横向移动之RDP&Desktop Session Hijack

最新推荐文章于 2024-07-20 11:18:18 发布
最新推荐文章于 2024-07-20 11:18:18 发布
阅读量695 收藏 1
点赞数
文章标签: windows java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/116427083
版权

文章前言

管理员在内部网络中广泛使用远程桌面协议(rdp),这允许系统所有者和管理员远程管理windows环境,然而RDP可以给攻击者提供各种机会来实施攻击,这些攻击可以用于红队场景中的横向移动,下面的攻击可以让RedTeam获得凭据,劫持其他用户的RDP会话,并对远程系统执行任意代码,这些远程系统将使用RDP作为受感染工作站的身份验证机制。

RDP劫持

实施中间人攻击通常会导致凭据捕获,它正在对RDP会话执行这种攻击,这将允许攻击者为了横向移动的目的而轻易地获得域帐户的纯文本密码,seth是一个工具,无论是否启用网络级身份验证(nla),它都可以自动执行RDP中间人攻击,实施这种攻击需要四个参数:

  • 以太网接口

  • 攻击者的ip

  • 受害主机的ip

  • 目标rdp主机的ip

./seth.sh eth0 10.0.0.2 10.0.0.3 10.0.0.1

在执行时,该工具将在后台执行一系列步骤,以确保成功实施攻击:

  1. ARP欺骗

  2. 允许转发ipv4流量,将流量从受害主机重定向到攻击者计算机,然后重定向到目标rdp服务器

  3. 配置iptable规则来拒绝syn数据包,以防止直接rdp身份验证

  4. 捕获目的主机的syn数据包

  5. ssl证书的克隆

  6. 重新配置iptables规则,将流量从受害工作站路由到目标rdp主机

  7. 阻止到端口88的流量,以将kerberos身份验证降级到ntlm

步骤1-3将在受害者认证之前执行,试图通过rdp向目标服务器进行身份验证的用户将收到以下消息:

当用户建立连接时,凭据将以纯文本形式显示给攻击者

PS:该方法笔者在本地未实验成功,因为有SSL强校验,在实战中建议慎用~

RDP Inception

mdsec发现了一种技术,该技术允许攻击者在启动时执行任意代码并通过RDP连接传播,从而在网络内部执行横向移动,整个思路大致如下:

而在渗透测试中,如果我们获得某台服务器C的控制权,而最终目标是PC X,但由于对方高度安全的网络环境限制,我们只有采取RDPInception攻击方式,通过对接入C的服务器B进行攻击控制,之后,对接入B的服务器A进行攻击控制,最终,对接入A的PC X形成攻击控制,整个攻击链如下:

PC X RDP ————> Server A
Server A RDP ————> Server B
Server B RDP ————> Server C

为了促进这种攻击,mdsec开发了一个批处理脚本(https://github.com/mdsecactivebreach/RDPInception)来实现概念验证,不过该技术在利用时有一个先决条件就是内网其他主机远程连接受感染主机时"本地资源"选项中设置了加载C盘:

之后攻击者可以在已经获得访问权限的主机上执行批处理脚本将获得一个shell

该脚本执行之后将会在已经获得访问权限的WIndow 7主机上和远程连接的主机上同时创建启动项:

文章内容过多,不想再复制一遍了,更多内容请访问一下原文链接进行查看:

横向移动之RDP&Desktop Session Hijack

未知攻,焉知防,以攻促防,共筑安全~

个人知乎:https://www.zhihu.com/people/flypeng-56
个人CSDN:https://blog.csdn.net/Fly_hps
个人GitHub:https://github.com/Al1ex
个人云+社区:https://cloud.tencent.com/developer/user/8423247
安全团队公众号:七芒星实验室

欢迎关注微信公众号"七芒星实验室"获取最新安全动态~

FLy_鹏程万里
关注
内网安全——横向移动-RDP&WinRM&Kerberoast攻击
m0_61506558的博客
02-03 578
请求的Kerberos服务票证的加密类型是RC4_ HMAC_ MD5, 这意味着服务帐户的NTLM密码。如果我们有-一个为域用户帐户注册的任意sPN,那么该用户帐户的明文密码的NTIM哈希值。Dc在活动目录中查找sEN,并使用与sPN关联的服务帐户加密票证,以便服务能够验证用。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一一个或多个。黑客将收到的rGs票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为。双方都启用的winrm rs的服务,使用此服务需要管理员级别凭据。
内网安全 - 域横向移动RDP&SPN
acepanhuan的博客
03-17 532
内网安全 - 域横向移动RDP&SPN
RDP凭据获取继续横向
weixin_43227251的博客
05-06 366
RDP凭据获取继续横向 文章目录RDP凭据获取继续横向猕猴桃获取密码network password通过powershell脚本 猕猴桃获取密码 有可能这台机器保存登录其他机器rdp #查看mstsc的连接纪录 cmdkey /list #查找本地的Credentials: dir /a %userprofile%\AppData\Local\Microsoft\Credentials\* 如果存在,可以使用mimikatz 记录这个值 mimikatz.exe "privilege::debug"
【内网安全】横向移动-Kerberos-SPN-WinRM-RDP
最新发布
qq_55349490的博客
07-20 1171
看之前的文章RDP远程桌面服务 支持明文及HASH连接条件:对方开启RDP服务 远程桌面当前我们已经取到31主机的权限,目前要利用RDP连接到32,且32是不出网的。这时我们肯定是需要用31做为跳板机去实现。以下是利用RDP进行连接的三种方式。
设置 session rdp 时间限制
nongcunqq的博客
06-02 804
起因:一台服务器 2016版本,每当退出远程桌面后,过一段时间,用户所有的进程就会自动关闭,导致后台运行的任务出现异常。运行 gpedit.msc, 根据以下资料设置后,记得重启,不然不会生效前三个选项 enable 都选 never后两个 disable我们可以尝试以下设置,来自动关闭断开连接(disconnected)的远程桌面会话:1. AD与环境中,在用户账户属性-会话中,关闭已经断开连接的会话(End a disconnected session)一栏中,设置时间限制。
内网安全学习(五)----域横向: SPN&RDP&Cobalt Strike
qi_SJQ_的博客
02-13 1251
横向 CobaltStrike&SPN&RDP 1.域横向移动RDP传递-Mimikatz 除了之前提到的IPC、WMI、SMB、NTLM等协议的连接外,获取到的明文密码或HASH密文也可以通过RDP协议(3389端口)进行连接操作。 1)RDP明文密码连接: Windows: mstsc mstsc.exe /console /v192.168.3.21 /admin linux: rdesktop 192.168.3.21:3389 2)RDP密文hash连接: windows
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
06-22
本文将深入探讨“红队内网攻防渗透”,重点介绍内网对抗中的横向移动策略、不同入口差异、上线切换技巧,以及利用IPC管道、AT任务、SC服务、Impacket工具套件和UI插件等技术手段。 首先,横向移动是内网渗透的关键...
RDP-Checker:Remot Desktop Checker(Au3-源)
05-10
RDP检查器 AutoIt Script Remot桌面检查器 您可以查看从txt文件加载的IP地址列表。 检查器只会给您带来好消息,默认情况下rdp端口通常是打开的(3389)。 享受 ! ./9aylas
RDP中间人攻击
帅醉了的博客
10-04 950
前言:靠着网上的资源一点一点的啃。 内网渗透中,发觉有机器开了远程桌面,可以使用RDP中间人攻击进行持久控制和横向渗透。 攻击成功具备的条件 同一个网段 知道连接者ip,被连接ip。 工具:Seth git clone https://github.com/SySS-Research/Seth.git 使用方法 ./seth.sh <INTERFACE> <ATTACKER_IP> <VICTIM_IP> <GATEWAY_IP|HOST_IP> [&
RDPSession的远程桌面共享,原生的Microsoft DLL
CrazyVBNeter的博客
02-04 2299
RDPSession 远程桌面共享
2003远程桌面:如何连接指定的用户session?
flybird77的专栏
09-12 1103
由于2k的终端服务只支持256色,所以使用xp的远程桌面,虽然一个机器同时只能有一个用户登录,但用惯了就习惯了,本机登录后,在其他机器仍然可以登录为这个会话(session),比如我在本机登录后打开word编辑一个文档,编辑到一半的时候离开了。在其他地方,我使用远程桌面连接到这个机器,使用这个用户登录,可以仍然使用这个用户在本机登录时的会话,继续编辑那个文档。 最近装了一个2003,远程桌面
8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS
m0_65842464的博客
02-18 1582
一、域横向移动-RDP远程桌面-明文&NTLM;二、域横向移动-WinRM&WinRS-明文&NTLM:WinRM 代表 Windows 远程管理,是一种允许管理员远程执行系统管理任务的服务。默认情况下支持 Kerberos 和 NTLM 身份验证以及基本身份验证。三、域横向移动-Spn&Kerberos-请求&破解&重写
内网安全:横向传递攻击( RDP || Cobalt Strike )
网络安全领域___专研者.
06-11 2609
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.)
内网横向移动—Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
剁椒鱼头没剁椒的博客
07-24 1140
文章中很多的环境,由于都是自己搭建的,有时候可能会出现无法测试成功的情况,有人问为什么不使用别人搭建好的靶场,主要是懒,不过最关键的是,这些环境太大了,自己的小破机器带不动呀。同时后面的文章很多之前介绍过的操作方式,我就会直接说,而不会像之前一样,一步一步操作,就比如我要设置socks代理,我就只会说,这里需要设置socks代理,而不会在去一步步演示socks代理如何设置。
rdp连接工具_横向渗透之 [RDP]
weixin_39928940的博客
11-27 1543
重生信息安全T3ngYu一、RDP 服务确定和启动 1. 确定RDP服务是否启动和服务端口 (1)注册表查询REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启 REG QUERY "HKEY_LOCAL_MACH...
会话(session)、工作站(WindowStation)、桌面(Desktop)、窗口(window)
最爱吹吹风
10-29 2746
一个系统可以同时登录多个用户(包括远程用户登录)     一个用户拥有一个会话(远程用户被称为远程会话)     一个会话拥有多个工作站和窗口。只能拥有一个交互式工作站(Winsta0)。     一个会话拥有一系列私有的进程和模块:Csrss.exe、WinLogin.exe、win32k.sys     一个会话拥有一个私有对象名字空间(\BaseNamedObjects),私有对象名
windows 远程桌面的session管理
Something的专栏
02-23 3599
1.查看有多少个session登陆了某台机器 qwinsta /server: 2.结束某次登陆的session logoff sessionId> /server: 或者:rwinsta /server:SERVERIP SESSIONID rwinsta /server:10.10.1.10 2 可以通过qwinsta命令查看当前相应的sessi
写个自己的远程桌面
weixin_30252709的博客
02-04 827
今天偶然在首页看到了这篇文件http://www.cnblogs.com/mobwiz/p/remote_desktop_share.html,感觉很有意思,一起以来,远程桌面在我心目中是很高大上的,哪想着几行代码就能实现了 自己试了一下,同事那边连了三个连接也没什么问题,和远程桌面效果完全一致。 下面是代码,只为以后自己用到找代码方便,基本来自上面的文章,感谢作者。截图什么的请看原文 ...
FreeRDP远程桌面协议安卓版下载
FreeRDP 是一款开源的远程桌面协议(Remote Desktop Protocol,简称RDP)实现,它允许用户通过网络连接到远程计算机的图形界面。FreeRDP 项目被设计用于与微软的RDP协议兼容,提供跨平台的远程桌面访问解决方案,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值