由于没有远程桌面授权服务器可以提供许可证_渗透技巧——利用tscon实现未授权登

最新推荐文章于 2024-07-02 09:58:58 发布
最新推荐文章于 2024-07-02 09:58:58 发布
阅读量252 收藏
点赞数
文章标签: 由于没有远程桌面授权服务器可以提供许可证

导语:Windows系统下,tscon可被用来切换远程桌面的会话。正常情况下,切换会话时需要提供登录密码,但通过特殊的利用方法能够绕过验证,不输入密码实现未授权登录。

0x00 前言

Windows系统下,tscon可被用来切换远程桌面的会话。正常情况下,切换会话时需要提供登录密码,但通过特殊的利用方法能够绕过验证,不输入密码实现未授权登录。

这会造成什么影响呢?这个方法能用在哪种条件下呢?结合利用方法又该如何防御呢?本文将要一一介绍

注:

本文使用tscon未授权登录的思路借鉴于如下链接:

https://medium.com/@networksecurity/rdp-hijacking-how-to-hijack-rds-and-remoteapp-sessions-transparently-to-move-through-an-da2a1e73a5f6

0x01 简介

本文将要介绍以下内容:

·tscon的正常用法

·利用tscon实现未授权登录远程桌面的方法

·应用实例

·防御建议

0x02 tscon的正常用法

对于开启远程桌面服务的Windows系统,当有多个用户登录该系统时,会产生多个会话,如下图

74b5d8623f0695c33cba1fcc5f7ebd7d.png

测试系统: Server2012 R2

用户Administrator为本地登录

用户b为通过远程桌面服务(RDP)连接3389端口远程登录

接下来,如果用户Administrator想要切换至用户b的远程桌面,可通过右键-Connect进行连接,接着输入密码即可

如下图

1f4538d908a8996543ffc18380408804.png
9abd96bd3b25a256f4e87064994f9813.png

tscon是命令行下使用的工具,可实现相同的功能

首先获取用户对应的sessionid,执行如下命令:

query user

输出如下图

0377deae8f80b7d04065929734c82dda.png

用户b对应的sessionid为2

通过tscon切换至用户b的桌面,命令如下:

tscon 2 /PASSWORD:test123!

0x03 利用tscon实现未授权登录远程桌面的方法

在System权限执行同样的命令,就能够绕过输入密码的过程,直接切换

从Admin权限切换到System权限的方法在之前的文章《渗透技巧——从Admin权限切换到System权限》有过详细介绍,常用方法有如下三种:

·通过创建服务获得System权限

·利用MSIExec获得System权限

·利用token复制获得System权限

选取其中的一种,获得system权限,接着输入如下命令:

tscon 2

成功登录

0x04 应用实例一

对于Server2012 R2系统,默认情况下,通过mimikatz无法导出明文口令,测试环境下,通过某些方法获得了服务器的一个用户名密码,可以通过远程桌面进行登录

登录后发现后台存在另一用户

由于未导出明文口令,通过常规方法无法切换至另一用户的桌面

这里就可以借助上文提到的方法,先提权至System权限,再切换过去

特别的地方:

当用户通过远程桌面登录后,直接点击关闭断开连接,如下图

6ca949cb7c51e04880a7bbb3393662e2.png

此时该会话并没有结束,后台显示Disconnected,如下图

306dbb2b56de9c32291c0d9df627be21.png

此时,仍能在system权限下通过tscon实现未授权连接

0x05 应用实例二

利用辅助工具管理器后门(放大镜后门原理相同,进程为sethc.exe)绕过系统登录界面

进程: utilman.exe

登录界面可通过点击图标对其调用,如下图

7038098c1a2a8059b9e2fa5b5bd5c548.png

调用辅助工具管理器的快捷键: Win+U

通过注册表劫持实现后门,修改注册表的命令如下:

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options甥楴浬an.exe" /t REG_SZ /v Debugger /d "C:windowssystem32cmd.exe" /f

在登录界面启动辅助工具管理器,弹出cmd.exe,权限为system,如下图

181776be4e78527ed0b4fc151dd07773.png

通过tscon可直接切换至目标用户的桌面

补充:

在登录界面状态下,降权方法受限,SelectMyParent和Invoke-TokenManipulation.ps1均报错

使用incognito能够成功降权,但是操作仍受限,如下图

108babe4c25b3f246455d114064aca97.png

注:

SelectMyParent、Invoke-TokenManipulation.ps1和incognito的使用说明可参考文章《渗透技巧-Token窃取与利用》

无法对目标用户桌面进行截屏,截屏的powershell代码可参考:

https://gallery.technet.microsoft.com/scriptcenter/eeff544a-f690-4f6b-a586-11eea6fc5eb8

受限的原因:

登录界面下,虽然是system权限,但是此时的进程均是winlogon的子进程

如下图

67d0e793cb3e1a7878637416fd3a388a.png

绕过思路:

利用WMI做中转,通过WMI启动进程,默认父进程为svchost.exe->WmiPrvSE.exe

命令如下:

wmic process call create commandline = "powershell -ep bypass -f c:estsystem4.ps1"

system4.ps1的内容来自于Invoke-TokenManipulation.ps1,以用户win-eq8jfsr081db的权限执行脚本,具体参数为:

Invoke-TokenManipulation -CreateProcess "c:estask.bat" -Username "in-eq8jfsr081db"

task.bat的功能为输出环境变量到task.txt中,具体参数为:

set >>c:estask.txt

执行如下图

8cbde748079a711e357e0e5c19ac31e0.png

查看task.txt的内容,判断环境变量,成功降权,如下图

dd42a5a6dce8b3d79071ea48ceaa4c20.png

通过这种方式,可以分别降权至High和Medium权限,如下图

579f1dd55bdb3a091aa5abf3f2ca8110.png

0x06 防御建议

建议用户使用注销用户的方式断开远程桌面,注销后,无法通过tscon获得桌面会话

监控系统用户的登录日志,攻击者需要先远程登录系统后才能做进一步利用:未授权切换桌面会话

对于Windows系统,虽然新版本(包括server 2012等)无法在远程登录界面中调用放大镜和辅助工具管理器,但需要注意攻击者如果获得了系统的物理访问权限,能够利用放大镜和辅助工具管理器后门实现未授权登录

0x07 小结

本文介绍了利用tscon实现未授权登录远程桌面的方法,站在攻击者的角度,分析利用思路,最后站在防御的角度,结合攻击方法,给出防御建议

weixin_39851008
关注
tscon的实现,使关闭远程桌面后仍处于可交互状态-易语言
06-12
源码实现tscon.exe 1 /dest:console 同样的效果,是本人使用了IDA逆向了tscon得到的方法。调用了 精易模块 里面的Unicode和Ansi转换的命令,直接引用模块或自己改为A2W和W2A就可以了。
无法远程到非管理员账户_技巧无密码切换远程桌面
weixin_39872395的博客
12-03 872
技巧-无密码切换远程桌面tscontscon是windows server中自带的一个工具,用于陆到其他远程桌面会话。正常使用时是选择一个ID,ID可以用任务管理器或者query user获取到。tscon ID /password:xxxxxx这样就可以切换进对应ID的远程桌面。system权限下运行tscon在system权限下运行tscon,可以绕过密码验证。这里我做测试的前提是...
最小化及关闭远程桌面后键盘与鼠标仍处于可交互状态
cz1098564315的博客
01-31 9418
        默认情况下,当用户没有在 Windows 上执行任何输入(没有鼠标键盘等的输入)并保持一定时间后,Windows 会自动切换到锁屏模式(或屏保模式),甚至待机。        一般情况下,这样不会有任何问题,而且也是推荐的设置(出于安全和节能的角度)。但是,如果这台电脑被用于进行一些自动化的测试,尤其是涉及到 UI 的交互操作时(比如,测试过程中用脚本操控鼠标来模拟点击一个按钮),...
Win7系统提示找不到tscon.exe文件的解决办法
file
03-16 741
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个tscon.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现tscon.exe丢失要怎么解决?
Windows系统软件自动化程序不能在mstsc远程断开的时候正常运行的解决方案
sinat_34149445的博客
04-03 5205
Windows系统软件自动化程序不能在mstsc远程断开的时候正常运行的解决方案1 背景2 问题所在3 解决问题过程 (不喜欢看我BB可以直接跳过看第4点 )3.1 联系微软客服得到的解决办法3.2 结合自己的尝试后得到最终解决办法4 使用console模式的方法总结4.1 使用 query 命令查看SessionID4.2 使用 tscon 命令切换console模式5 升级解决方案(脚本) 1 背景 因为有个项目需要在一直运行一个exe的第三方软件以便于我们项目提供物质基础,所以决定在云服务器上购买一个
启动应用程序出现tscon.exe找不到问题解决
wbcmbfy的博客
06-28 812
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个tscon.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现tscon.exe丢失要怎么解决?
信息安全_基于mstsc的高级渗透.墨云科技@落落.pptx
08-14
在信息安全领域,基于mstsc(Microsoft Terminal Services Client,微软终端服务客户端)的高级渗透技术是攻击者利用RDP(Remote Desktop Protocol,远程桌面协议)进行网络入侵的重要手段。mstsc是Windows操作系统...
tscon.exe
12-29
tscon
windows远程控制基本命令
01-21
通过输入 `mstsc` 后跟目标计算机的IP地址或主机名,可以启动远程桌面会话。例如: ``` mstsc /v:192.168.1.100 ``` - 添加 `/u:` 参数可以指定用户名,`/p:` 参数用于密码,如: ``` mstsc /v:192.168.1.100 ...
基于mstsc的高级渗透.pdf
08-23
- MSTSC是Windows操作系统中的远程桌面连接工具,它通过远程桌面协议(RDP)与其他计算机建立连接,实现远程操作和管理。 - RDP安全层协议包含:标准RDP、SSL协议(注:PROTOCOL_SSL文档地址)、CredSSP(NLA+SSL)协议(注...
红蓝对抗下的内网横向移动渗透技术详解
最新发布
lurenjia404的博客
07-02 2149
本文主要介绍了利用远程服务进行横向渗透的方法,读者阅读本章内容后就能够理解,红队人员一旦通过外部某一个点进入了企业内部网络之中,那么内网之中所有的安全防护设备将会形同虚设,红队人员在内网之中获取核心靶标的系统权限如同探囊取物。因此,如何有效地建立内网横向渗透安全防护体系就成了大部分企业及蓝队防守人员值得思考的问题,笔者希望通过本章对红队人员进行横向渗透所常利用的手法的介绍,读者能够对内网安全体系建设引起更多的重视和思考。
windows server 运行带界面服务端的问题
DELPHI 各种代码
06-28 840
在windows server 上运行的服务端软件,如果服务端的软件需要调用界面的控件时,远程服务器和在本机调试时一切都好用,但一旦退出服务器远程桌面,服务端软件就不正常了。
服务器关闭远程桌面连接后,鼠标、键盘、剪切板等失效解决方法
qq_51038274的博客
12-29 6767
根本原因 关闭远程桌面会让系统切换到录Desktop的界面,而在录Desktop的界面上没有我们打开的其他窗口,因此会导致鼠标、键盘、剪切板等失效,相当于被锁屏了,像pyautogui等图像匹配相关功能此时都会失效。 解决方法 在cmd运行代码:@%windir%\System32\tscon.exe 0 /dest:console,其中0为远程连接时被分配的Session ID,一般Session ID不会大于10,除非有很多账户在你这台服务器上。cmd运行这段代码后就会出现如图: ..
UI自动化中关闭远程桌面连接,鼠标键盘失效的解决方案
4iO3&DagWatu
01-29 1万+
问题原因分析:   因为通过mstsc启动远程桌面连接时,被连接的Windows会启动一个会话(Session)。此时你对远程桌面窗口里面的所有操作(鼠标,键盘)将会‘翻译’成TCP包传输过去,被连接的Windows接收到这些包之后,‘还原’命令并且在当前的活动会话上面执行。而当你断开连接时(点X关闭),会话变成断开状态,Windows会自动关闭会话(这里这样说是不准确的,事实上会话还是在的,
远程桌面电脑某用户相关问题
知有的博客
01-21 552
【代码】远程桌面电脑某用户相关问题。
UI自动化关闭远程桌面连接,鼠标键盘失效的解决方案
xiaouncle的博客
11-12 7074
一、初识鼠标键盘失效问题 当用户在一段时间内没有对Windows进行任何操作,Windwos会自动切换到锁屏模式(或屏保模式),甚至待机。 对于普通用户来说,这样设置没问题,而且这也是官方推荐的设置。但如果这台电脑是IT开发人员用来进行自动化测试的机器,尤其是包含UI交互的测试(比如,用脚本操控鼠标来模拟点击一个按钮),这样设置就是错误的,因为退出桌面后,鼠标键盘会失效,UI自动化无法正常进行。...
解决“由于没有远程桌面授权服务器可以提供许可证……”(亲测可用)
热门推荐
大国小匠-深空信息
12-10 2万+
解决“由于没有远程桌面授权服务器可以提供许可证……”问题,亲测可用🚀。
运维基础——Win7自动化截图时的设置
编程圈子-谢厂节的博客
09-03 2225
问题windows远程桌面打开时,可以正常进行截图操作。但如果远程退出了或最小化,会发现这时截屏的结果的黑屏,或者程序会报异常。 分析在Windows XP, Windows Server 2003或者更早期的Windows操作系统中,所有的服务和应用程序都是运行在与第一个录到控制台的用户得Session中。这个Session叫做Session 0。在Session 0 中一起运行服务和用户应用程
[转]如何远程连接运行OpenGL/Cuda 等GPU程序
weixin_30699741的博客
04-11 3022
发现一篇神文,解决了困扰许久的远程桌面OpenGL/GPU 等问题。。。 原地址在这:http://www.tanglei.name/how-to-run-gpu-programs-using-remote-connection/ 有时候往往需要通过远程桌面连接进行coding工作,像一般的比如web之类的可能不需要GPU等支持的coding工作直接用windows远程桌面连接编码...
win7远程控制命令
07-29
要在 Windows 7 上进行远程控制,可以使用以下命令: 1. 启用远程桌面服务: - 打开命令提示符(以管理员身份运行)。 - 运行命令:`netsh advfirewall firewall set rule group="remote desktop" new enable=Yes` 2. 连接到远程计算机: - 打开命令提示符。 - 运行命令:`mstsc /v:远程计算机IP地址` (将 "远程计算机IP地址" 替换为要连接的计算机的实际 IP 地址) 3. 断开与远程计算机的连接: - 打开命令提示符。 - 运行命令:`tscon 0 /dest:console` 请确保在进行远程控制之前已经启用了远程桌面服务,并且确保您拥有正确的权限和凭据来连接到远程计算机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值