前言
Windows系统下,tscon或任务管理器右键可被用来切换远程桌面的会话。正常情况下,切换会话时需要提供登录密码,但在SYSTEM权限下可够绕过验证,无密码实现未授权登录。该漏洞在2017年由以色列安全研究员Alexander Korznikov在个人博客中披露,mimikat里面也有该功能,为了方便Ladon也添加了该功能。
背景
实战中某个项目的内网HTTPS证书有问题,特别奇葩不知为何,代理或CMD下无法连WEBSHELL,还有些远程连接程序管理员连着远程机器,特别是连着数据库的在自动处理数据,当管理员不在时我们只要接管他的会话就很香了。
漏洞细节
本地用户若能获取NT AUTHORITY/SYSTEM权限执行命令,就能够劫持任何处于已登录用户的会话,而无需获得该用户的登录凭证。终端服务会话可以是连接状态也可以是未连接状态。
Korznikov认为这是个高危漏洞,可允许任何本地管理员劫持会话并访问:
- 域管理员会话;
- 被劫持用户正在处理的任何未保存文件;
- 被劫持用户先前登录的任何其他系统或应用(可能包括其他远程桌面会话、网络共享映射、需要其他登录凭证的应用、邮箱等)
Ladon用法
Load RDPhijack
Usage:
Ladon RDPHijack se