绕过Windows版Okta MFA凭据提供程序

2023年2月16日
n00py
渗透测试 | 后渗透

首先明确说明：这是一种后渗透技术。主要适用于已通过其他方式获得系统管理员权限，并希望无需MFA即可进行RDP访问的场景。

Okta MFA凭据提供程序 for Windows 通过多因素认证（MFA）为远程桌面协议（RDP）客户端提供强身份验证。使用该程序时，RDP客户端（Windows工作站和服务器）在访问已加入域的支持Windows机器和服务器时会提示进行MFA验证。

– 参考：Okta官方文档

这与笔者之前关于绕过Duo双因素认证的文章非常相似。建议先阅读那篇文章以了解本文背景。

Okta与Duo的最大区别在于：Okta默认不启用故障开放（fail open）选项，因此这种配置不太常见。同时，Okta也不默认启用“仅RDP”模式，这使得控制台绕过成功的可能性较低。

尽管如此，如果您已获得管理员级别的shell访问权限，禁用该功能非常简单。

对于Okta，配置文件不像Duo那样存储在注册表中，而是位于以下路径的配置文件中：

1

C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json

需要完成两个步骤：

1. 将InternetFailOpenOption的值修改为true
2. 将Url的值更改为无法解析的地址

完成这些修改后，尝试RDP时将不会触发Okta MFA提示。

当然，作为管理员，始终可以卸载该软件，但理想情况下，我们希望以尽可能非侵入的方式实现目标。这些配置文件可以在操作完成后轻松恢复。

下一篇 | 上一篇