横向移动之RDP&Desktop Session Hijack

最新推荐文章于 2024-07-20 11:18:18 发布
最新推荐文章于 2024-07-20 11:18:18 发布
阅读量681 收藏 1
点赞数
文章标签: windows java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/116427083
版权

文章前言

管理员在内部网络中广泛使用远程桌面协议(rdp),这允许系统所有者和管理员远程管理windows环境,然而RDP可以给攻击者提供各种机会来实施攻击,这些攻击可以用于红队场景中的横向移动,下面的攻击可以让RedTeam获得凭据,劫持其他用户的RDP会话,并对远程系统执行任意代码,这些远程系统将使用RDP作为受感染工作站的身份验证机制。

RDP劫持

实施中间人攻击通常会导致凭据捕获,它正在对RDP会话执行这种攻击,这将允许攻击者为了横向移动的目的而轻易地获得域帐户的纯文本密码,seth是一个工具,无论是否启用网络级身份验证(nla),它都可以自动执行RDP中间人攻击,实施这种攻击需要四个参数:

  • 以太网接口

  • 攻击者的ip

  • 受害主机的ip

  • 目标rdp主机的ip

./seth.sh eth0 10.0.0.2 10.0.0.3 10.0.0.1

在执行时,该工具将在后台执行一系列步骤,以确保成功实施攻击:

  1. ARP欺骗

  2. 允许转发ipv4流量,将流量从受害主机重定向到攻击者计算机,然后重定向到目标rdp服务器

  3. 配置iptable规则来拒绝syn数据包,以防止直接rdp身份验证

  4. 捕获目的主机的syn数据包

  5. ssl证书的克隆

  6. 重新配置iptables规则,将流量从受害工作站路由到目标rdp主机

  7. 阻止到端口88的流量,以将kerberos身份验证降级到ntlm

步骤1-3将在受害者认证之前执行,试图通过rdp向目标服务器进行身份验证的用户将收到以下消息:

当用户建立连接时,凭据将以纯文本形式显示给攻击者

PS:该方法笔者在本地未实验成功,因为有SSL强校验,在实战中建议慎用~

RDP Inception

mdsec发现了一种技术,该技术允许攻击者在启动时执行任意代码并通过RDP连接传播,从而在网络内部执行横向移动,整个思路大致如下:

而在渗透测试中,如果我们获得某台服务器C的控制权,而最终目标是PC X,但由于对方高度安全的网络环境限制,我们只有采取RDPInception攻击方式,通过对接入C的服务器B进行攻击控制,之后,对接入B的服务器A进行攻击控制,最终,对接入A的PC X形成攻击控制,整个攻击链如下:

PC X RDP ————> Server A
Server A RDP ————> Server B
Server B RDP ————> Server C

为了促进这种攻击,mdsec开发了一个批处理脚本(https://github.com/mdsecactivebreach/RDPInception)来实现概念验证,不过该技术在利用时有一个先决条件就是内网其他主机远程连接受感染主机时"本地资源"选项中设置了加载C盘:

之后攻击者可以在已经获得访问权限的主机上执行批处理脚本将获得一个shell

该脚本执行之后将会在已经获得访问权限的WIndow 7主机上和远程连接的主机上同时创建启动项:

文章内容过多,不想再复制一遍了,更多内容请访问一下原文链接进行查看:

横向移动之RDP&Desktop Session Hijack

未知攻,焉知防,以攻促防,共筑安全~

个人知乎:https://www.zhihu.com/people/flypeng-56
个人CSDN:https://blog.csdn.net/Fly_hps
个人GitHub:https://github.com/Al1ex
个人云+社区:https://cloud.tencent.com/developer/user/8423247
安全团队公众号:七芒星实验室

欢迎关注微信公众号"七芒星实验室"获取最新安全动态~

FLy_鹏程万里
关注
内网安全——横向移动-RDP&WinRM&Kerberoast攻击
m0_61506558的博客
02-03 558
请求的Kerberos服务票证的加密类型是RC4_ HMAC_ MD5, 这意味着服务帐户的NTLM密码。如果我们有-一个为域用户帐户注册的任意sPN,那么该用户帐户的明文密码的NTIM哈希值。Dc在活动目录中查找sEN,并使用与sPN关联的服务帐户加密票证,以便服务能够验证用。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一一个或多个。黑客将收到的rGs票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为。双方都启用的winrm rs的服务,使用此服务需要管理员级别凭据。
内网安全 - 域横向移动RDP&SPN
acepanhuan的博客
03-17 503
内网安全 - 域横向移动RDP&SPN
【内网安全】横向移动-Kerberos-SPN-WinRM-RDP
最新发布
qq_55349490的博客
07-20 1107
看之前的文章RDP远程桌面服务 支持明文及HASH连接条件:对方开启RDP服务 远程桌面当前我们已经取到31主机的权限,目前要利用RDP连接到32,且32是不出网的。这时我们肯定是需要用31做为跳板机去实现。以下是利用RDP进行连接的三种方式。
RDP凭据获取继续横向
weixin_43227251的博客
05-06 351
RDP凭据获取继续横向 文章目录RDP凭据获取继续横向猕猴桃获取密码network password通过powershell脚本 猕猴桃获取密码 有可能这台机器保存登录其他机器rdp #查看mstsc的连接纪录 cmdkey /list #查找本地的Credentials: dir /a %userprofile%\AppData\Local\Microsoft\Credentials\* 如果存在,可以使用mimikatz 记录这个值 mimikatz.exe "privilege::debug"
设置 session rdp 时间限制
nongcunqq的博客
06-02 758
起因:一台服务器 2016版本,每当退出远程桌面后,过一段时间,用户所有的进程就会自动关闭,导致后台运行的任务出现异常。运行 gpedit.msc, 根据以下资料设置后,记得重启,不然不会生效前三个选项 enable 都选 never后两个 disable我们可以尝试以下设置,来自动关闭断开连接(disconnected)的远程桌面会话:1. AD与环境中,在用户账户属性-会话中,关闭已经断开连接的会话(End a disconnected session)一栏中,设置时间限制。
内网安全学习(五)----域横向: SPN&RDP&Cobalt Strike
qi_SJQ_的博客
02-13 1223
横向 CobaltStrike&SPN&RDP 1.域横向移动RDP传递-Mimikatz 除了之前提到的IPC、WMI、SMB、NTLM等协议的连接外,获取到的明文密码或HASH密文也可以通过RDP协议(3389端口)进行连接操作。 1)RDP明文密码连接: Windows: mstsc mstsc.exe /console /v192.168.3.21 /admin linux: rdesktop 192.168.3.21:3389 2)RDP密文hash连接: windows
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
06-22
本文将深入探讨“红队内网攻防渗透”,重点介绍内网对抗中的横向移动策略、不同入口差异、上线切换技巧,以及利用IPC管道、AT任务、SC服务、Impacket工具套件和UI插件等技术手段。 首先,横向移动是内网渗透的关键...
RDP-Checker:Remot Desktop Checker(Au3-源)
05-10
RDP检查器 AutoIt Script Remot桌面检查器 您可以查看从txt文件加载的IP地址列表。 检查器只会给您带来好消息,默认情况下rdp端口通常是打开的(3389)。 享受 ! ./9aylas
RDP中间人攻击
帅醉了的博客
10-04 925
前言:靠着网上的资源一点一点的啃。 内网渗透中,发觉有机器开了远程桌面,可以使用RDP中间人攻击进行持久控制和横向渗透。 攻击成功具备的条件 同一个网段 知道连接者ip,被连接ip。 工具:Seth git clone https://github.com/SySS-Research/Seth.git 使用方法 ./seth.sh <INTERFACE> <ATTACKER_IP> <VICTIM_IP> <GATEWAY_IP|HOST_IP> [&
RDPSession的远程桌面共享,原生的Microsoft DLL
CrazyVBNeter的博客
02-04 2246
RDPSession 远程桌面共享
SharpRDPHijack:POC远程桌面(RDP)会话劫持实用程序,用于断开连接的会话
03-08
夏普RDPH劫持 Sharp RDP Hijack是用于断开会话的概念验证.NET / C#远程桌面协议(RDP)会话劫持实用程序 背景 RDP会话劫持是一种开发后技术,用于控制(强制)断开的交互式登录会话。 在描述了该技术。 笔记 SharpRDPHijack.cs在.NET Framework v.4下的Visual Studio 2019中进行编译。 会话劫持需要提升的(管理员)上下文才能连接到另一个会话。 除非知道目标会话用户的密码,否则需要NT AUTHORITY \ SYSTEM上下文来控制会话。 没有提供的密码,SharpRDPHijack将(试图)模拟NT AUTHORITY \ SYSTEM。 Windows 2019 Server会话劫持与先前的OS版本相比表现出有趣的行为。 劫持了重定向到活动RDP会话的会话后,Windows登录屏幕会提示您输入用户的密码/凭据
8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS
m0_65842464的博客
02-18 1560
一、域横向移动-RDP远程桌面-明文&NTLM;二、域横向移动-WinRM&WinRS-明文&NTLM:WinRM 代表 Windows 远程管理,是一种允许管理员远程执行系统管理任务的服务。默认情况下支持 Kerberos 和 NTLM 身份验证以及基本身份验证。三、域横向移动-Spn&Kerberos-请求&破解&重写
内网横向移动—Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
剁椒鱼头没剁椒的博客
07-24 1087
文章中很多的环境,由于都是自己搭建的,有时候可能会出现无法测试成功的情况,有人问为什么不使用别人搭建好的靶场,主要是懒,不过最关键的是,这些环境太大了,自己的小破机器带不动呀。同时后面的文章很多之前介绍过的操作方式,我就会直接说,而不会像之前一样,一步一步操作,就比如我要设置socks代理,我就只会说,这里需要设置socks代理,而不会在去一步步演示socks代理如何设置。
rdp连接工具_横向渗透之 [RDP]
weixin_39928940的博客
11-27 1511
重生信息安全T3ngYu一、RDP 服务确定和启动 1. 确定RDP服务是否启动和服务端口 (1)注册表查询REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启 REG QUERY "HKEY_LOCAL_MACH...
Linux命令
CHQ_2157的博客
08-06 338
访问命令行 Linux的组成: 从下图就可以看出用户和内核之间的交流是通过中间层Shell来完成的 Linux的操作界面常称为Shell Shell是操作系统提供给用户使用的界面(图形、字符),它提供了用户与内核进行交互操作的一种接口。当用户发出指令(命令或鼠标操作),先将这些指令发送给Shell,由Shell将用户的指令翻译后传送给内核,再由内核来控制硬件的工作。然后内核将硬件的工作情况发送给Shell,并由Shell返回硬件的工作信息和情况。 Shell的分类: 图形界面的Shell:KDE、GNOM
windows 远程桌面的session管理
Something的专栏
02-23 3562
1.查看有多少个session登陆了某台机器 qwinsta /server: 2.结束某次登陆的session logoff sessionId> /server: 或者:rwinsta /server:SERVERIP SESSIONID rwinsta /server:10.10.1.10 2 可以通过qwinsta命令查看当前相应的sessi
域渗透之那些显为人知的RDP漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-08 2554
远程桌面对了解内网渗透的人来说可能再熟悉不过了。在渗透测试中,拿下一台主机后有时候会选择开 3389 进远程桌面查看一下对方主机内有无一些有价值的东西可以利用。但是远程桌面的利用不仅如此,本节我们便来初步汇总一下远程桌面在内网渗透中的各种利用姿势。
Windows远程桌面(RDP)密码凭证获取 (゚益゚メ) 渗透测试
寻觅的博客
03-07 5718
文章目录RDP连接记录MySQL数据库密码破解WiFi密码获取浏览器相关记录其他可造成安全隐患软件NacicatXmangagerTeamview RDP连接记录 MySQL数据库密码破解 WiFi密码获取 浏览器相关记录 其他可造成安全隐患软件 Nacicat Xmangager Teamview ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值