc中设置了IP安全策略,如:仅允许或拒绝特定IP访问,或是直接拒绝了所有IP访问。可自定义IP安全规则,可以设置为任何IP和端口,支持的协议类型有:TCP/UDF/RDP/ICMP/EGP/RAW/RVD等。
IP安全策略这个功能有点类似于XP/2003的TCP/IP筛选,只是更加强大了。
解决方案:
(1) 使用Meterpreter的portfwd命令将目标的3389端口转发出来后即可成功绕过IP安全策略,因为最终流量是走的它本机,如:
-
127.0.0.1:3389
>-<
127.0.0.1:22196
(2) 直接在命令行使用以下几条Netsh ipsec
命令添加或删除目标机器的IP安全策略规则来进行绕过。
添加IP安全策略:
netsh ipsec static add policy name=阻止3389端口
netsh ipsec static add filterlist name=放行192.168.1.103
netsh ipsec static add filter filterlist=放行192.168.1.103 srcaddr=192.168.1.103 dstaddr=Me dstport=3389 protocol=TCP
netsh ipsec static add filteraction name=放行 action=permit or block
netsh ipsec static add rule name=放行192.168.1.103 policy=阻止3389端口 filterlist=放行192.168.1.103 filteraction=放行
netsh ipsec static set policy name=阻止3389端口 assign=y or n
netsh ipsec static exportpolicy C:WindowsdebugWIAip.ipsec
netsh ipsec static importpolicy C:WindowsdebugWIAip.ipsec
netsh ipsec static del all
推 荐 阅 读
欢 迎 私 下 骚 扰
本文始发于微信公众号(潇湘信安):IP安全策略限制3389登录的绕过方式
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论