写在前面的话
一般，在履行浸透测验时，一般经过远程桌面协议（RDP）连接到体系。我一般运用rdesktop或xfreerdp连接到主机，一旦取得凭证就能够随心所欲了。我最近碰到一件很操蛋的事便是一个我的客户端运用Duo维护对Windows上的RDP的拜访。特别是当3389是仅有翻开端口，前次发作这种状况时，我在Pen Test Partners上找到了Alex Lomas的一篇文章，具体的介绍了用来绕过这种状况的办法。
这些进犯办法是有用的，条件是方针现已将它们的Duo装备为“fail open”。这实际上很常见，由于它默许设置为封闭。

在这篇文章我将经过两种办法演示怎么绕过：
1.假定：您能够在体系上取得shell将运用本地bypass
2.假定：您无法拜访体系将运用 *** 进犯。
本地bypass
关于怎么取得shell的办法。我一般运用CrackMapExec + Metasploit或wmiexec.py，但有许多挑选。经过不需求2FA的办法进入方针后，运转下面指令：ipconfig /displaydns

我一般会把它导入到一个文件中，以防它体积太大，然后需求解析它并以找到Duo API DNS条目。每个Duo装置都会有一个与之对话的不同API端点。

假如由于某种原因DNS缓存中没有内容，则或许需求身份验证。假如一定要这样做，请防止运用您知道已注册Duo的帐户，由于这或许会向其手机发送推送音讯，短信或电子邮件。下一步是修正体系上的hosts文件。这需求管理员拜访。

持续并备份原始主机文件。完结后，修正当时主机文件。能够经过将单个条目附加到Duo API端点映射到localhost来完结。现在，假如Duo设置为”fail open”，您现在能够运用用户名和暗码进入体系。完结后康复hosts文件。
*** bypass
假如您没有管理员凭证或 *** B/WMI/etc，则能够运用中间人（MITM）进犯来拜访Duo API。要履行这个操作，能够运用Bettercap。咱们将运用它履行ARP诈骗进犯和DNS诈骗进犯。之一步是履行ARP诈骗。方针需求设置为咱们企图拜访的IP。Bettercap会诈骗主机信任咱们是默许网关。要履行此进犯，进犯者有必要与受害者坐落同一播送域中。装置运转Bettercap后，输入：
>set arp.spoof.targets [VICTIM IP]
>arp.spoof on
Bettercap将主动启用转发功用。留意：您有必要以root身份运转Bettercap才干启用转发：

在ARP诈骗作业之后，您将需求履行DNS诈骗。在Bettercap中输入：
>set dns.spoof.domains *.duosecurity.com
>dns.spoof on
这将修正对Duo security子域的DNS查询。它将运用进犯者的IP地址进行呼应。

在运转中，进犯者现在能够经过RDP登录体系，而无需运用2FA。登录后，退出Bettercap。Bettercap将从头ARP诈骗方针，但或许需求几分钟才干进入DNS条目。