这次来记录一下近日提权遇到的安全狗远程桌面防护如何突破
当渗透时遇到安全狗是一件很蛋疼的事情~
当服务器开启了安全狗的远程桌面防护时,那么只有基于白名单验证的主机才能远程连接服务器
验证方式有两种:
1、基于IP\域名
2、基于计算机名
通常默认都是基于计算机名的,因为一般情况下我们的IP都是动态分配,就算是用域名白名单那也要动态域名解析,比较复杂了。
目前安全狗的SafeDogGuardCenter.exe进程以system权限是终结不了的,就算后来进入服务器也没权限终结掉
网上公布出一种方法先已失效:
sc config SafedogGuardCenter start= disabled
taskkill /im SafeDogGuardCenter.exe /f
现在用的是另一种方法:
本地搭建安全狗环境,然后开启远程桌面防护,随便输入计算机名白名单保存
重要的是下载目标服务器中
C:\Program Files\SafedogServer\SafeDogGuardCenter
ProGuardData.ini 文件到本地替换到本地对应的文件
然后本机重启
打开本机安全狗查看远程桌面防护
就能看到目标服务器上的基于计算机名的白名单啦
下面就是修改本机的计算机名,注销,再连目标服务器就能成功了~