绕过Windows版Okta MFA凭据提供程序
2023年2月16日
n00py
渗透测试 | 后渗透
0条评论
首先明确说明以避免混淆:这是一种后渗透技术。主要适用于已通过其他方式获得系统管理员权限,并希望无需MFA即可进行RDP连接的情况。
Okta MFA凭据提供程序 for Windows 支持使用多因素认证(MFA)与远程桌面协议(RDP)客户端进行强身份验证。使用该程序时,RDP客户端(Windows工作站和服务器)在访问已加入域的支持Windows机器和服务器时会提示进行MFA。
– 摘自:https://help.okta.com/en-us/Content/Topics/Security/proc-mfa-win-creds-rdp.htm
这与笔者之前关于绕过Duo双因素认证的文章非常相似。建议先阅读那篇文章以了解本文背景。
Okta与Duo的最大区别在于:
- Okta默认不启用故障开放(fail open),因此这种配置可能性较低
- 默认也不设置为“仅RDP”,使得控制台绕过成功率也较低
不过,如果已获得管理员级别的shell访问权限,禁用该功能非常简单。
对于Okta,配置文件不像Duo那样存储在注册表中,而是位于以下路径的配置文件中:
C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json
需要完成两个操作:
- 将
InternetFailOpenOption的值修改为true - 将
Url的值更改为无法解析的地址
完成上述修改后,尝试RDP连接时将不再提示Okta MFA验证。
当然,作为管理员始终可以卸载该软件,但理想情况下我们希望以尽可能非侵入的方式实现目标。这些配置文件可以在操作完成后轻松恢复。