关闭

使用rdpproxy和rdpy对RDP进行中间人攻击的总结

2967人阅读 评论(0) 收藏 举报
分类:


一、总述

    本文是想通过分析对RDP协议进行协议还原,在总述这章描述了本次分析后对RDP协议还原的可行性;在第二、三章节描述了RDP协议交互的具体过程;在第四章节描述了使用中间人攻击的方法进行解密的可行性测试;在第五章节列出了本次分析过程中参考的相关资料。

1.分析目的

通过分析能够对使用RDP协议的远程控制工具的操作进行还原,比如:在远程过程中对远程桌面的文件进行传输。

2.分析方法

本文分别使用了两种方法进行分析:1)对远程桌面过程中产生的流量报文进行分析,在分析过程中发现RDP协议在建立连接时使用了加密技术,加密后的报文是看不出来的,因此采用第二种方法;2)采用中间人攻击的方法,试图对加密的报文进行解密,然后再使用第一种方法进行分析;

3.中间人工具的选择

在使用中间人攻击时选择了两个工具:rdpy和rdpproxy。

选择这两个工具的原因是它们都是有源代码的,rdpy使用的是Python语言,而rdpproxy使用的是C语言。

4.分析结论

4.1 rdpproxy测试结论

该工具已不能进行中间人攻击,在进行中间人攻击时会报错误提示:“数据加密错误”。

4.2 rdpy测试结论

可成功进行中间人攻击,该工具还能回放在远程过程中的所用操作,也就是说使用该工具是对RDP可以进行解密的。不过有时还会出现像rdpproxy时的错误提示:“数据加密错误”,导致无法远程服务器。

4.3 分析结论

通过以上的方法我们可以得到如下结论:可以使用RDPY工具对RDP协议的加密层进行解密(不是每次都能成功)。主要问题在于RDPY是使用python语言编写的,而我们是要用C语言去编写,因此我们需要把python语言翻译成C语言后才能对其进间解密,这个工程是很大的,需要大量的工作量,且这个工具还不是每次都可以攻击成功,因此能否使用这个工具进行下一步工作还需要进一步的商讨。

二、协议交互概述

特别说明:RDP从连立到结束始终是一条流,在整个连接阶段,RDP协议采用TPKT协议进行封装并传输数据。

根据我们当前抓包分析情况是这样的:

1.先进行TCP三次握手连接,成功之后进入下一步。

2.客户端首先发送ISO层连接请求(ISO层连接在TPKT协议之上)

3.服务器收到后发送ISO连接确认

4.确认后的TPKT的数据部分全部是SSL加密,已无法看到后面的协议交互过程

 

网上搜集的资源关于RDP交互过程如下(来源于CSDN博客):

1.客户端连接服务器

2.ISO数据层建立连接

3.发送初始协议相关信息,接收加密、解密密钥(此部分应该就是我们自已分析时的SSL加密部分)

4.虚拟通道申请

5.加密形式发送客户端系统信息,同时验证加密协议

6.平台软件证书验证

7.各功能建立连接,各功能数据传输,功能实现

 

三、协议连立具体过程

1.当前报文整体交互过程

如下图


2.三次握手后进行ISO层连接请求

TPKT下面分别是版本、保留字段和长度

ISO请求连接前2个分别是长度和TPDU类型,0x0e代表请求,0xd0代表请求确认,下图是确认的报文:


3. TPKT数据部分使用了SSL加密,根据16进制特征判断为SSL

4.使用如下方法可以把这部分数据解成SSL协议

1)右键点击Decode as

 

 

2)在右边找到SSL协议,点击确定

 

3)软件就可以直接看到数据部分已解成SSL协议的了


四、RDP中间人攻击方法

目前通过查找资料,获得了两种可对RDP进行中间人攻击的工具,即:rdpproxy和rdpy。这两个工具都是开源的,只是开发语言不同,rdpproxy是用C语言编写的,而rdpy是使用python编写的。下面分别简绍这两种工具的使用方法:

1. 使用rdpproxy进行中间人攻击

这个工具在网上非常难找,rdpproxy有两个版本,windows版本和linux(目前看只能在ubuntu系统可用)。其中windows版本已不能使用,本次介绍的是ubuntu版本的使用方法。但必须要说明的是这个工具也不能进行中间人攻击了。

1.1  rdpproxy工具下载

目前在网上这个工具都是要积分下载的,而积分都是要充钱的,因此就不提供网址了,自已搜吧。

1.2  rdesktop工具使用

编译rdesktop工具

如上图,解压后会有个rdesktop目录,这是一个开源的远程桌面工具,它的主要作用是远程windows系统桌面,rdesktop目录内的代码是需要编译的,编译方法:./configure、make、make install

Rdesktop的使用方法

./rdesktop 远程IP地址,比如:./rdesktop 192.168.1.100 回车,然后直接输用户名和密码即可远程操作。

1.3  rdpproxy所用到的环境

1台ubuntu系统主机,该机器用于中间人攻击使用,同时该主机需要安装Python,我的Python版本是2.7.3

2台windows系统主机,1台作为客户机,另1台作为服务器,组网如图:


1.4  使用rdpproxy进行中间人攻击(攻击失败)

1.定位到rdpproxy目录

2.进行rdpplayer目录

3.执行Python脚本(rpp.py),监听服务器:pythonrpp.py 目标服务器IP,如:python rpp.py 192.168.1.200

4.此时客户端认为ubuntu为服务器,使用windows自带的远程工具远程ubuntu的ip,远程后发现不能远程目标服务器,且报错如下图:

5.中间人攻击失败

2. 使用rdpy进行中间人攻击

RDPY一个单纯由Python实现的微软远程桌面协议。RDPY由网络引擎Twisted驱动,即RDPY是基于Twisted Python实现的微软RDP远程桌面协议。RDPY支持标准的RDP安全协议,通过SSL或者NLA加密验证(或者通过nltmv2验证协议)。

注:使用rdpy工具是可以成功进行中间人攻击的,但有时在登录成功后不久后,也会出现“加密数据错误,请重新登录”的问题。

2.1 rdpy工具下载与安装

一、RDPY的安装

      RDPY的下载地址:https://github.com/citronneur/rdpy,建议可以使用pip进行安装,比较方便。下面介绍我的安装过程,系统环境windows7,python2.7.

1、安装 PyQt:PyQt的下载地址:http://sourceforge.net/projects/pyqt/files/PyQt4/PyQt-4.11.3/,选择32位或者64位的安装包。

2、安装pywin32,下载地址:http://sourceforge.net/projects/pywin32/files/pywin32/,选择需要的版本。

3、安装RDPY:这里利用easy_install、pip进行安装。

easy_install: https://bitbucket.org/pypa/setuptools/raw/bootstrap/ez_setup.py,下载后,python.exeez_setup.py进行安装。

安装pip:C:\Python27\Scripts\easy_install.exepip。安装完成后,在C:\Python27\Scripts\下有pip.exe文件。

运行pip installrdpy,如果没有提示什么错误,表示安装成功。

2.2 rdpy工具的使用介绍

在安装完rdpy工具后,你的Python目录的scripts下会多出几个rdpy的脚本,如下:

这里每一个文件都有不同的作用:

rdpy-rdpclient

rdpy-rdpclient是一个简单的RDP Qt4客户端。

1

$ rdpy-rdpclient.py [-u username] [-p password] [-d domain] [-r rss_ouput_file] [...] XXX.XXX.XXX.XXX[:3389]

你可以在会话场景记录时使用rdpy-rdpclient。

 

rdpy-vncclient

rdpy-vncclient是一个简单的VNC Qt4客户端。

1

$ rdpy-vncclient.py [-p password] XXX.XXX.XXX.XXX[:5900]

 

rdpy-rdpscreenshot

rdpy-rdpscreenshot将登陆画面保存在文件中。

1

$ rdpy-rdpscreenshot.py [-w width] [-l height] [-o output_file_path] XXX.XXX.XXX.XXX[:3389]

 

rdpy-vncscreenshot

rdpy-vncscreenshot会将程序第一个界面更新至文件中。

1

$ rdpy-vncscreenshot.py [-p password] [-o output_file_path] XXX.XXX.XXX.XXX[:5900]

 

rdpy-rdpmitm

rdpy-rdpmitm是一个RDP代理,它允许你在RDP协议之上执行一次中间人攻击,并将会话场景信息记录在一个可以被rdpy-rssplayer重放的rss文件中。

1

$ rdpy-rdpmitm.py -o output_dir [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] [-r (for XP or server 2003 client)] target_host[:target_port]

输出目录是用来以(YYYYMMDDHHMMSS_ip_index.rss)这种格式保存rss文件的。私钥文件和证书文件是典型的SSL链接加密文件。RDP远程桌面协议能够与其自身的安全层次进行对话,如果两个参数都被省略了,服务器端将会使用标准的RDP协议作为安全分层。

 

rdpy-rdphoneypot

rdpy-rdphoneypot是一个基于RDP的蜜罐。使用会话场景记录并通过RDP协议来重放会话场景。

1

$ rdpy-rdphoneypot.py [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] rss_file_path_1 ... rss_file_path_N

 

rdpy-rssplayer

rdpy-rssplayer是用来重放由rdpy-rdpmitm或者rdpy-rdpclient二进制文件所产生的会话场景记录(rss)文件。

1

$ rdpy-rssplayer.py rss_file_path

2.3 rdpy所用到的环境

3台windows系统主机,1台作为客户机,1台作为服务器,另1台是装有rdpy工具的中间人攻击主机,组网如图:

2.4 使用rdpy进行中间人攻击(攻击成功)

1.定位到rdpy脚本处,执行监听命令: rdpy-rdpmitm.py –oc:/rdpy[h1] 192.168.1.200[h2] 

2.此时客户机会认为中间人攻击主机是服务器,服务器认为中间人攻击主机是客户机

3.客户机使用windows自带远程工具进行远程:远程ip是中间人攻击的主机IP,但实际上客户机远程后的桌面是服务器的桌面。

4.中间人攻击主机停止监听后,会在c:/rdpy目录下生成.rss文件,该文件可使用rdpy-rssplayer.py文件进行回放,回放中可以收看客户机远程的全部操作过程

注:使用rdpy监听过程中,客户机可成功登录服务器,但有时在登录成功后不久后,也会出现“加密数据错误,请重新登录”的问题。

五、协议分析的参考资料

1.wiki.wireshark 官方对RDP协议的分析:https://wiki.wireshark.org/RDP

2.微软官方网址简单说明了RDP协议过程

https://support.microsoft.com/zh-cn/kb/186607

3.RDP采用的RSA加密算法

https://msdn.microsoft.com/en-us/library/aa383015(VS.85).aspx

4.豆丁网提供的RDP协议格式详解

http://www.docin.com/p-641511813.html

5.CSDN博客,关于RDP协议详细解析

http://blog.csdn.net/jingwen3699/article/details/7765480

6.较详细的说明了rdpy工具的安装与使用方法

https://github.com/citronneur/rdpy

7.在第3章节中说明了使用rdpproxy的方法
http://www.docin.com/p-782713242.html


 [h1]监听过程中产生的回放文件输出的目录

 [h2]监听的目标服务器IP


1
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:54515次
    • 积分:843
    • 等级:
    • 排名:千里之外
    • 原创:26篇
    • 转载:24篇
    • 译文:0篇
    • 评论:2条
    最新评论