前言
之前看到了一篇文章:【漏洞利用】深信服EDR远程桌面登录保护绕过
在知道远程Windows服务器的用户名密码后,准备远程登录时,被深信服EDR再次验证了:
作者本地搭建深信服EDR,通过对比进程后发现,远程登录保护认证功能是由sfrdpverify进程实现的
路径:
C:Program Files/Sangfor/EDR/agent/bin/sfrdpverify.exe
并且此文件无权限保护,可进行增删改操作。
使用net use
挂载到对方服务器后,修改其文件名后,远程登录时该保护就不会生效。
实验环境准备
Windows 10主机。
测试过程中其他管理员组的用户乐意连接IPC$,但是连接c盘没有权限,这里直接使用administrator用户进行测试。
激活administrator用户:
计算机
右击->管理
给administrator用户设置密码:
取消禁用:
关闭所有防火墙。
尝试使用administrator用户进行连接:
查看连接:
使用net use
建立连接的前提是目标主机的盘是共享状态(默认),可以使用net share
查看:
IPC学习
IPC介绍
IPC(Internet Process Connection)是 共享"命名管道"的资源,是为了实现进程间通信而开发的命名管道。
IPC可以通过验证用户名和密码获取相应权限。通过IPC、D、E……和系统目录进行共享(Admin)。
IPC$使用条件
-
开放了139、445端口:IPC$可以实现远程登陆,以及对默认共享资源的访问。开放139端口表示NetBIOS已经应用。通过139、445端口可以对共享文件和打印机的访问。
-
目标开启文件共享:默认共享是开启了的(net share))。
-
获取用户账号密码。获得账号密码之后可以利用IPC$进行访问。
137、138、139、445端口介绍
-
137端口主要用于“NetBIOS Name Service” NetBIOS名称服务
-
138端口提供NetBIOS的浏览功能。
-
139端口是为“NetBIOS Session Service”提供的。
-
445端口也是一种TCP端口,该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。
查看目标开启的共享
net share
目标主机开启/删除ipc$共享(或其他共享)
net share ipc$
net share ipc$ /del
net share admin$ /del
net share c$ /del
查看本机建立的连接
net use
查看目标被建立的连接(需要管理员权限)
net session
建立ipc$空连接
IPC空连接
在Windows NT中,是使用NTLM挑战响应机制认证。空会话是在没有信任的情况下与服务器建立的空连接,对方开启IPC$共享,并且你不用提供用户名和密码就可以连接上对方服务器。建立了一个空的连接后,攻击者可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享。
建立IPC空连接
net use \10.10.10.201
net use \10.10.10.201 /u:"" ""
net use \10.10.10.201ipc$ /u:"" ""
一般情况下空连接无法建立,如果提示无效,需要输入账号密码,就不是建立空连接了:
建立ipc$连接
net use \10.10.10.80
net use \10.10.10.80 /u:"administrator" "123456"
将目标C盘映射到本地Q盘
net use Q: \10.10.10.80c$
删除建立的ipc$连接、磁盘映射
net use \192.168.91.129ipc$ /del
net use Q: /del
可以直接运行命令
dir
等等。
思考
如果抓到了管理员密码,不方便登录远程桌面时,可以建立ipc$连接,上传木马,使用at
命令创建定时任务进行维权。
参考链接
https://cloud.tencent.com/developer/article/1613818
https://cloud.tencent.com/developer/article/1752168
https://www.jianshu.com/p/ae10c479bff2
https://zhuanlan.zhihu.com/p/61536344
原文始发于微信公众号(信安文摘):从绕过“远程桌面登录保护”到net use详解
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论