浅谈RDP与输入法的奇妙碰撞

admin
admin
admin
138858
文章
114
评论
2024年8月4日22:54:22评论10 views字数 2730阅读9分6秒阅读模式
浅谈RDP与输入法的奇妙碰撞
免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

前言
前几天看到很多关于某个输入法爆出“漏洞”的文章,其实早在七月份就有师傅在其他平台发出过相关视频,正好也有一段时间没写文章了就抽个时间来简单谈谈可以延伸的利用点,本篇文章重点不在输入法的利用,主要介绍如何使用RDP协议结合输入法进行利用。

正文

由于我个人就比较喜欢用**输入法所以在看到相关详情的第一时间就进行了复现,确实可以成功复现。第一时间想到可以通过此方法来进行近源攻击可以快速的拿下要近源的目标机器。但是近源在实战里面用到的相对还是比较少的,然后就把目光转移到了远程连接这里。
正常远程连接一台机器是这样的 需要先输入账号密码才能进入界面
浅谈RDP与输入法的奇妙碰撞
如果这种情况就不能通过漏洞来进行利用
然后看到一篇文章技术分享|死磕RDP协议,从截图和爆破说起这篇文章介绍了RDP协议相关的内容有兴趣的师傅可以看看,文中说goby可以在不输入账号密码情况下来进行截图,截图并不是我们的关注点,但是要截图不就已经进入了界面吗,用goby来试试

浅谈RDP与输入法的奇妙碰撞

浅谈RDP与输入法的奇妙碰撞

发现goby确实可以成功截图
RDP到目前为止已经迭代了好几个版本,本来是顺着上面文章中的思路,猜测可能使用低版本的协议可以直接进入到界面。不过这个时候正好看到一个师傅的项目(项目地址会在参考文章中给出),秉承着简单高效能用的原则放弃了上面的研究。其实跟低版本的思路差不多,因为高版本的协议都需要先进行认证再进入到界面比如PROTOCL_HYBRID和PROTOCOL_HYBRID_EX
浅谈RDP与输入法的奇妙碰撞

浅谈RDP与输入法的奇妙碰撞

我们可以通过设置 要求连接时不使用NLA直接进行连接
使用以下配置文件即可
full address:s:127.0.0.1:3389screen mode id:i:2use multimon:i:0desktopwidth:i:2560desktopheight:i:1440session bpp:i:32winposstr:s:0,1,775,240,2025,1343compression:i:1keyboardhook:i:2audiocapturemode:i:0videoplaybackmode:i:1connection type:i:7networkautodetect:i:1bandwidthautodetect:i:1displayconnectionbar:i:1enableworkspacereconnect:i:0disable wallpaper:i:0allow font smoothing:i:0allow desktop composition:i:0disable full window drag:i:1disable menu anims:i:1disable themes:i:0disable cursor setting:i:0bitmapcachepersistenable:i:1audiomode:i:0enablecredsspsupport:i:0redirectprinters:i:1redirectlocation:i:0redirectcomports:i:0redirectsmartcards:i:1redirectwebauthn:i:1redirectclipboard:i:1redirectposdevices:i:0autoreconnection enabled:i:1authentication level:i:2prompt for credentials:i:0negotiate security layer:i:1remoteapplicationmode:i:0alternate shell:s:shell working directory:s:gatewayhostname:s:gatewayusagemethod:i:4gatewaycredentialssource:i:4gatewayprofileusagemethod:i:0promptcredentialonce:i:0gatewaybrokeringtype:i:0use redirection server name:i:0rdgiskdcproxy:i:0kdcproxyname:s:enablerdsaadauth:i:0
保存为RDP文件就能使用

浅谈RDP与输入法的奇妙碰撞

其中enablecredsspsupport:i:0:代表是否启用CredSSP(凭据安全服务提供程序)支持,这是一种用于NLA(网络级别身份验证)的安全提供程序。0表示禁用,1表示启用。

然后使用此文件来连接刚才的目标机器

浅谈RDP与输入法的奇妙碰撞

浅谈RDP与输入法的奇妙碰撞

浅谈RDP与输入法的奇妙碰撞

已经成功进入到了锁屏界面 接下来就可以通过相关漏洞来进行利用。

不过要注意的是这个方式只能算是对先认证再进入界面的一个“绕过”,并不是NLA绕过。

能进入到界面是因为机器并没有开启NLA

浅谈RDP与输入法的奇妙碰撞

如果开启了NLA再去连接就会像下面这样

浅谈RDP与输入法的奇妙碰撞

这里附上开启、关闭 NLA的命令

开启

reg add "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 1 /f

关闭

reg add "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

不过实际上这两条命令没什么用 因为使用这两条命令需要管理员权限

浅谈RDP与输入法的奇妙碰撞

也算是比较鸡肋的一个利用点,不过还是有部分机器关闭NLA的,遇到关闭的就可以使用以上方法进行利用。

结尾

匆忙的水下一篇文章,文章内容可能不完全正确,如有大佬发现文中内容有错误的地方恳请斧正!也欢迎各位师傅共同交流学习技术!欢迎留言区交流讨论~

参考文章

https://mp.weixin.qq.com/s/Iv87dwn_VTruYExet8AnlA

https://github.com/0xCaner/RDP-NLA-Closing-Scanner

原文始发于微信公众号(听风安全):浅谈RDP与输入法的奇妙碰撞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月4日22:54:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅谈RDP与输入法的奇妙碰撞https://cn-sec.com/archives/3034741.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息