0x00 简介
快卫士是集实时监测、智能分析、风险预警于一体的统一管理主机的安全软件,通过防病毒、防勒索、防篡改、高危漏洞检测、基线一键检测、安全防火墙等安全功能,帮助企业用户实现威胁识别、告警、阻止入侵行为,构建安全的主机防护体系。
0x01 安装方式
执⾏以下命令快速安装快卫⼠客户端,然后在控制台“安装与设置”⽣成key值填⼊客户端中即可,如下图所示。
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://oss-cn-quanzhou.kz.cc/kws-bucket-public/windows_client/KWS.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\KwsInstall.exe'))"; "./KwsInstall.exe -Silent"
控制台生成key值
快卫士客户端界面
0x02 功能介绍
RDP远程桌面保护认证方式有4种:计算机名、白名单IP、区域认证、登录时间认证,相关的端口/服务/进程有以下几个个,有兴趣的可以去研究下。
端口:9501、9503
服务:KSGTermSrv、KWSUpdateSrv
进程:KWSUpdate.exe、KSecurityGuard.exe、KSecurityConsole.exe
管理员在控制台开启以上任意⼀种认证⽅式,这时我们在进⾏3389登录时都会出现下图报错:你的远程桌⾯服务会话已结束。⽹络管理员可能已结束了连接......。
0x03 绕过方法
快卫⼠客户端的安装⽬录下有⼀个KSGTermSrv.log⽇志⽂件,记录的有我们设置的计算机名、⽩名单IP、区域认证、登录时间认证等信息,以及之前登录过3389的计算机名、IP等各种信息。
C:\Program Files (x86)\快快⽹络\快卫⼠\Log\KSGTermSrv.log
安装时默认给了Users可读取权限,所以还可以通过KSGTermSrv.log获取到更多有⽤的信息,如:公⽹/内⽹IP、MAC、主机名、系统版本与位数、RDP远程登录端⼝、控制台登录⽤户名等。
我们可以通过KSGTermSrv.log日志文件查看管理员设置的远程桌面保护认证规则,或者找之前成功登录过的计算机名、IP、地区、时间段等来绕过。
多观察各种认证方式下登录成功和登录失败的日志,说不定还会有意外惊喜...,如下图所示。
LastConfigId上次配置时间:1682680601;
FilterType过滤器类型:0不认证、1计算机名、2白名单IP、4区域认证、5登录时间认证;
ComputerName白名单计算机名、IpAdress白名单IP、FilterArea白名单区域、StartTime开始时间、EndTime结束时间。
设置不认证日志:
设置计算机名日志:
设置白名单IP日志:
设置区域认证日志:
设置登录时间认证日志:
0x04 测试总结
关 注 有 礼
推 荐 阅 读