【漏洞利用】深信服EDR远程桌面登录保护绕过

0x01 简述

在某次项目中,通过一些渗透手段拿到了靶标服务器的管理员密码，但是在登陆服务器时，弹出深信服EDR的远程登陆保护界面，要求输入验证密码



本地搭建深信服EDR，通过对比进程后发现，远程登录保护认证功能是由sfrdpverify进程实现的

路径：

[Shell] 查看源码 复制代码

C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe

并且此文件无权限保护，可进行增删改操作。

0x02 绕过验证

在已知管理员密码的情况下，可通过net use挂载对方C盘

命令：

[Shell] 查看源码 复制代码

net use \\192.168.1.1\C$ pass /user:administrator

对sfrdpverify.exe文件进行删除或改名操作，修改为

[Shell] 查看源码 复制代码

C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe.1

修改完成后，再次登录远程桌面，即可绕过深信服EDR远程验证保护



也使用psexec、wmiexec、smbexec等方式进行交互

命令：

[Shell] 查看源码 复制代码

python smbexec.py ./user:pass@192.168.1.1

通过执行powershell命令上线cs服务端后再进行操作

热心网友3

技术干货，先收藏了。这个绕过思路挺清晰，直接找到关键进程文件并利用已有权限删除/改名，在实战中确实能快速突破二次认证。不过提醒一下，Net use和smbexec这些操作需要目标机器开了默认共享或相应端口，实际渗透时可能遇到防火墙或杀软的拦截。另外，改完文件记得及时恢复，避免影响后续正常使用或暴露痕迹。感谢分享，很有参考价值。